中小学校园网组网模式探讨

中小学校园网组网模式探讨[浙江绍兴市中等专业学校信息处王永昌]

近年来，网络的应用逐步向纵深发展，而网络在面对各类恶意软件、病毒、木马等非法软件时即显得十分无奈。如何组建稳定安全，应用丰富的校园网，已成为各学校关注的话题。而做为国家基础教育的中小学校对网络的依赖也越来越深，网络已成为中小学校的教育资源和手段，而多年前建立的校园网已无法适应这种多应用、高稳定的需求。面对投入的限止，呼唤性价比较高的组网形式。在实践中从网络结构、设备选型、网络安全及应用等方面考虑，本人设计了一整套通用组网模式，在安全、应用、性价比等方面与大家进行探讨。

一、立足实用、稳定、安全，架设网络结构

（一）组网需求

中小学校园网组网不同于高等院校的校园网络，它的结构相对简单，主要集中在校园主干网和综合办公子网、教学子网的建设方面。综合办公子网，主要完成学校的各项管理功能，为校长室、各行政部门、各办公室提供可靠的数据传输，实现办公自动化。教学子网，主要实现多媒体教学，普及计算机网络教学。校园网入口设网络管理中心，各应用子网设立分中心；建立性价比较高的的网络管理系统，保证网络高效可靠。

（二）设计原则

中小学校园网络从实用性、可靠性等方面为设计原则，满足这些要求的同时兼顾经济实惠高性价比。

实用性应该成为校园网建设的首要原则，只有实用才能使教师、学生和科研人员直接受益。但在实用的基础上，应尽可能采用先进成熟的技术，同时选购具有先进技术水平的计算机系统、网络设备和应用软件，保证它们在相当长时间内可靠运行。

可靠性是校园网稳定运行的关键，网络系统所用设备和材料均应符合国际和国内认

可的标准，为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准，网络体系结构和通信协议应选择广泛使用的国际工业标准；并经过严格检验，网络的每一建设过程都要把好质量关。安全性是指网络能够有效地控制系统资源，完善的数据保护措施，在此基础上才是网络的可靠性。

校园网建设的经济性是指在满足应用要求的基础上尽最大可能地降低成本，使有限的建设费用发挥最大的功用。但经济性是建立在可扩充性基础上的，计算机及网络互连技术发展迅猛，网络系统的扩充与升级是必然趋势，所以在校园网建立时，就应为网络系统未来的扩充与升级奠定良好的基础。

（三）结构设计

出于实用、稳定、安全、纠错等考虑，设计结构分为一个总控结点，子网结点主要是两个，即办公子网结点与教学子网结点；兼顾电子阅览子网，学生公寓子网。总控结点作为汇聚层与核心层的合并，提供各子网数据的汇聚。

各网段划分VLAN。办公子网通过中心结点与教学子网的各教室主机网段相通；出于安全考虑，计算机教室主机网段与办公网段、各教室网段实行逻辑隔离；电子阅览主机网段、学生公寓主机网段各自逻辑独立，不与办公网、教学网互通；各子网通过三层路由访问校园网服务。中心结点前设路由设备，通过NAT访问公网。同时端口映射发布相应的服务。这样架设的拓朴结构如图1。

全网逻辑上采用星型拓朴架构，同时各子网原则上不能互访，增强了网络的安全性，一旦有大面积的网络病毒暴发，可以控制发作范围，一般不会影响其它各子网的安全运行。同时对各子网实行一定的带宽控制，即使个别用户大量使用BT类软件进行下载，也只是影响到他所在的网段，也不会构成对其它网段的流量影响。这些处理避免了中、小学校网络的脆弱性。

二、立足管理，作好设备选型与配置

（一）以IEEE 802.3千兆以太网为主干，100M到桌面为标准选择设备

802.3千兆以太网标准，保留了以太网的帧格式、流量控制及链路层管理，同时网络结构及地址都可以在千兆位交换设备上使用而无需改变。所以，千兆位以太网与以前的以太网相同，所不同是它的传输速率为以太网的100倍、快速以太网的10倍。网络管理者可以利用已有的知识和经验来管理和维护千兆网络。千兆以太网的出现，解决了网络主干的带宽问题。利用千兆以太网技术完全可以罢脱接入层与汇聚层之间的瓶颈。由于中小学网络拓朴相对比较简单，所以只用二层设计，接入层、核心层（数据由核心层汇聚）。

考虑到中小学校园网的应用以办公数据为主，但也不能忽略视频、音频等大数据流。在产品选择时推荐性价比较高的可网管交换机，中心交换采用三层交换机，如性价比较高的锐捷网络RG-S3760-24 AC增强型安全智能三层交换机，它具有24端口10/100M 自适应端口,4个SFP接口和4个的10/100/1000M自适应电口,双协议栈IPv4/IPv6多层交换功能。此设备光纤1000M结口与接入层1000M光纤接口相联形成1000M 主干校园网络；100M通过端口聚合技术接入各计算机教室交换机，提供对校园网络各项服务的访问。接入层采用二层可网管交换机，如锐捷网络S2150G可网管理二层交换机，它具有48口10/100M交换机，两个扩展槽，可上100M、1000M光纤/电口模块，支持堆叠，防ARP等功能，完全能胜任接入层100M到桌面，1000M主干上行的功能。如果考虑到校园网络与internet和城域网的互联，可选择性价比较高的防火墙做为接入网关。这样具体网络拓朴如图2：

（二）三层交换与虚拟局域网VLAN相结合

一般的局域网交换就是第二层桥接，数据帧是利用第二层MAC地址来转发的。而第三层交换几乎总是路由，也就是说，数据帧是利用第三层地址来转发的。结合VLAN 建设，各逻辑子网为一独立的VLAN网段，用户组被分割成由三层功能连接起来的广播域，子网间实行二层隔离，相关子网间实现三层数据交换，从而实现互通。其中“行政办公子网”、“教师办公子网”、“教室结点子网”、“电脑教室子网”通过核心三层交换机的三层转发功能互通；“电子阅览子网”、“学生公寓子网”与其它各子网隔离，实现独立子网，但可以通过核心交换机三层转发功能访问校园网络服务群，从而实现对校园网络资源的访问。

VLAN技术与三层交换的设置，实现了二层广播包的隔离，对于防护一定的病毒数据包、有害数据包，有一定的效果；因此子网互访安全稳定，即使某个子网有大面积的