淺談校園網(wǎng)的規(guī)劃與建設(shè)

鄭燕玲

（汕頭職業(yè)技術(shù)學院，廣東 汕頭 515041）

淺談校園網(wǎng)的規(guī)劃與建設(shè)

鄭燕玲

（汕頭職業(yè)技術(shù)學院，廣東 汕頭 515041）

伴隨現(xiàn)代網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，我國的校園網(wǎng)建設(shè)已相當普及。尤其在高校中，校園網(wǎng)作為教研辦公不可或缺的基礎(chǔ)設(shè)施，覆蓋率幾乎達到了100%。論文主要從校園網(wǎng)的總體規(guī)劃、方案設(shè)計、資源建設(shè)和網(wǎng)絡(luò)管理這四方面來探討它的建設(shè)問題，其中對方案設(shè)計進行了重點闡述。

校園網(wǎng)；網(wǎng)絡(luò)建設(shè)；資源建設(shè)；網(wǎng)絡(luò)管理

一、總體規(guī)劃

校園網(wǎng)建設(shè)要先總體規(guī)劃，再分步實施。其中，總體規(guī)劃極為重要。高校應(yīng)當從自身的實際情況出發(fā)，結(jié)合學校的經(jīng)濟實力和長遠發(fā)展規(guī)劃，以滿足教學科研和辦公管理需要為核心，經(jīng)過嚴密推敲和科學論證，最終形成一套完善可行的建設(shè)方案。

1.確立目標

總體規(guī)劃的第一步是確立目標。只有在方案設(shè)計之初便定好明確的設(shè)計目標，才能最大限度地避免網(wǎng)絡(luò)建成之后出現(xiàn)的應(yīng)用需求無法滿足或功能不實用等嚴重問題，確保校園網(wǎng)建設(shè)最終能順利投入使用。

一個完整的校園網(wǎng)應(yīng)至少滿足以下兩大應(yīng)用目標：（一）能夠為學校的教學、科研、日常辦公、行政管理和圖書資源管理等提供高效服務(wù)。這也是校園網(wǎng)的基本功能要求。（二）實現(xiàn)與廣域網(wǎng)的互聯(lián)。通過連接到廣闊的Internet，從中獲取更豐富的教育資源，更好地促進校內(nèi)外的交流和合作。

總而言之，校園網(wǎng)建設(shè)的最終目標是建成一個對內(nèi)能滿足教學、科研、管理、辦公等需要，對外能與Internet互聯(lián)、共享因特網(wǎng)資源，集技術(shù)先進、結(jié)構(gòu)合理、擴展性強等特點于一體，覆蓋整個校園范圍的計算機網(wǎng)絡(luò)系統(tǒng)。

2.規(guī)劃原則

校園網(wǎng)建設(shè)是一項浩大的工程，其總體方案設(shè)計應(yīng)具有高度科學性。具體要遵循如下設(shè)計原則：

（1）實用性和先進性

網(wǎng)絡(luò)既要滿足應(yīng)用需求，又必須具有較強生命力，在技術(shù)選型、設(shè)備選型和軟件配置等方面，都應(yīng)選擇目前市場上成熟穩(wěn)定、通用性強且具有良好發(fā)展前景的主流產(chǎn)品。

（2）開放性和可擴充性

采用的技術(shù)和產(chǎn)品要有充分的可擴充能力和升級能力，以方便以后能順利向更先進的網(wǎng)絡(luò)技術(shù)過渡，保持網(wǎng)絡(luò)系統(tǒng)的先進性。

（3）安全可靠性

網(wǎng)絡(luò)系統(tǒng)的各環(huán)節(jié)都要具備良好的防災(zāi)難、抗攻擊等特性，還要有充分的冗余和容錯能力，以使網(wǎng)絡(luò)系統(tǒng)在受到黑客入侵或出現(xiàn)局部故障時，系統(tǒng)整體仍能保持良好運轉(zhuǎn)，并提供不間斷服務(wù)。

