校园网的规划与实现

伊健

摘要：该文从校园网的建设中涉及的网络技术以及网络设备入手，详细讨论校园网建设的目标、设计的原则和网络的结构，最终设计出一套安全性较好、可靠性较高的网络环境。文章运用云计算管理平台来管理分配云计算资源同时使用管理系统来管理网络设备资源情况，使得校园网的使用和管理更加便捷、智能。

关键词：网络结构；IRF；冗余备份；云计算；网络安全

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2023）13-0091-03

开放科学（资源服务）标识码（OSID）

0 引言

随着数字时代的到来，学校的教育、管理将会面临着全新的挑战，校园网信息化建设已经是校园基础设施建设的一个重要组成部分，如何将现代通信技术和手段引入校园管理之中，如何组建技术先进、可靠性高、安全性高和实用性强的校园网是一个亟待解决的课题[1]。只有将现代技术与传统技术有效结合，才能更好地达到信息化校园的需求，更好、更方便地管理校园。

1 需求

某师范学院拥有学生、教职工近3000人，网络建设最基本的要求是需要满足全校师生的网络连接。学校使用接入、汇聚、核心的三层网络架构来满足全体成员的网络需求。其中，接入层使用千兆网线，接入层交换机与汇聚层交换机之间使用千兆光纤连接，汇聚层交换机与核心层交换机之间使用万兆光纤连接。为了使网络具备冗余备份功能，核心层两台交换机使用IRF堆叠技术，下联设备和上联设备与核心交换机之间采用链路聚合，使得在交换机故障或链路故障时能保证网络不中断。同时，校内的接入点也需要进行一定的控制，防止不法分子使用接入点对校内网络系统进行攻击。校园网的网络建设大致如下：

1） 建立内外网互通的网络环境，以实现信息资源共享、网络资源共享等，达到校内师生可以轻松访问互联网的目的，从而提高办公、学习的效率。

2） 做好相应的安全策略，保证攻击者不能从互联网和校园内网对网络进行恶意攻击，实现安全稳定的校园网络环境。

3） 做好校内网络的冗余备份，避免单故障点对校园网络造成的不良影响。

此次校园网的规划设计的目标功能为：

标准性：在经济全球化的今天，每一个产品都不仅仅是一家就能完善所有系统的，网络设备也是一样，在网络规划设计时，网络协议、接口等使用国际标准，从而确保不同品牌的设备之间可以实现兼容，达到整个校园网的互通互联，同时也方便校园网在以后的扩展中不受产品的制约[2]。

安全性：在网络安全特别重要的今天，只有保证网络的安全性，才能保证数据的安全，避免不必要的攻击对任何一个公民造成不必要的损失。通过配置安全策略，限制流量，提高网络管理水平。

可扩展性：在高等院校不断扩招的今天，以后的网络扩展、升级会变得越来越普遍化，终端设备的爆发式增长，人数的增加都需要对网络系统架构进行扩充，所以，在设备选型时需要考虑扩展性。

可靠性：现在的网络建成后，一般都是不间断运行，所以软件、硬件的可靠性也是一个非常重要的参考项。软件可靠性包括故障记录、预警能力、错误恢复能力。硬件可靠性包括文件传输的冗余备份、网络结构设计、UPS等[3]。

管理性：网络系统完成之后，需要有专业的网络维护人员对设备进行监控和维护，网络管理员可以通过网络管理协议和网络管理软件对整个网络情况进行监控，包括网络数据流量大小的监控、网络设备硬件的监控等，从而确保网络稳定地运行。

2 整体网络拓扑设计

为了防止网络的单点故障，整个拓扑采用三层架构，核心层使用IRF堆叠技术[4]，汇聚层交换机与核心层交换机之间使用链路聚合，使得链路互相成为主备，接入层交换机连接到汇聚层交换机，对下层主机设备上传的数据进行转发。学院校园网的拓扑如图1所示：

为了保证网络可靠性，核心采用双设备，两台核心设备之间使用IRF堆叠技术。使用堆叠技术之后，在管理上，两台核心设备可以作为一台设备进行管理，在业务数据转发上，提升了设备的性能，保证了业务不会中断，实现了冗余备份的条件。在核心层交换机和汇聚层交换机之间使用了OSPF协议，实现了动态学习路由条目。当一台核心设备出现故障时，所有的数据流量会自动切换到另一台核心设备进行数据的转发，链路也会相应进行切换。校外出差的老师和不在校的学生若是访问校内资源时，使用SSL VPN技术来访问校内资源，不同用户组的用户设置不同的权限，达到不同用户登录VPN后访问的资源权限有所区别。

3 IP地址规划

根据校园的网络使用要求以及校园地理位置的分布情况，对不同楼栋使用不同网段的IP地址。具体IP地址规划如表1所示：

4 测试

4.1 NAT地址转换测试

NAT地址转换如果出现错误，那么就会导致内网用户不能访问互联网，所以，NAT地址转换测试的重要性不言而喻。此次测试NAT地址转换从地址池、地址转换的配置情况和地址转换的记录两个方面进行一个小的测试，从而检测NAT配置正确与否。地址池配置等测试结果如图2所示：

从图3可以看出，私网地址为192.168.2.1转换为公网地址200.1.1.4，再从图2中可以看出，地址池的范围中包含200.1.1.4的地址。同时可以看出私网地址的端口为154，转换后的公网地址的端口为0，因此得出此NAT为动态NAT的结论。

4.2 SSL VPN测试

SSL VPN测试通过外网电脑使用浏览器进行SSL VPN访问iMC进行测试。测试结果如图4和图5所示：

4.3 连通性测试

连通性测试通过校内主机ping公网路由器ISP的接口地址进行测试。测试结果如图6所示：

5 结束语

本次网络规划与设计是以某师范学院为基础，结合项目中网络建设需求的规划，从网络整体规划到实施测试以及最终的网络安全平台、网络管理平台、云计算管理平台的搭建等方面进行描述。由于校园网的用户数目较多，且分布在教学区、生活区等不同区域，为了方便管理并顺应现代网络架构发展的趋势，最终确定网络为由核心层、汇聚层、接入层组成的三层架构。采用了多种冗余备份技术，达到了网络稳定性高和可靠性高的需求。

整个学院的网络规划设计与实现过程中使用了VLAN、ACL、防火墙等技术保证了校园网的安全访问，使用SSL VPN保障了校園成员在外出时可以合法地访问校内的资源，使用了IRF堆叠技术和链路聚合技术保证了网络的冗余备份，使用了云计算保证了资源了高效利用，使用了SNMP和iMC保障了网络的实时告警。最终综合使用这些技术，使得学院的校园网拥有了合理、安全的使用环境，成为一个合格的校园网络。

通过使用VLAN、ACL、IRF、链路聚合等技术，学院校园网实现了资源合理化运用，核心设备具有可靠性高，网络结构标准化，网络设备可管理化等优点。客户表示此次实施方案以及实施结果达到了他们的预期，对本次实施给予了很大的肯定。

参考文献：

[1] 陈斌.校园网信息化建设与安全问题的处置方式探寻[J].科技资讯，2017，15（5）：31-31，33.

[2] 潘银松，颜烨，高瑜.计算机导论[M].重庆：重庆大学出版社，2020.

[3] 颜光.某高职院校校园网改造方案的设计与实施[D].南京：南京邮电大学，2019.

[4] 廖文建.IRF技术初探与实际应用[J].网络安全和信息化，2018（6）：64-66.

【通联编辑：代影】