浅析校园网的升级和改造

并帮助校园网管理者对入侵行为进行跟踪。 五、校园网 ＶＬＡＮ 的划分 出于 安 全 和 管 理 的 考 虑 ， 采 用 ＶＬＡＮ 技 术 也 是 网 络 应 用 的
有效措施之一。ＶＬＡＮ 又称虚拟局域网， 运用 ＶＬＡＮ 技术将分布 在不同节点上、不同部门的用户分成一个虚拟子网， 并限制部分 用户对该子网的访问。从根本上说， ＶＬＡＮ 技术不考虑用户的物 理位置， 即从逻辑上划分为一个功能相对独立的工作组， 不同的 ＶＬＡＮ 赋予不 同 的 访 问 权 限 和 不 同 的 安 全 级 别 。ＶＬＡＮ 技 术 的 核心是网络分段。ＶＬＡＮ 的安全性要从各个角度充分考虑， 首先 是看设备支持的技术标准， 同时要考虑其路由功能， 跨 ＶＬＡＮ 的数据储存转发、基于 ＩＰ 地址和应用协议的过滤功能、ＱＯＳ 定 义流量等， 只有具备了上述技术， ＶＬＡＮ 划分才能实现安全、可 靠的端到端的访问。
１５８ ２００７ 年 ２ 月中
３．网络的可管理性。网 络 应 该 能 够 提 供 方 便 、灵 活 、有 力 的 工具， 对网络进行集中式的有效管理和控制。方便的监控、良好的管 理界面、完备的系统记录都能使管理员在不改变系统运行的 情 况 下 对 网 络 系 统 进 行 检 测 、修 改 及 故 障 恢 复 等 管 理 维 护 工 作 。
５．网络的高可靠性和高性能。网络系统成为实时系统后， 网 络的高可靠性将成为网络的基本要求之一。骨干网络的故障会 造成巨大影响， 因此， 整个网络系统必须有良好的可靠性及一定 程度的冗余。同时， 为了及时、迅速地处理网络上传送的数据， 网 络设备必须具备高速处理能力， 提供高速数据链路， 保证网络高 吞吐能力， 满足各种应用对网络带宽的需求。
第 ５ 期（ 总 第５３７ 期 ）
教育技术
浅析校园网的升级和改造
李小志
［摘要］对校园网实施升级与改造是顺应教育信息化发展的趋势。学校应从校园网的发展目标及设计原则入手，考虑校园网升 级、改造中网络设备的选型、优化及网络应用。本文从五个方面对升级、改造校园网的设计思路和具体实现方法进行了探讨。
［关键词］校园网 升级改造 虚拟局域网 ［作者简介］李小志（１９７４－），男，湖北荆州人，温州大学现代教育技术中心工程师，华中科技大学计算机学院就读工程硕士，研 究方向为计算机网络应用及计算机和网络安全。（浙江 温州 ３２５０３５） ［中图分类号］Ｇ４０－０５７ ［文献标识码］Ａ ［文章编号］１００４－３９８５（２００７）０５－０１５８－０２
四、网络安全策略 网络安全是任何一个网络都要考虑的重要问题， 选择的网 络设备必须具备足够的自我保护和防范能力， 同时在设计网络 系统时， 也要将部署网络安全在整个设计过程中都考虑到。首 先， 要考虑网络的全网安全。全网安全防护就是对整个网络实施 保护， 使用一台专用的安全策略服务器， 专门检测需要上网的用 户是否符合安全防护的设置。若认证通过， 用户可以上网； 若认 证不能通过时， 安全策略服务器就将用户自动转到隔离区中， 让 其自动完成相关内容的更新或升级后， 才能重新上网。其次， 对 重点区域重点防护。即在网络的要害以及安全隐患严重的部位 进行重点保护， 而在其余部位通过对交换机、路由器等设备进行 必要的病毒 ＡＣＬ 控制与隔离， 实施普及性的安全防范措施。最 后， 要部署入侵检测系统。网络安全是整体的、动态的， 入侵检测 系统可对透过防火墙的攻击进行检测并做出相应反应（ 记录、报 警、阻断） 。采用 ＩＤＳ 可以增强校园网系统抵御非法入侵的能力，
汇聚层交换机在校园网的网络层次结构中也十分重要。其功 能主要是连接核心层和接入层， 负责汇集分散的接入点， 完成数 据传送、数据交换功能， 提供流量控制和用户管理功能。核心交 换机通过光纤下连到汇聚层交换机上， 形成网络主干。为保证核 心交换机性能的最大化， 要选择全线速三层光纤模块进行路由 转发， 在核心交换机和汇聚层交换机之间， 采用双链路技术， 保证 链路冗余和网络负载均衡， 汇聚层交换机端口要具有全线速三 层交换的能力， 具有扩展槽， 能实现多机互连， 从而扩大网络规模。