（4）可管理性和可維護性

從整體方案設(shè)計到個別的技術(shù)選型、設(shè)備選型，都應(yīng)從方便管理和維護的角度出發(fā)；先進的網(wǎng)絡(luò)管理系統(tǒng)的采用，也能進一步提高管理的便捷性。

（5）經(jīng)濟性

在充分考慮學校經(jīng)濟能力的基礎(chǔ)上，進行詳細的市場調(diào)查和研究，選擇性價比最高、最適合的方案和產(chǎn)品，不要盲目追求最好最貴。

二、方案設(shè)計

校園網(wǎng)建設(shè)的方案設(shè)計主要從網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、布線系統(tǒng)和操作系統(tǒng)等方面來進行闡述，以確定最合適的方案。

1.網(wǎng)絡(luò)體系結(jié)構(gòu)的選擇

網(wǎng)絡(luò)體系結(jié)構(gòu)定義了計算機網(wǎng)絡(luò)系統(tǒng)的層次結(jié)構(gòu)和層間協(xié)議，它為網(wǎng)絡(luò)的通訊協(xié)議、數(shù)據(jù)存取控制、拓撲結(jié)構(gòu)和軟硬件等提供標準。網(wǎng)絡(luò)體系結(jié)構(gòu)的選擇是校園網(wǎng)技術(shù)設(shè)計的核心，它直接影響著接下來的布線、接口等工作以及網(wǎng)絡(luò)的整體性能。該方案采用TCP/IP模型這一事實上的國際標準來搭建校園網(wǎng)的體系結(jié)構(gòu)。

2.網(wǎng)絡(luò)技術(shù)的選擇

目前市場上可以提供的組網(wǎng)技術(shù)主要有FDDI、ATM、以太網(wǎng)等。其中，F(xiàn)DDI雖在100Mbps傳輸技術(shù)上發(fā)展比較成熟，但造價高、升級難，也無法支持大量多媒體通訊同時進行；ATM能提供較高的網(wǎng)絡(luò)帶寬和服務(wù)質(zhì)量，是多媒體應(yīng)用系統(tǒng)的理想平臺，但其尚無統(tǒng)一標準，且?guī)拰嶋H利用率低、工程造價和維護費用高；相比之下，以太網(wǎng)明顯具有更高的優(yōu)勢。

以太網(wǎng)一直是局域網(wǎng)技術(shù)的主流，目前已發(fā)展至千兆以太網(wǎng)。千兆以太網(wǎng)是傳統(tǒng)以太網(wǎng)（10M）和快速以太網(wǎng)（100M）的成功擴展，具有如下優(yōu)點：帶寬資源豐富，能充分滿足校園網(wǎng)對高帶寬的需求；兼容性好，能方便快捷地實現(xiàn)從以太網(wǎng)和快速以太網(wǎng)升級，最大限度保護用戶現(xiàn)有投資；經(jīng)濟實用，性價比高，便于管理。綜上所述，本方案采用以太網(wǎng)技術(shù)來組網(wǎng)。

3.網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的選擇

從校園網(wǎng)的功能需求出發(fā)，網(wǎng)絡(luò)系統(tǒng)具體劃分為如下模塊：辦公子網(wǎng)、教學子網(wǎng)、圖書館子網(wǎng)、宿舍子網(wǎng)、IC卡管理系統(tǒng)、因特網(wǎng)接入、遠程訪問接入以及WWW服務(wù)、E-mail服務(wù)、FTP服務(wù)、DNS服務(wù)系統(tǒng)等。為滿足校園網(wǎng)高可靠性和易擴充性的要求，采用星型拓撲結(jié)構(gòu)來組網(wǎng)。

