高校學(xué)生宿舍網(wǎng)絡(luò)架構(gòu)研究與設(shè)計(jì)

魏評(píng)

（無(wú)錫科技職業(yè)學(xué)院信息中心，無(wú)錫 214028）

高校學(xué)生宿舍網(wǎng)絡(luò)架構(gòu)研究與設(shè)計(jì)

魏評(píng)

（無(wú)錫科技職業(yè)學(xué)院信息中心，無(wú)錫 214028）

0　引言

隨著中國(guó)教育信息化的飛速發(fā)展，校園網(wǎng)建設(shè)與應(yīng)用為高等教育事業(yè)注入了新的活力。大學(xué)生作為高校中最重要的一個(gè)群體，在學(xué)習(xí)生活上對(duì)Internet接入有著強(qiáng)烈的需求。宿舍網(wǎng)的建設(shè)應(yīng)用與管理維護(hù)已成為高校信息化工作的一個(gè)重要組成部分。

1　學(xué)生宿舍網(wǎng)需求分析

大學(xué)生在全國(guó)網(wǎng)民中占有較高比例，近年來(lái)高校的網(wǎng)絡(luò)建設(shè)從教學(xué)辦公區(qū)、圖書館、實(shí)驗(yàn)實(shí)訓(xùn)中心與社團(tuán)活動(dòng)中心延伸到了宿舍區(qū)域。大學(xué)生需要在宿舍里方便地接入Internet，實(shí)現(xiàn)互聯(lián)網(wǎng)信息檢索、教育資源下載、網(wǎng)絡(luò)學(xué)習(xí)、郵件收發(fā)、即時(shí)通訊等多樣化應(yīng)用。同時(shí)宿舍網(wǎng)的管理也變得日趨復(fù)雜，高帶寬視頻點(diǎn)播、P2P下載、網(wǎng)絡(luò)病毒、黑客攻擊等都對(duì)宿舍網(wǎng)的安全運(yùn)營(yíng)帶來(lái)諸多問(wèn)題。構(gòu)建一個(gè)傳輸穩(wěn)定、易于管理、具有高可靠性和安全性的宿舍網(wǎng)，對(duì)網(wǎng)絡(luò)整體架構(gòu)研究設(shè)計(jì)提出了很高要求。

2　宿舍網(wǎng)架構(gòu)研究與設(shè)計(jì)

2.1宿舍網(wǎng)拓?fù)浼軜?gòu)與VIAN規(guī)劃

宿舍網(wǎng)是校園網(wǎng)的重要子網(wǎng)，規(guī)劃信息點(diǎn)總數(shù)超過(guò)了8000個(gè)。整體拓?fù)浼軜?gòu)分為核心層、匯聚層和接入層：信息中心總機(jī)房為核心節(jié)點(diǎn)，配備高端交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)設(shè)備，采用電信、教育網(wǎng)等多光纖鏈路接入Internet；宿舍區(qū)分布著多棟建筑樓宇，每棟樓宇設(shè)置一臺(tái)匯聚交換機(jī)，主干鏈路采用單模光纖與核心交換機(jī)互聯(lián)；各樓宇內(nèi)部每一層配備3至5臺(tái)接入交換機(jī)，采用單模光纖或六類網(wǎng)線與匯聚交換機(jī)互聯(lián)。每個(gè)宿舍房間內(nèi)配備4至6個(gè)接入信息口，通過(guò)超五類網(wǎng)線與接入交換機(jī)相聯(lián)，每個(gè)信息口對(duì)應(yīng)連接一臺(tái)學(xué)生計(jì)算機(jī)。

每一個(gè)宿舍樓層的接入計(jì)算機(jī)總數(shù)一般不超過(guò)200臺(tái)，每個(gè)樓層可劃分為一個(gè)獨(dú)立的C類網(wǎng)段，同屬于一個(gè)VLAN虛擬局域網(wǎng)。規(guī)劃VLAN總數(shù)為52個(gè)，包括50個(gè)樓層接入網(wǎng)段、1個(gè)交換機(jī)設(shè)備網(wǎng)段、1個(gè)應(yīng)用服務(wù)器網(wǎng)段。通過(guò)合理的規(guī)劃VLAN可以限制宿舍網(wǎng)廣播域，防止廣播風(fēng)暴的產(chǎn)生，從而節(jié)省網(wǎng)絡(luò)帶寬和提高數(shù)據(jù)傳輸性能。配置VLAN訪問(wèn)控制策略，各樓層VLAN內(nèi)部的計(jì)算機(jī)可以互訪，跨VLAN的計(jì)算機(jī)相互隔離，無(wú)法直接互訪。各樓層VLAN與核心層設(shè)備VLAN路由直達(dá)，校內(nèi)主干光纖鏈路傳輸帶寬大于1000兆，采用端口匯聚技術(shù)后主干帶寬大于2000兆。

