陕西交通职业技术学院校园网络建设探析

陕西交通职业技术学院校园网络建设探析

本文在分析陕西交通职业技术学院校园网络现状和存在问题的基础上，提出了加强校园网络建设的对策，并设计了未来发展规划，以期推动校园网络的规

范化。

标签：陕西；交通技术学院；网络现状分析；对策

一、前言

陕西交通职业技术学院（以下简称陕交职院）校园网经过近十年的建设与发展，目前已经初具规模，通过中国电信的100M光纤实现了学院的公网接入，同时在教育网方面有一条2M的数字线路接入。自强校区通过裸光纤与新校区相连，实现整个学院统一出口。随着学院规模不断扩大，困扰网络管理者的问题也会逐渐凸显出来，第一，现有的出口带宽已成为学院访问互联网的一大瓶颈，根据笔者的调查，目前校园网内所有用户都在使用100M电信出口，并且95%以上用户都是以访问互联网作为主要的应用，所以出口带宽必须根据未来学院的发展，提高带宽。其次，由于陕交职院本身建有多个服务器，其中包含WEB、FTP、E-MAIL、VOD点播、教务系统、财务系统等多个应用服务器，数据资源庞大，学院内的教职工及学生对这些数据的访问量极大，往往数据到某一设备时出现阻塞甚至中断的现象，严重影响到用户的工作和学习。再次，校园网络属于大型的局域网，如果规划失当，极有可能会因为很小的问题，导致全网瘫痪，例如利用ARP协议的漏洞进行攻击、网络环路所造成的广播风暴堵塞设备端口等问题。所以建好一个高速、安全的网络要考虑的问题有多个方面，本文就陕交职院的校

园网进行分析。

二、陕交职院校园网络概况分析

陕交职院网络核心机房设在一号教学楼，千兆骨干网，百兆到桌面。主要的

网络安全的防护设备为一台天融信的防火墙及一台绿盟的WEB应用网关。

学院骨干网是一个典型的扁平2层结构，现有北电S8606作为核心路由交换机承担着学院所有3层转发和路由的工作，使用北电BAY70普通傻瓜式2层交换机作为终端设备的接入交换机，同时为了做链路的汇聚，也有一些2层交换机

被放在接入交换机上面起汇聚交换机作用，网络出口使用cisco3825路由器。

从网络设备方面看：大部分的设备已经不能满足现在学校对网络传输的需求，如接入交换机和汇聚交换机都为北电BAY70，不支持远程网管、VLAN划分、ARP防护、端口绑定等，所以在校园网的管理中给管理员造成了极大的困扰，更为危险的是由于设备不能支持VLAN划分导致全网都在一个广播域范围

内通信，如果一台PC发出广播就会对全网造成冲击，网络安全隐患极大。

从网络管理方面看：由于设备的不支持IP、MAC、端口的相互绑定，网络用户可随意修改IP地址，容易造成IP地址冲突现象；而且没有统一的网络管理

软件，管理员也很难统一对网络进行管理。

从网络安全方面看：近年来，各个企事业单位的门户网站屡次出现SQL注入，出现问题往往令管理员措手不及，恢复后很快又会出现此类问题，究其原因主要因为大多数网站的代码有漏洞，该漏洞被攻击者发现并利用该漏洞攻击

WEB网站。

从网络框架方面看：学院目前的网络结构为单路由、单核心，没有构建冗余网络结构，所以导致学院网络正常运行的瓶颈增多，上层设备出现问题，整个网

络就会瘫痪。

三、陕交职院校园网络存在问题的解决对策分析

我们可以看到校园网大多数设备性能参数及功能模块均已无法满足学院未

来的发展，已不再适合日益壮大和复杂的校园网，网络优化已经迫在眉睫。

首先，考虑到校园网中目前存在的无序、拥塞、病毒泛滥、带宽占用严重等现状，校园网的网络优化应该先从整理现有扁平化结构为3层星型结构，在现有物理结构不变的前提下，对接入交换机和核心交换机之间升级原有L2层设备，在核心和接入之间部署L3层设备，现有北电S8606核心交换机因年代久远，器件老化等原因加之北电设备已经没有延续性硬件及软件升级保障条件，可将现有核心交换机更换为具有超强包转发率及超大背板带宽的设备，同时为了保证网络的不间断通信，应重新构建校园核心骨干网，增加冗余设备，使用双核心构架组网，为了让同一类同一楼宇的接入交换机之间寻址不再依赖于核心设备，把核心设备解放出来，专心做高速的流转发等本职工作，可在接入交换机和核心交换机之间部署汇聚交换机，部署策略为重点解决网络带宽共享、寻址、ARP报文终

结等问题。

其次，在现有基础上，加强立体安全防护，因为仅仅只靠边界防火墙做网络进出口策略对校园网安全防护是远远不够的，网外的应用层攻击等威胁防火墙根本无法处理。由于防火墙的部署问题来自网内的各类威胁，防火墙不能提供相应的保护，这样会威胁到内网的各个设备及最重要的核心交换机和数据中心，尤其是数据中心承载着大量的数据，安全防范必须做到万无一失。所以经过我们多次调研，为数据中心配备了WEB安全网关，该网关具有强大的特征病毒库，可对进出数据中心的应用层数据进行深层剖析，有效的阻挡了各类有害信息。我们近期还会在出口处配备安全审计设备，在现有的核心交换机、数据中心等周围建立能够监控和分析网络内部流量情况的功能的产品，旨在正确认识和管理、消化网络的应用消耗，同时对于网络内部，核心交换机、服务器群等网络关键部分实施

区域防火墙的安全防护。

网络已成为我们工作、学习、生活必不可少的一部分了，各式各样的带宽需求已使网络不堪重负，各种应用对带宽资源的无序抢占，已成为所有网络管理者

无法回避的巨大挑战。所以部署流量控制设备显得至关重要，现从两个方面进行

了设计：

第一，互联网出口带宽虽然较以往的10M提高到100M，但网速问题依然无法得到显著改善。提升的带宽资源本应用于提高Web浏览、邮件、视频会议等关键业务的质量，但实际上并没有给这些应用带来足够的带宽保证，而是在第一时间被非工作应用或一些不太重要的业务抢占殆尽，特别是P2P下载及基于P2P 的在线音视频等，致使IT投资得不到有效的回报，所以在增加网络带宽的同时应配备流量控制设备，基于IP或基于应用类型进行带宽的分配，我们今年4月

购置了流量控制设备，解决了上述的问题。

第二，虽然诸如IM聊天、网络游戏等应用不会无节制的抢占带宽，也不会造成安全威胁，但这些应用会极大降低相关人员的工作效率以及浪费学院的办公资源，对学院形象和后续发展造成不良影响，我们在防火墙上针对数据端口号进行屏蔽，比如在线游戏端口、股票交易端口等一系列娱乐端口根据时间进行开放

或者屏蔽。

四、陕交职院校园网络的未来规划设计

学院网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、

成熟性，并采用模块化的设计方法，笔者绘制了相应的网络拓扑。

五、结语

建设完善的校园网络需要网络管理者的大量工作，网络技术日新月异，笔者需要不断的交流和学习，同时作为学院的一名网络工作者，管理好学院网络任重

而道远，祈望各位读者能给予我更多的建议和意见。

【作者简介】

刘小飞（1983-），陕西交通职业技术学院网络中心主任，助教，从事计算机网络開发与研究工作.