在星型結(jié)構(gòu)下，整個網(wǎng)絡(luò)具有一個總節(jié)點，這節(jié)點構(gòu)成了網(wǎng)絡(luò)中心，各功能模塊以子網(wǎng)的形式匯接到網(wǎng)絡(luò)中心，子網(wǎng)中心構(gòu)成二級節(jié)點。這樣，網(wǎng)絡(luò)系統(tǒng)實際上形成了三層的拓撲結(jié)構(gòu)。具體組織方式如下：以主干網(wǎng)為交換核心，連接各子網(wǎng)；每個子網(wǎng)向下劃分成多個工作組網(wǎng)；每個工作組網(wǎng)向下再劃分成多個基層網(wǎng)段；桌面機直接連接到基層網(wǎng)段，服務(wù)器、工作站則根據(jù)功能和級別連接到相應(yīng)的高層網(wǎng)絡(luò)；整個網(wǎng)絡(luò)系統(tǒng)由網(wǎng)絡(luò)中心集中控制。網(wǎng)絡(luò)系統(tǒng)的各環(huán)節(jié)具體設(shè)計如下：

（1）主干網(wǎng)

主干網(wǎng)負責整個網(wǎng)絡(luò)信息流動的總調(diào)度，需要很大帶寬和很強的中心交換能力。它必須提供如下功能：為子網(wǎng)之間的互聯(lián)提供高速路由，實現(xiàn)核心高速交換；連接校園網(wǎng)共享的高性能服務(wù)器；實現(xiàn)廣域網(wǎng)連接和遠程訪問；實現(xiàn)全網(wǎng)的系統(tǒng)管理和安全管理。

主干網(wǎng)采用核心交換、劃分子網(wǎng)的設(shè)計方案，通過千兆光纜和千兆以太網(wǎng)技術(shù)來組網(wǎng)。

在中心機房，采用一臺高性能千兆交換機（三層交換機）作為交換中心。這臺中心交換機通過無屏蔽雙絞線電纜將中心機房內(nèi)的服務(wù)器群、路由器、機架MODEM等網(wǎng)絡(luò)設(shè)備以星型方式連接起來，構(gòu)成網(wǎng)絡(luò)中心。中心交換機的選型，應(yīng)選擇交換容量大、配置冗余、容錯性強、支持路由功能的多層交換機，它還要能支持多種不同規(guī)則的VLAN劃分，具有防火墻和用戶驗證功能，并符合千兆以太網(wǎng)標準，有多個千兆接口，集先進性、高可靠性、可擴展性、易維護性和高性價比等特點于一體。

（2）廣域網(wǎng)接入

校園網(wǎng)一般具有兩個對外的連接接口：一個用于接入廣域網(wǎng)，一個作為遠程訪問的入口。

校園網(wǎng)接入廣域網(wǎng)的方式有DDN接入、光纖接入等。為滿足高帶寬和高速率的要求，該方案采用了千兆光纖接入，主干網(wǎng)通過兩條1000M光纖，分別接入中國教育和科研計算機網(wǎng)（CERNET）以及電信運營商提供的CHINANET。

校園網(wǎng)與廣域網(wǎng)的連接通過路由器來實現(xiàn)。在路由器的選型上，要選擇具有兩個廣域網(wǎng)接口和一個備份口，并能支持PPP、幀中繼、HDLC等多種協(xié)議的路由器。兩個廣域網(wǎng)接口分別連接到CERNET和CHINANET；備份口則作為備份線路，以在專線出現(xiàn)故障時，通過ISDN/MODEM撥號連接到廣域網(wǎng)。出于安全性考慮，網(wǎng)絡(luò)出口必須安裝防火墻，并且最好使用代理服務(wù)器。

綜上所述，校園網(wǎng)接入廣域網(wǎng)的具體連接方式如下：路由器的局域網(wǎng)接口通過防火墻，由代理服務(wù)器連接到主干網(wǎng)的中心交換機；路由器的兩個廣域網(wǎng)接口分別通過千兆光纖接入CERNET和CHINANET，從而實現(xiàn)校園網(wǎng)與Internet的連接。

（3）遠程訪問

遠程訪問是校園網(wǎng)的另一個對外接口。校園網(wǎng)必須提供遠程訪問功能，以便學校師生在校外隨時隨地訪問校園網(wǎng)資源。該方案采用SSLVPN技術(shù)來實現(xiàn)。