2.2網(wǎng)絡(luò)帶寬與流量管理

ISP提供的互聯(lián)網(wǎng)接入光纖帶寬從100兆至1000兆不等，由于宿舍聯(lián)網(wǎng)信息點(diǎn)眾多，網(wǎng)絡(luò)訪問(wèn)流量巨大，合理地分配帶寬流量顯得尤為重要。測(cè)試表明在核心節(jié)點(diǎn)管理整個(gè)宿舍區(qū)帶寬，需要對(duì)大量接入IP進(jìn)行實(shí)時(shí)流量控制，容易引起核心設(shè)備工作負(fù)荷過(guò)重而影響整體網(wǎng)絡(luò)性能。推薦在接入層交換機(jī)配置端口限速，硬件指標(biāo)上交換機(jī)端口具備上下行限速粒度小于等于1兆。通過(guò)配置端口限速，可防止某些計(jì)算機(jī)占用過(guò)多的網(wǎng)絡(luò)帶寬，均衡分配每個(gè)VLAN網(wǎng)絡(luò)通信流量，確保整個(gè)宿舍網(wǎng)絡(luò)傳輸穩(wěn)定。以H3C E352交換機(jī)為例，配置接入層端口1至48口上下行速度為2兆，參考命令如下：

2.3認(rèn)證與計(jì)費(fèi)管理

常用的聯(lián)網(wǎng)認(rèn)證方式包括：802.1x、PPPoE、Web認(rèn)證等。認(rèn)證技術(shù)應(yīng)重點(diǎn)考慮以下幾點(diǎn)：大部分學(xué)生計(jì)算機(jī)安裝Windows操作系統(tǒng)，少數(shù)可能安裝Linux、Apple Mac OS X等系統(tǒng)。認(rèn)證技術(shù)應(yīng)具備較好的兼容性和通用性，不能局限于某一品牌型號(hào)的網(wǎng)絡(luò)設(shè)備、某一類操作系統(tǒng)。特別是交換機(jī)等硬件設(shè)備升級(jí)時(shí)，認(rèn)證方式具備一定的延續(xù)性和有效性。該宿舍網(wǎng)架構(gòu)采用一個(gè)信息端口對(duì)應(yīng)連接一臺(tái)計(jì)算機(jī)網(wǎng)卡，不推薦使用內(nèi)部路由器或架設(shè)代理服務(wù)器等。這樣可以根據(jù)用戶賬號(hào)、密碼、MAC、IP地址、樓層VLAN、交換機(jī)IP、交換機(jī)端口號(hào)等參數(shù)與認(rèn)證綁定，嚴(yán)格識(shí)別聯(lián)網(wǎng)學(xué)生用戶身份。如果檢測(cè)發(fā)現(xiàn)私設(shè)內(nèi)部無(wú)線網(wǎng)、路由器與二級(jí)代理等，認(rèn)證系統(tǒng)會(huì)強(qiáng)制用戶下線?？紤]到學(xué)生宿舍搬遷、房間內(nèi)部調(diào)整等特殊情況，認(rèn)證系統(tǒng)可以經(jīng)數(shù)據(jù)庫(kù)比對(duì)靈活授權(quán)管理員綁定各類參數(shù)。宿舍網(wǎng)運(yùn)營(yíng)需要大量的經(jīng)費(fèi)支持，同時(shí)也為學(xué)校提供了一些收益，合理的計(jì)費(fèi)管理是重要的保障措施。計(jì)費(fèi)管理可以與認(rèn)證技術(shù)、校園一卡通相結(jié)合，采取包年、包月、包學(xué)期、包流量等方式，適應(yīng)在校大學(xué)生的經(jīng)濟(jì)承受能力與多種聯(lián)網(wǎng)需求。

2.4網(wǎng)絡(luò)安全監(jiān)管

為深入貫徹落實(shí)公安部第82號(hào)令《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施》，必須加強(qiáng)高校宿舍網(wǎng)的安全管理。加快網(wǎng)絡(luò)監(jiān)管平臺(tái)與安全保障措施建設(shè)，防止用戶散布有害信息、傳播病毒等。推薦采用公安部監(jiān)制、具有“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可”的網(wǎng)絡(luò)硬件設(shè)備和軟件系統(tǒng)進(jìn)行統(tǒng)一管理，盡量減少網(wǎng)絡(luò)安全突發(fā)事件對(duì)宿舍網(wǎng)正常運(yùn)行帶來(lái)的影響。在校園網(wǎng)出口處配備網(wǎng)絡(luò)行為監(jiān)管器，結(jié)合端口鏡像技術(shù)對(duì)宿舍網(wǎng)內(nèi)部每個(gè)接入IP進(jìn)行日志審核與記錄。一旦學(xué)生在網(wǎng)絡(luò)發(fā)布不良言論或者進(jìn)行網(wǎng)絡(luò)攻擊后，能夠通過(guò)日志審查確定用戶身份，精確定位到個(gè)人。