随着学校网络的发展， 基于网络的应用已经变得越来越多， 网络也变得越来越重要， 而学校原有的网络已经不能满足网络 现在发展的要求， 因此， 校园网的升级和改造成为必然。升级和 改造的核心是技术方案与网络设备的选择， 所以， 通过使用功能 及性能更高的网络设备及网络软件， 最大限度地发挥校园网的 功能， 是升级和改造校园网的途径。而其中最重要的是主干网 络， 它是校园网的主要数据通道， 要求有极高的传输率， 最大限 度地避免堵塞， 所以在改造主干网时， 必须保证具有很高的可靠 性 、稳 定 性 和 安 全 性 。
二、网络拓扑结构和网络传输介质 网络拓扑结构是网络上各节点相互连接的方式， 设计指导 原则是要以最经济的方法， 有效地实现网络设计目标。从网络应 用和带宽需求的角度来看， 校园网基本上采用主干网和功能子 网相连的层次结构， 即整个网络通过层次结构来进行统一规划。 主干网多采用环形结构， 来保证主干网能够处于一种安全状态， 主干网各节点之间负载均衡。汇聚层和接入层上各节点可根据 情况灵活采用树型结构， 这样就可以方便地规划子网和网段， 便 于维修和扩展。对布线系统与传输介质， 要采用千兆水平布线系 统加 １０Ｇ 光缆主干系统。布线技术是网络的基 础 ， 各 种 通 讯 数 据都要依赖布线技术所构建的网络通信平台， 布线技术的选择 是以满足校园网络功能为标准。目前大多数校园网用户中， 光纤 布线仍停留在主干网络， 光纤到桌面没有得到真正普及。双绞线 涵盖了校园网绝大部分用户， ６ 类布线系统也未普及。而 ６ 类布 线具有更好的抗噪 声 性 能 ， 可 提 供 更 透 明 、更 全 能 的 传 输 信 道 ， 在高频率上尤其如此， 因此到桌面的布线中应采用 ６ 类布线。 三、网络技术选择和设备选型 升 级 后 的 校 园 网 网 络 结 构 是 按 核 心 层 、汇 聚 层 、接 入 层 三 层 网络结构分层设计的， 即网络根据不同的功能分为核心层、汇聚 层和接入层。分层设计的目的是为了使网络结构简单清晰， 提高 网络的可扩展性， 并将区域故障的影响降到最小。核心层和汇聚
由于网络应用系统的日益成熟， 网络信息数据量不断增大， 再 加 上 现 在 应 用 系 统 广 泛 地 采 用 Ｂ／Ｓ（浏 览 器 ／ 服 务 器）的 模 式 ， 网络中的大量流量流向应用服务器群中。为了支持越来越多的 应用服务数据传递， 可使用分布的多台应用服务器连接， 在保证 服务器冗余连接、消 除 单 点 故 障 的 同 时 ， 提 供 双 倍 的 交 换 带 宽 ， 极大地提高了服务器的访问速度。
对于交换式以太网， 如果对某些用户重新进行网段分配， 需 要网络管理员对网络系统的物理结构重新进行调整， 甚至需要 追加网络设 备 ， 增 大 网 络 管 理 的 工 作 量 。 而 对 于 采 用 ＶＬＡＮ 技 术 的 网 络 来 说 ， 一 个 ＶＬＡＮ 可 以 根 据 部 门 职 能 、对 象 或 者 应 用 将不同地理位置的网络用户划分为一个逻辑网段， 在不改动网 络物理连接的情况下可以任意地将计算机在工作组或子网之间 移动。利用虚拟网络技术， 大大减轻了网络管理和维护工作的负 担， 降低了网络维护费用。在一个交换网络中， ＶＬＡＮ 提供了网 段和机构的弹性组合机制。此外， 如果出现 ＩＰ 地址盗用， 或部分 机器感染病毒等情况， 也可以缩小故障排查的范围， 提高网管工 作的效率。
４．网络的安全性。网 络 安 全 是 保 证 系 统 安 全 运 行 的 重 要 基 础， 是网络设计的一个重要环节。因此， 为了保护网络数据的安 全性， 必须提供多种方式和层次的访问控制， 通过使用网络用户 身 份 识 别 、ＶＬＡＮ、包 过 滤 、入 侵 检 测 及 防 火 墙 等 技 术 来 保 证 网 络系统的安全性。