SSL是建立在可靠傳輸協(xié)議之上的數(shù)據(jù)安全協(xié)議，為數(shù)據(jù)傳輸提供安全支持。SSLVPN通過瀏覽器內(nèi)嵌的SSL協(xié)議，利用公用網(wǎng)絡(luò)在瀏覽器與服務(wù)器之間建立起一條通信鏈路，實現(xiàn)端到端的身份認證和加密數(shù)據(jù)傳輸。相比IPSec VPN和其他遠程技術(shù)，SSL VPN提供更高的安全性，并且在部署、管理和使用上都十分方便，還具有用戶權(quán)限管理功能。

SSL VPN的部署非常簡單，只需將一臺合適的SSL VPN網(wǎng)關(guān)服務(wù)器部署在網(wǎng)絡(luò)內(nèi)部的某個節(jié)點，再對中心網(wǎng)關(guān)進行簡單配置之后即可使用。由于SSL VPN網(wǎng)關(guān)穿透力強，能以透明模式在NAT代理裝置上工作，因此，它可根據(jù)需要隨意調(diào)整在網(wǎng)絡(luò)中的位置而不影響網(wǎng)絡(luò)原有結(jié)構(gòu)。通常它還具有防火墻功能，能夠很好地監(jiān)控網(wǎng)絡(luò)進出數(shù)據(jù)。

當校外用戶需要訪問校園網(wǎng)時，只需在瀏覽器中鍵入SSL VPN地址，輸入賬號和密碼，就能得到SSL VPN網(wǎng)關(guān)分配的一個虛擬IP地址，實現(xiàn)對內(nèi)網(wǎng)資源的遠程訪問。管理人員也可以在校外通過遠程連接，對SSL VPN網(wǎng)關(guān)進行實時配置和管理。這種遠程連接方式的數(shù)據(jù)吞吐能力很強，一般可支持至少數(shù)千個并發(fā)用戶。

（4）子網(wǎng)

子網(wǎng)主要根據(jù)應(yīng)用職能和地理分布進行劃分。這里采用VLAN作為解決方案，將校園網(wǎng)按功能劃分為辦公樓、教學區(qū)、電教樓、圖書館、宿舍區(qū)等部門，每個部門通過VLAN形成邊界，構(gòu)成一個相對獨立的子網(wǎng)。

子網(wǎng)內(nèi)部也采用交換結(jié)構(gòu)。交換中心是一臺子網(wǎng)交換機，這臺交換機構(gòu)成了網(wǎng)絡(luò)的二級節(jié)點。子網(wǎng)與主干網(wǎng)的連接，通過千兆光纖將子網(wǎng)交換機與中心交換機相連來實現(xiàn)；在子網(wǎng)內(nèi)部，則通過子網(wǎng)交換機將下級交換設(shè)備（三級交換機或集線器）、子網(wǎng)服務(wù)器和子網(wǎng)工作站連接起來；子網(wǎng)內(nèi)可設(shè)置共享的服務(wù)器。各子網(wǎng)采用與主干網(wǎng)一致的通信協(xié)議，子網(wǎng)之間的通信通過路由功能來實現(xiàn)。

在子網(wǎng)交換機的選型上，要求交換速度快、交換容量大，符合千兆以太網(wǎng)標準，具備第二層、第三層信息傳輸和溫度警告等功能。選擇高可靠性的100M交換機，實現(xiàn)與中心交換機1000M的連接速率。

（5）工作組網(wǎng)

工作組網(wǎng)是子網(wǎng)的下一級劃分，可以是一間辦公室、一個專業(yè)教研組或其他。工作組網(wǎng)也采用交換式以太網(wǎng)來組網(wǎng)。方案的技術(shù)要點如下：

工作組網(wǎng)通過三級交換機或集線器接入子網(wǎng)交換機，桌面電腦直接采用100MUTP連接到三級交換機的10/100MUTP端口；工作組內(nèi)可設(shè)置共享的服務(wù)器；各工作組網(wǎng)采用與主干網(wǎng)一致的通信協(xié)議。當組內(nèi)需要接入較多計算機時，可將交換機或集線器用堆疊方式通過擴展的千兆上聯(lián)口與上一級交換機相連。如果某個工作組距離子網(wǎng)中心較遠，還需選擇帶光纖模塊的交換機，使它能通過光纜連接到子網(wǎng)交換機。