ARP攻擊、蠕蟲病毒是常見(jiàn)的網(wǎng)絡(luò)攻擊方式，嚴(yán)重破壞和干擾到某個(gè)VLAN網(wǎng)段的計(jì)算機(jī)正常上網(wǎng)。建議配置三層以上智能交換機(jī)，上網(wǎng)認(rèn)證后該交換機(jī)端口即與網(wǎng)卡的MAC智能綁定，網(wǎng)絡(luò)管理平臺(tái)自動(dòng)記錄IP與MAC的對(duì)應(yīng)關(guān)系。一旦系統(tǒng)檢測(cè)出MAC仿冒、ARP/UDP攻擊、網(wǎng)卡發(fā)送大量攻擊數(shù)據(jù)包網(wǎng)管系統(tǒng)即自動(dòng)禁用該交換機(jī)端口，把問(wèn)題主機(jī)隔離出來(lái)，防止進(jìn)一步破壞。為進(jìn)一步加強(qiáng)宿舍網(wǎng)安全，可配置STP生成樹協(xié)議、廣播包抑制、ACL訪問(wèn)控制列表、QoS服務(wù)質(zhì)量和架設(shè)宿舍網(wǎng)內(nèi)部殺毒服務(wù)器等。

3　宿舍網(wǎng)的功能拓展

隨著宿舍網(wǎng)應(yīng)用的不斷深入，某些技術(shù)層面需要作進(jìn)一步功能拓展與升級(jí)。因ISP服務(wù)商接入帶寬有限，每個(gè)接入端口帶寬并不充裕，限制了某些高帶寬的網(wǎng)絡(luò)應(yīng)用。建議ISP局端組網(wǎng)架構(gòu)進(jìn)行升級(jí)，理想的Internet接入總帶寬是提高到萬(wàn)兆以上。提高校園網(wǎng)內(nèi)部骨干網(wǎng)傳輸帶寬，核心層與匯聚層設(shè)備的互聯(lián)向萬(wàn)兆過(guò)渡，每個(gè)接入端口帶寬升級(jí)到50兆以上。IT專業(yè)的學(xué)生課后需要在宿舍里練習(xí)大量網(wǎng)絡(luò)實(shí)驗(yàn)，如架設(shè)網(wǎng)站、配置各類應(yīng)用服務(wù)器，需要在防火墻設(shè)置端口映射、VPN和NAT轉(zhuǎn)發(fā)等，這對(duì)宿舍網(wǎng)管理技術(shù)提出了更高要求。隨著智能手機(jī)、筆記本電腦等移動(dòng)終端的大量普及，構(gòu)建并覆蓋整個(gè)宿舍區(qū)的無(wú)線網(wǎng)可在下一階段校園信息化建設(shè)中規(guī)劃實(shí)施。

4　結(jié)語(yǔ)

宿舍網(wǎng)的建設(shè)使學(xué)生在住宿區(qū)也可以與網(wǎng)絡(luò)世界互聯(lián)互通，提升了高校整體信息化水平。大學(xué)生可以足不出戶充分利用校園網(wǎng)信息平臺(tái)，合理協(xié)調(diào)教育教學(xué)與精品課程資源，進(jìn)行網(wǎng)絡(luò)課程學(xué)習(xí)與成績(jī)查詢、文獻(xiàn)與期刊論文檢索、發(fā)布各類講座與社團(tuán)活動(dòng)通知、查詢一卡通消費(fèi)信息等。高校通過(guò)建立公眾微信平臺(tái)、網(wǎng)上黨校等新興網(wǎng)絡(luò)媒體，在加強(qiáng)大學(xué)生政治思想教育等方面也可以起到促進(jìn)作用。

Dormitory Network；VLAN

Research and Design of College Student Dormitory Network Architecture

WEI Ping
（Wuxi Professional College of Science and Technology，Wuxi 214028）

1007-1423（2015）31-0041-03

10.3969/j.issn.1007-1423.2015.31.011

魏評(píng)（1975-），男，江蘇無(wú)錫人，高級(jí)工程師，碩士，研究方向?yàn)楦叩扔?jì)算機(jī)網(wǎng)絡(luò)

2015-10-13

2015-10-31

高校學(xué)生宿舍網(wǎng)是校園網(wǎng)建設(shè)的重點(diǎn)工程，具有聯(lián)網(wǎng)信息點(diǎn)眾多、地理覆蓋區(qū)域集中、對(duì)網(wǎng)絡(luò)安全性要求較高等特點(diǎn)。參考大型局域網(wǎng)設(shè)計(jì)規(guī)范，對(duì)高校宿舍網(wǎng)拓?fù)浼軜?gòu)與VLAN規(guī)劃、網(wǎng)絡(luò)帶寬與流量管理、認(rèn)證與計(jì)費(fèi)管理、網(wǎng)絡(luò)安全監(jiān)管等技術(shù)深入研究設(shè)計(jì)，對(duì)組建宿舍網(wǎng)工程具有較高的參考價(jià)值。

宿舍網(wǎng)；WLAN

As the focus of the campus network construction project，the college dormitory network has a wide range of features，such as rich networking information，intensive coverage area and high requirement of network security.Uses large LAN specifications as reference，studies college students'dormitory network topology and VLAN planning，network bandwidth and traffic management，authentication and accounting management，and technology of network security supervision.Provides high reference value to dormitory network project.