接入层网络设备要具有多个支持线速的千兆端口， 可以连 接多台设备， 这样整个网络就从三个层面有效地保证了可扩充 性和先进性， 接入层交换机一般选用 １０Ｍ／１００Ｍ 自适应以太网 交 换 机 ， 提 供 １００Ｍ 交 换 到 用 户 桌 面 ， 另 外 需 要 强 调 的 是 ， 接 入 层交换机要 支 持 ＶＬＡＮ 虚 拟 网 划 分 技 术 ， 通 过 进 行 访 问 控 制 ， 充分保证每个 ＶＬＡＮ 之间的安全性。
并帮助校园网管理者对入侵行为进行跟踪。 五、校园网 ＶＬＡＮ 的划分 出于 安 全 和 管 理 的 考 虑 ， 采 用 ＶＬＡＮ 技 术 也 是 网 络 应 用 的
有效措施之一。ＶＬＡＮ 又称虚拟局域网， 运用 ＶＬＡＮ 技术将分布 在不同节点上、不同部门的用户分成一个虚拟子网， 并限制部分 用户对该子网的访问。从根本上说， ＶＬＡＮ 技术不考虑用户的物 理位置， 即从逻辑上划分为一个功能相对独立的工作组， 不同的 ＶＬＡＮ 赋予不 同 的 访 问 权 限 和 不 同 的 安 全 级 别 。ＶＬＡＮ 技 术 的 核心是网络分段。ＶＬＡＮ 的安全性要从各个角度充分考虑， 首先 是看设备支持的技术标准， 同时要考虑其路由功能， 跨 ＶＬＡＮ 的数据储存转发、基于 ＩＰ 地址和应用协议的过滤功能、ＱＯＳ 定 义流量等， 只有具备了上述技术， ＶＬＡＮ 划分才能实现安全、可 靠的端到端的访问。
由于网络应用系统的日益成熟， 网络信息数据量不断增大， 再 加 上 现 在 应 用 系 统 广 泛 地 采 用 Ｂ／Ｓ（浏 览 器 ／ 服 务 器）的 模 式 ， 网络中的大量流量流向应用服务器群中。为了支持越来越多的 应用服务数据传递， 可使用分布的多台应用服务器连接， 在保证 服务器冗余连接、消 除 单 点 故 障 的 同 时 ， 提 供 双 倍 的 交 换 带 宽 ， 极大地提高了服务器的访问速度。
５．网络的高可靠性和高性能。网络系统成为实时系统后， 网 络的高可靠性将成为网络的基本要求之一。骨干网络的故障会 造成巨大影响， 因此， 整个网络系统必须有良好的可靠性及一定 程度的冗余。同时， 为了及时、迅速地处理网络上传送的数据， 网 络设备必须具备高速处理能力， 提供高速数据链路， 保证网络高 吞吐能力， 满足各种应用对网络带宽的需求。
通过将网络划分 ＶＬＡＮ， 可以强化网络管理和网络安全， 控 制不必要的数据广播。在共享网络中， 一个物理的网段就是一个 广播域。而在交换网络中， 广播域可以是有一组任意选定的第二 层网络地址（ＭＡＣ 地址）组成的虚拟网段。这样， 网络中计算机的 划分可以突破共享网络中的地理位置限制， 而完全根据管理功 能来划分。这种基于工作流的分组模式， 大大提高了网络规划和 重组的管理 功 能 。 在 同 一 个 ＶＬＡＮ 中 的 计 算 机 ， 不 论 它 们 实 际 与哪个交换机连接， 它们之间的通讯就好像在独立的交换机上 一样。同 一 个 ＶＬＡＮ 中 的 广 播 只 有 ＶＬＡＮ 中 的 成 员 才 能 听 到 ， 而不会传输 到 其 他 的 ＶＬＡＮ 中 去 ， 这 样 可 以 很 好 地 控 制 不 必 要 的广播风暴的产生。
１５８ ２００７ 年 ２ 月中
３．网络的可管理性。网 络 应 该 能 够 提 供 方 便 、灵 活 、有 力 的 工具， 对网络进行集中式的有效管理和控制。方便的监控、良好的管 理界面、完备的系统记录都能使管理员在不改变系统运行的 情 况 下 对 网 络 系 统 进 行 检 测 、修 改 及 故 障 恢 复 等 管 理 维 护 工 作 。