一、校园网升级和改造的目的及原则 目前学校校园网的基本硬件主要由核心交换机、路由器组 成。校园网主干采用 １０００Ｍ 带宽， 支线 １００Ｍ 到桌面， 主干线路 采用单模和多模光 纤 铺 设 ， 覆 盖 了 校 内 的 行 政 楼 、教 学 楼 、机 房 等， 服务含 ＤＮＳ 服务器、Ｗｅｂ 服务器、Ｅｍａｉｌ 服务器、ＦＴＰ 服务器 等， 校园网覆盖全校， 并与 ＣＥＲＮＥＴ 或 ＣＨＩＮＡＮＥＴ 连接。随着学 校和网络的发展， 特别是学校网络资源的增加和网络应用的增 多， 校园网难以为教学、科研和行政部门提供更好的服务， 因此， 校园网有待升级和 改 造 。 要 贯 彻“ 科 学 论 证 、统 一 规 划 、分 步 实 施、统一标准”的 科 学 指 导 思 想 ， 以 计 算 机 多 媒 体 教 学 和 网 络 技 术在教学、科研和行政管理中的应用为核心， 开展网络教学的现 代教育手段的推广， 更好地为教学、科研和行政管理服务。在实 施时要充分考虑到将来整个网络系统的投资保护和对新应用的 支持， 使校园网有较大的增值空间和生命周期。整个设计及实施 过程应充分遵循以下原则： １．采用标准化、开放的网络技术。在 结 构 上 实 现 真 正 开 放 ， 使网络具有良好的开放性和兼容性。开放的系统可以使用户自 由地选择不同厂家的计算机、网络设备及操作系统， 构成真正的 跨软硬件平台的系统。网络的设计基于国际标准， 网络设备采用 标准的接口和规范的协议， 满足学校的不同需求并充分利用软 硬件资源， 有效地保护学校投资的长期效益。 ２．网络可扩充性。随着学校应用规模的扩大， 网ຫໍສະໝຸດ Baidu要进行扩 充容量以支持更多的用户和应用； 随着网络技术的不断发展， 网 络要能够平稳地过渡到新的技术和设备。为了保护学校的投资 ， 网络设备在将来网络升级或再投资的情况下， 能够随时通过增 加网络设备或模块来对现有设备进行升级和扩充， 并能把替换 下来的设备应用到分支或边缘网络上。
教育技术
第 ５ 期（ 总 第５３７ 期）
层分别承担网络运行中枢， 保证接入层的有效连接， 提供分布服 务， 因此对系统的各个组成部分有着更为严格的要求， 任何意外 的停机事故都将对整个网络造成严重影响。
选择核心交换设备， 要根据校园网升级改造的设计原则， 以 提高核心设备的可靠性和可用性为目的。核心交换机作为整个 网络的枢纽， 它承担了整个网络的全部通信业务， 其主要功能是 完成高速信息交换， 数据快速转发， 与主干网的互联， 提供高速 ＩＰ 数据出口。因此， 网络的控制功能最 好 尽 量 少 在 核 心 层 上 实 施， 选择核心交换设备必须考虑如下因素： 一是核心交换设备要 有多个接口插槽， 在满足目前需求的基础上， 未来可插万兆接口 模块； 二是具有线速无阻塞交换的交换背板； 三是配备双电源和 风扇， 提供电源的供电负载均衡和冗余备份； 四是有双管理模块 的冗余配置， 可以进行相互备份； 五是核心交换设备之间要采用 双链路， 利用端口链路聚合技术进行连接。
接入层网络设备要具有多个支持线速的千兆端口， 可以连 接多台设备， 这样整个网络就从三个层面有效地保证了可扩充 性和先进性， 接入层交换机一般选用 １０Ｍ／１００Ｍ 自适应以太网 交 换 机 ， 提 供 １００Ｍ 交 换 到 用 户 桌 面 ， 另 外 需 要 强 调 的 是 ， 接 入 层交换机要 支 持 ＶＬＡＮ 虚 拟 网 划 分 技 术 ， 通 过 进 行 访 问 控 制 ， 充分保证每个 ＶＬＡＮ 之间的安全性。
通过将网络划分 ＶＬＡＮ， 可以强化网络管理和网络安全， 控 制不必要的数据广播。在共享网络中， 一个物理的网段就是一个 广播域。而在交换网络中， 广播域可以是有一组任意选定的第二 层网络地址（ＭＡＣ 地址）组成的虚拟网段。这样， 网络中计算机的 划分可以突破共享网络中的地理位置限制， 而完全根据管理功 能来划分。这种基于工作流的分组模式， 大大提高了网络规划和 重组的管理 功 能 。 在 同 一 个 ＶＬＡＮ 中 的 计 算 机 ， 不 论 它 们 实 际 与哪个交换机连接， 它们之间的通讯就好像在独立的交换机上 一样。同 一 个 ＶＬＡＮ 中 的 广 播 只 有 ＶＬＡＮ 中 的 成 员 才 能 听 到 ， 而不会传输 到 其 他 的 ＶＬＡＮ 中 去 ， 这 样 可 以 很 好 地 控 制 不 必 要 的广播风暴的产生。