2012年第

·

3

期太原城市职业技术学院学报JournalofTaiYuanUrbanVocationalcollege期总第128

期

Mar2012

[摘要]伴随现代网络技术的飞速发展，我国的校园网建设已相当普及。尤其在高校中，校园网作为教研办公不可或缺的基础设施，覆盖率几乎达到了100%。论文主要从校园网的总体规划、方案设计、资源建设和网络管理这四方面来探讨它的建设问题，其中对方案设计进行了重点阐述。[关键词]校园网；网络建设；资源建设；网络管理[中图分类号]TP[文献标识码]A[文章编号]1673-0046（2012）3-0162-03

浅谈校园网的规划与建设郑燕玲（汕头职业技术学院，广东汕头515041）

一、总体规划校园网建设要先总体规划，再分步实施。其中，总体规划极为重要。高校应当从自身的实际情况出发，结合学校的经济实力和长远发展规划，以满足教学科研和办公管理需要为核心，经过严密推敲和科学论证，最终形成一套完善可行的建设方案。1.确立目标总体规划的第一步是确立目标。只有在方案设计之初便定好明确的设计目标，才能最大限度地避免网络建成之后出现的应用需求无法满足或功能不实用等严重问题，确保校园网建设最终能顺利投入使用。一个完整的校园网应至少满足以下两大应用目标：（一）能够为学校的教学、科研、日常办公、行政管理和图书资源管理等提供高效服务。这也是校园网的基本功能要求。（二）实现与广域网的互联。通过连接到广阔的Internet，从中获取更丰富的教育资源，更好地促进校内外的交流和合作。总而言之，校园网建设的最终目标是建成一个对内能满足教学、科研、管理、办公等需要，对外能与Internet互联、共享因特网资源，集技术先进、结构合理、扩展性强等特点于一体，覆盖整个校园范围的计算机网络系统。2.规划原则校园网建设是一项浩大的工程，其总体方案设计应具有高度科学性。具体要遵循如下设计原则：（1）实用性和先进性网络既要满足应用需求，又必须具有较强生命力，在技术选型、设备选型和软件配置等方面，都应选择目前市场上成熟稳定、通用性强且具有良好发展前景的主流产品。（2）开放性和可扩充性采用的技术和产品要有充分的可扩充能力和升级能力，以方便以后能顺利向更先进的网络技术过渡，保持网络系统的先进性。（3）安全可靠性网络系统的各环节都要具备良好的防灾难、抗攻击等特性，还要有充分的冗余和容错能力，以使网络系统在受到黑客入侵或出现局部故障时，系统整体仍能保持良好运转，并提供不间断服务。（4）可管理性和可维护性从整体方案设计到个别的技术选型、设备选型，都应从方便管理和维护的角度出发；先进的网络管理系统的采用，也能进一步提高管理的便捷性。（5）经济性在充分考虑学校经济能力的基础上，进行详细的市场调查和研究，选择性价比最高、最适合的方案和产品，不要盲目追求最好最贵。二、方案设计校园网建设的方案设计主要从网络技术、网络结构、网络设备、布线系统和操作系统等方面来进行阐述，以确定最合适的方案。1.网络体系结构的选择网络体系结构定义了计算机网络系统的层次结构和层间协议，它为网络的通讯协议、数据存取控制、拓扑结构和软硬件等提供标准。网络体系结构的选择是校园网技术设计的核心，它直接影响着接下来的布线、接口等工作以及网络的整体性能。该方案采用TCP/IP模型这一事实上的国际标准来搭建校园网的体系结构。2.网络技术的选择目前市场上可以提供的组网技术主要有FDDI、ATM、以太网等。其中，FDDI虽在100Mbps传输技术上发展比较成熟，但造价高、升级难，也无法支持大量多媒体通讯同时进行；ATM能提供较高的网络带宽和服务质量，是多媒体应用系统的理想平台，但其尚无统一标准，且带宽实际利用率低、工程造价和维护费用高；相比之下，以太网明显具有更高的优势。以太网一直是局域网技术的主流，目前已发展至千兆以太网。千兆以太网是传统以太网（10M）和快速以