四、网络安全策略 网络安全是任何一个网络都要考虑的重要问题， 选择的网 络设备必须具备足够的自我保护和防范能力， 同时在设计网络 系统时， 也要将部署网络安全在整个设计过程中都考虑到。首 先， 要考虑网络的全网安全。全网安全防护就是对整个网络实施 保护， 使用一台专用的安全策略服务器， 专门检测需要上网的用 户是否符合安全防护的设置。若认证通过， 用户可以上网； 若认 证不能通过时， 安全策略服务器就将用户自动转到隔离区中， 让 其自动完成相关内容的更新或升级后， 才能重新上网。其次， 对 重点区域重点防护。即在网络的要害以及安全隐患严重的部位 进行重点保护， 而在其余部位通过对交换机、路由器等设备进行 必要的病毒 ＡＣＬ 控制与隔离， 实施普及性的安全防范措施。最 后， 要部署入侵检测系统。网络安全是整体的、动态的， 入侵检测 系统可对透过防火墙的攻击进行检测并做出相应反应（ 记录、报 警、阻断） 。采用 ＩＤＳ 可以增强校园网系统抵御非法入侵的能力，
一、校园网升级和改造的目的及原则 目前学校校园网的基本硬件主要由核心交换机、路由器组 成。校园网主干采用 １０００Ｍ 带宽， 支线 １００Ｍ 到桌面， 主干线路 采用单模和多模光 纤 铺 设 ， 覆 盖 了 校 内 的 行 政 楼 、教 学 楼 、机 房 等， 服务含 ＤＮＳ 服务器、Ｗｅｂ 服务器、Ｅｍａｉｌ 服务器、ＦＴＰ 服务器 等， 校园网覆盖全校， 并与 ＣＥＲＮＥＴ 或 ＣＨＩＮＡＮＥＴ 连接。随着学 校和网络的发展， 特别是学校网络资源的增加和网络应用的增 多， 校园网难以为教学、科研和行政部门提供更好的服务， 因此， 校园网有待升级和 改 造 。 要 贯 彻“ 科 学 论 证 、统 一 规 划 、分 步 实 施、统一标准”的 科 学 指 导 思 想 ， 以 计 算 机 多 媒 体 教 学 和 网 络 技 术在教学、科研和行政管理中的应用为核心， 开展网络教学的现 代教育手段的推广， 更好地为教学、科研和行政管理服务。在实 施时要充分考虑到将来整个网络系统的投资保护和对新应用的 支持， 使校园网有较大的增值空间和生命周期。整个设计及实施 过程应充分遵循以下原则： １．采用标准化、开放的网络技术。在 结 构 上 实 现 真 正 开 放 ， 使网络具有良好的开放性和兼容性。开放的系统可以使用户自 由地选择不同厂家的计算机、网络设备及操作系统， 构成真正的 跨软硬件平台的系统。网络的设计基于国际标准， 网络设备采用 标准的接口和规范的协议， 满足学校的不同需求并充分利用软 硬件资源， 有效地保护学校投资的长期效益。 ２．网络可扩充性。随着学校应用规模的扩大， 网络要进行扩 充容量以支持更多的用户和应用； 随着网络技术的不断发展， 网 络要能够平稳地过渡到新的技术和设备。为了保护学校的投资 ， 网络设备在将来网络升级或再投资的情况下， 能够随时通过增 加网络设备或模块来对现有设备进行升级和扩充， 并能把替换 下来的设备应用到分支或边缘网络上。
４．网络的安全性。网 络 安 全 是 保 证 系 统 安 全 运 行 的 重 要 基 础， 是网络设计的一个重要环节。因此， 为了保护网络数据的安 全性， 必须提供多种方式和层次的访问控制， 通过使用网络用户 身 份 识 别 、ＶＬＡＮ、包 过 滤 、入 侵 检 测 及 防 火 墙 等 技 术 来 保 证 网 络系统的安全性。
随着学校网络的发展， 基于网络的应用已经变得越来越多， 网络也变得越来越重要， 而学校原有的网络已经不能满足网络 现在发展的要求， 因此， 校园网的升级和改造成为必然。升级和 改造的核心是技术方案与网络设备的选择， 所以， 通过使用功能 及性能更高的网络设备及网络软件， 最大限度地发挥校园网的 功能， 是升级和改造校园网的途径。而其中最重要的是主干网 络， 它是校园网的主要数据通道， 要求有极高的传输率， 最大限 度地避免堵塞， 所以在改造主干网时， 必须保证具有很高的可靠 性 、稳 定 性 和 安 全 性 。