在這樣三級星型結(jié)構(gòu)的組織下，該方案組建起了千兆交換為主干、百兆交換到桌面的校園網(wǎng)絡(luò)系統(tǒng)。

4.布線系統(tǒng)的選擇

布線系統(tǒng)是建筑物或建筑群內(nèi)的傳輸網(wǎng)絡(luò)，它的質(zhì)量直接影響著網(wǎng)絡(luò)系統(tǒng)的整體質(zhì)量和服務(wù)性能。在綜合考慮成本預(yù)算、應(yīng)用需求及未來擴展等因素之后，選擇結(jié)構(gòu)化綜合布線系統(tǒng)作為解決方案。

綜合布線系統(tǒng)是一種預(yù)布線系統(tǒng)，它采用開放式體系和模塊化結(jié)構(gòu)，通過建立一套國際標準化的布線系統(tǒng)，連接同一幢建筑物內(nèi)的所有網(wǎng)絡(luò)設(shè)備以及建筑物外部的通信網(wǎng)絡(luò)，實現(xiàn)語音、數(shù)據(jù)、視像等信號的統(tǒng)一傳輸。它具有標準化、系統(tǒng)化、靈活化的優(yōu)點，可根據(jù)實際需要靈活地變更或重組線路，具有良好的擴展能力，便于使用和管理，可靠性高。

綜合布線系統(tǒng)分為工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理間子系統(tǒng)、建筑群子系統(tǒng)等六個子系統(tǒng)。它一般采用三級星型的拓撲結(jié)構(gòu)：以主機房為系統(tǒng)樞紐，一級為主機房連接至各層管理間的建筑主干及通路，二級為主設(shè)備間向各層管理間輻射的數(shù)據(jù)主干、話音主干等，三級為各層管理間到工作區(qū)的全部水平配線系統(tǒng)。建筑群子系統(tǒng)采用千兆光纜相連；垂直子系統(tǒng)則采用多模光纜或大對數(shù)雙絞線，將管理間子系統(tǒng)并入設(shè)備間子系統(tǒng)；水平布線子系統(tǒng)采用超五類雙絞線來鋪設(shè)。對于覆蓋多幢樓宇的局域網(wǎng)，采用多設(shè)備間的方式來連接，由中心設(shè)備間的交換機通過光纜與樓棟設(shè)備間的交換機相連，中心設(shè)備間的作用是連接樓內(nèi)來自各層的主干線纜，以及來自網(wǎng)絡(luò)中心的光纜。

5.操作系統(tǒng)的選擇

網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)與用戶之間的接口，它的功能和性能將決定網(wǎng)絡(luò)系統(tǒng)的整體應(yīng)用水平。它主要為網(wǎng)絡(luò)計算機提供各種網(wǎng)絡(luò)服務(wù)，并進行網(wǎng)絡(luò)資源管理。網(wǎng)絡(luò)操作系統(tǒng)的選擇要針對不同網(wǎng)絡(luò)的特定需求，結(jié)合系統(tǒng)管理能力、應(yīng)用軟件支持、多媒體處理能力、圖形用戶界面以及與Internet的連接性等多方面進行綜合考慮。目前網(wǎng)絡(luò)操作系統(tǒng)主要有Windows NT、Unix、Net-Ware、OS/2等幾大類。其中比較適合作為校園網(wǎng)操作系統(tǒng)的是Windows NT。

Windows NT提供了32位的客戶/服務(wù)器平臺，采用搶占式、多任務(wù)、多線程機制，繼承了Windows家族的友好界面，對服務(wù)器的硬件配置要求比較低，在應(yīng)用、管理、通信、Internet/Intranet服務(wù)以及網(wǎng)絡(luò)集成服務(wù)等方面都具有極大優(yōu)勢。由于它采用了多種協(xié)議，因此能與基于UNIX、NetWare和OS/2等操作系統(tǒng)的局域網(wǎng)兼容，并支持在這些系統(tǒng)之上開發(fā)出來的各種應(yīng)用軟件。