162··太网（100M）的成功扩展，具有如下优点：带宽资源丰富，能充分满足校园网对高带宽的需求；兼容性好，能方便快捷地实现从以太网和快速以太网升级，最大限度保护用户现有投资；经济实用，性价比高，便于管理。综上所述，本方案采用以太网技术来组网。3.网络拓扑结构和网络设备的选择从校园网的功能需求出发，网络系统具体划分为如下模块：办公子网、教学子网、图书馆子网、宿舍子网、IC卡管理系统、因特网接入、远程访问接入以及WWW服务、E-mail服务、FTP服务、DNS服务系统等。为满足校园网高可靠性和易扩充性的要求，采用星型拓扑结构来组网。在星型结构下，整个网络具有一个总节点，这节点构成了网络中心，各功能模块以子网的形式汇接到网络中心，子网中心构成二级节点。这样，网络系统实际上形成了三层的拓扑结构。具体组织方式如下：以主干网为交换核心，连接各子网；每个子网向下划分成多个工作组网；每个工作组网向下再划分成多个基层网段；桌面机直接连接到基层网段，服务器、工作站则根据功能和级别连接到相应的高层网络；整个网络系统由网络中心集中控制。网络系统的各环节具体设计如下：（1）主干网主干网负责整个网络信息流动的总调度，需要很大带宽和很强的中心交换能力。它必须提供如下功能：为子网之间的互联提供高速路由，实现核心高速交换；连接校园网共享的高性能服务器；实现广域网连接和远程访问；实现全网的系统管理和安全管理。主干网采用核心交换、划分子网的设计方案，通过千兆光缆和千兆以太网技术来组网。在中心机房，采用一台高性能千兆交换机（三层交换机）作为交换中心。这台中心交换机通过无屏蔽双绞线电缆将中心机房内的服务器群、路由器、机架MO-DEM等网络设备以星型方式连接起来，构成网络中心。中心交换机的选型，应选择交换容量大、配置冗余、容错性强、支持路由功能的多层交换机，它还要能支持多种不同规则的VLAN划分，具有防火墙和用户验证功能，并符合千兆以太网标准，有多个千兆接口，集先进性、高可靠性、可扩展性、易维护性和高性价比等特点于一体。（2）广域网接入校园网一般具有两个对外的连接接口：一个用于接入广域网，一个作为远程访问的入口。校园网接入广域网的方式有DDN接入、光纤接入等。为满足高带宽和高速率的要求，该方案采用了千兆光纤接入，主干网通过两条1000M光纤，分别接入中国教育和科研计算机网（CERNET）以及电信运营商提供的CHINANET。校园网与广域网的连接通过路由器来实现。在路由器的选型上，要选择具有两个广域网接口和一个备份口，并能支持PPP、帧中继、HDLC等多种协议的路由器。两个广域网接口分别连接到CERNET和CHINANET；备份口则作为备份线路，以在专线出现故障时，通过IS-DN/MODEM拨号连接到广域网。出于安全性考虑，网络出口必须安装防火墙，并且最好使用代理服务器。综上所述，校园网接入广域网的具体连接方式如下：路由器的局域网接口通过防火墙，由代理服务器连接到主干网的中心交换机；路由器的两个广域网接口分别通过千兆光纤接入CERNET和CHINANET，从而实现校园网与Internet的连接。（3）远程访问远程访问是校园网的另一个对外接口。校园网必须提供远程访问功能，以便学校师生在校外随时随地访问校园网资源。该方案采用SSLVPN技术来实现。SSL是建立在可靠传输协议之上的数据安全协议，为数据传输提供安全支持。SSLVPN通过浏览器内嵌的SSL协议，利用公用网络在浏览器与服务器之间建立起一条通信链路，实现端到端的身份认证和加密数据传输。相比IPSecVPN和其他远程技术，SSLVPN提供更高的安全性，并且在部署、管理和使用上都十分方便，还具有用户权限管理功能。SSLVPN的部署非常简单，只需将一台合适的SSLVPN网关服务器部署在网络内部的某个节点，再对中心网关进行简单配置之后即可使用。由于SSLVPN网关穿透力强，能以透明模式在NAT代理装置上工作，因此，它可根据需要随意调整在网络中的位置而不影响网络原有结构。通常它还具有防火墙功能，能够很好地监控网络进出数据。当校外用户需要访问校园网时，只需在浏览器中键入SSLVPN地址，输入账号和密码，就能得到SSLVPN网关分配的一个虚拟IP地址，实现对内网资源的远程访问。管理人员也可以在校外通过远程连接，对SSLVPN网关进行实时配置和管理。这种远程连接方式的数据吞吐能力很强，一般可支持至少数千个并发用户。（4）子网子网主要根据应用职能和地理分布进行划分。这里采用VLAN作为解决方案，将校园网按功能划分为办公楼、教学区、电教楼、图书馆、宿舍区等部门，每个部门通过VLAN形成边界，构成一个相对独立的子网。子网内部也采用交换结构。交换中心是一台子网交换机，这台交换机构成了网络的二级节点。子网与主干网的连接，通过千兆光纤将子网交换机与中心交换机相连来实现；在子网内部，则通过子网交换机将下级交换设备（三级交换机或集线器）、子网服务器和子网工作站连接起来；子网内可设置共享的服务器。各子网采用与主干网一致的通信协议，子网之间的通信通过路由功能来实现。在子网交换机的选型上，要求交换速度快、交换容量大，符合千兆以太网标准，具备第二层、第三层信息传输和温度警告等功能。选择高可靠性的100M交换机，实现与中心交换机1000M的连接速率。（5）工作组网工作组网是子网的下一级划分，可以是一间办公室、一个专业教研组或其他。工作组网也采用交换式以