汇聚层交换机在校园网的网络层次结构中也十分重要。其功 能主要是连接核心层和接入层， 负责汇集分散的接入点， 完成数 据传送、数据交换功能， 提供流量控制和用户管理功能。核心交 换机通过光纤下连到汇聚层交换机上， 形成网络主干。为保证核 心交换机性能的最大化， 要选择全线速三层光纤模块进行路由 转发， 在核心交换机和汇聚层交换机之间， 采用双链路技术， 保证 链路冗余和网络负载均衡， 汇聚层交换机端口要具有全线速三 层交换的能力， 具有扩展槽， 能实现多机互连， 从而扩大网络规模。
对于交换式以太网， 如果对某些用户重新进行网段分配， 需 要网络管理员对网络系统的物理结构重新进行调整， 甚至需要 追加网络设 备 ， 增 大 网 络 管 理 的 工 作 量 。 而 对 于 采 用 ＶＬＡＮ 技 术 的 网 络 来 说 ， 一 个 ＶＬＡＮ 可 以 根 据 部 门 职 能 、对 象 或 者 应 用 将不同地理位置的网络用户划分为一个逻辑网段， 在不改动网 络物理连接的情况下可以任意地将计算机在工作组或子网之间 移动。利用虚拟网络技术， 大大减轻了网络管理和维护工作的负 担， 降低了网络维护费用。在一个交换网络中， ＶＬＡＮ 提供了网 段和机构的弹性组合机制。此外， 如果出现 ＩＰ 地址盗用， 或部分 机器感染病毒等情况， 也可以缩小故障排查的范围， 提高网管工 作的效率。
第 ５ 期（ 总 第５３７ 期 ）
教育技术
பைடு நூலகம்
浅析校园网的升级和改造
李小志
［摘要］对校园网实施升级与改造是顺应教育信息化发展的趋势。学校应从校园网的发展目标及设计原则入手，考虑校园网升 级、改造中网络设备的选型、优化及网络应用。本文从五个方面对升级、改造校园网的设计思路和具体实现方法进行了探讨。
［关键词］校园网 升级改造 虚拟局域网 ［作者简介］李小志（１９７４－），男，湖北荆州人，温州大学现代教育技术中心工程师，华中科技大学计算机学院就读工程硕士，研 究方向为计算机网络应用及计算机和网络安全。（浙江 温州 ３２５０３５） ［中图分类号］Ｇ４０－０５７ ［文献标识码］Ａ ［文章编号］１００４－３９８５（２００７）０５－０１５８－０２
二、网络拓扑结构和网络传输介质 网络拓扑结构是网络上各节点相互连接的方式， 设计指导 原则是要以最经济的方法， 有效地实现网络设计目标。从网络应 用和带宽需求的角度来看， 校园网基本上采用主干网和功能子 网相连的层次结构， 即整个网络通过层次结构来进行统一规划。 主干网多采用环形结构， 来保证主干网能够处于一种安全状态， 主干网各节点之间负载均衡。汇聚层和接入层上各节点可根据 情况灵活采用树型结构， 这样就可以方便地规划子网和网段， 便 于维修和扩展。对布线系统与传输介质， 要采用千兆水平布线系 统加 １０Ｇ 光缆主干系统。布线技术是网络的基 础 ， 各 种 通 讯 数 据都要依赖布线技术所构建的网络通信平台， 布线技术的选择 是以满足校园网络功能为标准。目前大多数校园网用户中， 光纤 布线仍停留在主干网络， 光纤到桌面没有得到真正普及。双绞线 涵盖了校园网绝大部分用户， ６ 类布线系统也未普及。而 ６ 类布 线具有更好的抗噪 声 性 能 ， 可 提 供 更 透 明 、更 全 能 的 传 输 信 道 ， 在高频率上尤其如此， 因此到桌面的布线中应采用 ６ 类布线。 三、网络技术选择和设备选型 升 级 后 的 校 园 网 网 络 结 构 是 按 核 心 层 、汇 聚 层 、接 入 层 三 层 网络结构分层设计的， 即网络根据不同的功能分为核心层、汇聚 层和接入层。分层设计的目的是为了使网络结构简单清晰， 提高 网络的可扩展性， 并将区域故障的影响降到最小。核心层和汇聚