綜上所述，對于校園網(wǎng)來說，采用Windows NT為主要操作系統(tǒng)是合適的選擇。

三、信息資源建設(shè)

網(wǎng)絡(luò)硬件系統(tǒng)的搭建只是提供了一個信息傳輸?shù)钠脚_，真正使校園網(wǎng)發(fā)揮作用的，是在此基礎(chǔ)上進行的信息資源建設(shè)。只有建立適合的軟件環(huán)境，開發(fā)相應(yīng)的信息庫和應(yīng)用系統(tǒng)，才能為學校各類人員提供切實的網(wǎng)絡(luò)信息服務(wù)，滿足教學、科研、辦公、管理等工作的需要。校園網(wǎng)的信息資源，對內(nèi)主要指E-mail服務(wù)、DNS服務(wù)、FTP服務(wù)、WWW服務(wù)（學校主頁、數(shù)字圖書館、多媒體教學等）、教務(wù)管理系統(tǒng)、辦公管理系統(tǒng)、IC卡管理系統(tǒng)、科研開發(fā)平臺等，對外則指Internet接入、遠程訪問接入、信息發(fā)布平臺、全文數(shù)據(jù)庫系統(tǒng)等。各項服務(wù)均應(yīng)通過建立相應(yīng)的網(wǎng)絡(luò)應(yīng)用平臺來實現(xiàn)。

信息資源是校園網(wǎng)的靈魂和活力所在，信息資源的建設(shè)是校園網(wǎng)建設(shè)中至關(guān)重要的一步，它也遵循從規(guī)劃、設(shè)計、開發(fā)、應(yīng)用到管理維護的過程。在此不做詳述。

四、網(wǎng)絡(luò)管理與安全

校園網(wǎng)的建設(shè)不是朝夕可成，網(wǎng)絡(luò)的管理與安全工作更是任重道遠。要做好網(wǎng)絡(luò)管理工作，維護校園網(wǎng)的物理安全和信息安全，必須從以下幾方面著手：

（1）建立網(wǎng)絡(luò)管理機構(gòu)，制定網(wǎng)絡(luò)管理規(guī)范，正確實施網(wǎng)絡(luò)管理。建立自上而下的多級網(wǎng)絡(luò)管理機構(gòu)，使管理工作從宏觀協(xié)調(diào)到具體實施都有對應(yīng)的機構(gòu)或人員負責；制定健全的網(wǎng)絡(luò)管理制度，使網(wǎng)絡(luò)運行和開發(fā)應(yīng)用有章可循、有法可依；管理人員規(guī)范、正確地實施設(shè)備管理、技術(shù)管理和信息管理等，使網(wǎng)絡(luò)維持正常運轉(zhuǎn)。

（2）進行相關(guān)人員培訓(xùn)。分層次做好各類人員的培訓(xùn)（包括普通用戶、網(wǎng)絡(luò)管理人員、技術(shù)人員等），培養(yǎng)一支優(yōu)秀的軟件開發(fā)隊伍，使各用戶群體能各司其職，從而使校園網(wǎng)的功能得到充分發(fā)揮。

（3）采取各類網(wǎng)絡(luò)信息安全措施。網(wǎng)絡(luò)信息安全要有保障，必須多種安全措施并用。校園網(wǎng)內(nèi)部應(yīng)部署防病毒系統(tǒng)、內(nèi)網(wǎng)訪問控制策略等，與外網(wǎng)之間還必須部署千兆防火墻、千兆入侵檢測系統(tǒng)和安全控制系統(tǒng)等。

[1]Andrew S.Tanenbaum.計算機網(wǎng)絡(luò)（第 4 版）[M].北京：清華大學出版社，2008.

[2]廖常武，汪剛.校園網(wǎng)組建[M].北京：清華大學出版社，2005.

[3]徐光，杜建彬.實例探討大學校園網(wǎng)絡(luò)建設(shè)[J].山東輕工業(yè)學院學報，2009，（4）.

[4]汪軍，豐洪才.校園網(wǎng)建設(shè)方案的研究與實施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，（3）.

TP

A

1673-0046（2012）3-0162-03