163··太网来组网。方案的技术要点如下：工作组网通过三级交换机或集线器接入子网交换机，桌面电脑直接采用100MUTP连接到三级交换机的10/100MUTP端口；工作组内可设置共享的服务器；各工作组网采用与主干网一致的通信协议。当组内需要接入较多计算机时，可将交换机或集线器用堆叠方式通过扩展的千兆上联口与上一级交换机相连。如果某个工作组距离子网中心较远，还需选择带光纤模块的交换机，使它能通过光缆连接到子网交换机。在这样三级星型结构的组织下，该方案组建起了千兆交换为主干、百兆交换到桌面的校园网络系统。4.布线系统的选择布线系统是建筑物或建筑群内的传输网络，它的质量直接影响着网络系统的整体质量和服务性能。在综合考虑成本预算、应用需求及未来扩展等因素之后，选择结构化综合布线系统作为解决方案。综合布线系统是一种预布线系统，它采用开放式体系和模块化结构，通过建立一套国际标准化的布线系统，连接同一幢建筑物内的所有网络设备以及建筑物外部的通信网络，实现语音、数据、视像等信号的统一传输。它具有标准化、系统化、灵活化的优点，可根据实际需要灵活地变更或重组线路，具有良好的扩展能力，便于使用和管理，可靠性高。综合布线系统分为工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理间子系统、建筑群子系统等六个子系统。它一般采用三级星型的拓扑结构：以主机房为系统枢纽，一级为主机房连接至各层管理间的建筑主干及通路，二级为主设备间向各层管理间辐射的数据主干、话音主干等，三级为各层管理间到工作区的全部水平配线系统。建筑群子系统采用千兆光缆相连；垂直子系统则采用多模光缆或大对数双绞线，将管理间子系统并入设备间子系统；水平布线子系统采用超五类双绞线来铺设。对于覆盖多幢楼宇的局域网，采用多设备间的方式来连接，由中心设备间的交换机通过光缆与楼栋设备间的交换机相连，中心设备间的作用是连接楼内来自各层的主干线缆，以及来自网络中心的光缆。5.操作系统的选择网络操作系统是网络系统与用户之间的接口，它的功能和性能将决定网络系统的整体应用水平。它主要为网络计算机提供各种网络服务，并进行网络资源管理。网络操作系统的选择要针对不同网络的特定需求，结合系统管理能力、应用软件支持、多媒体处理能力、图形用户界面以及与Internet的连接性等多方面进行综合考虑。目前网络操作系统主要有WindowsNT、Unix、Net-Ware、OS/2等几大类。其中比较适合作为校园网操作系统的是WindowsNT。WindowsNT提供了32位的客户/服务器平台，采用抢占式、多任务、多线程机制，继承了Windows家族的友好界面，对服务器的硬件配置要求比较低，在应用、管理、通信、Internet/Intranet服务以及网络集成服务等方面都具有极大优势。由于它采用了多种协议，因此能与基于UNIX、NetWare和OS/2等操作系统的局域网兼容，并支持在这些系统之上开发出来的各种应用软件。综上所述，对于校园网来说，采用WindowsNT为主要操作系统是合适的选择。三、信息资源建设网络硬件系统的搭建只是提供了一个信息传输的平台，真正使校园网发挥作用的，是在此基础上进行的信息资源建设。只有建立适合的软件环境，开发相应的信息库和应用系统，才能为学校各类人员提供切实的网络信息服务，满足教学、科研、办公、管理等工作的需要。校园网的信息资源，对内主要指E-mail服务、DNS服务、FTP服务、WWW服务（学校主页、数字图书馆、多媒体教学等）、教务管理系统、办公管理系统、IC卡管理系统、科研开发平台等，对外则指Internet接入、远程访问接入、信息发布平台、全文数据库系统等。各项服务均应通过建立相应的网络应用平台来实现。信息资源是校园网的灵魂和活力所在，信息资源的建设是校园网建设中至关重要的一步，它也遵循从规划、设计、开发、应用到管理维护的过程。在此不做详述。四、网络管理与安全校园网的建设不是朝夕可成，网络的管理与安全工作更是任重道远。要做好网络管理工作，维护校园网的物理安全和信息安全，必须从以下几方面着手：（1）建立网络管理机构，制定网络管理规范，正确实施网络管理。建立自上而下的多级网络管理机构，使管理工作从宏观协调到具体实施都有对应的机构或人员负责；制定健全的网络管理制度，使网络运行和开发应用有章可循、有法可依；管理人员规范、正确地实施设备管理、技术管理和信息管理等，使网络维持正常运转。（2）进行相关人员培训。分层次做好各类人员的培训（包括普通用户、网络管理人员、技术人员等），培养一支优秀的软件开发队伍，使各用户群体能各司其职，从而使校园网的功能得到充分发挥。（3）采取各类网络信息安全措施。网络信息安全要有保障，必须多种安全措施并用。校园网内部应部署防病毒系统、内网访问控制策略等，与外网之间还必须部署千兆防火墙、千兆入侵检测系统和安全控制系统等。