基于DHCP協(xié)議的高校宿舍網(wǎng)絡(luò)規(guī)劃

惠震

摘要 本文以西安工程大學(xué)宿舍網(wǎng)絡(luò)為例，結(jié)合筆者的工作經(jīng)驗(yàn)，同時(shí)借鑒兄弟院校的成熟案例，從教師管理和學(xué)生使用的雙重角度重新規(guī)劃該校宿舍的網(wǎng)絡(luò)管理方案，提出DHCP的宿舍上網(wǎng)模式，旨在提高學(xué)生用網(wǎng)的用戶體驗(yàn)度，減少運(yùn)維老師處理故障的業(yè)務(wù)量，最終提升校園網(wǎng)絡(luò)在高校教育過程中的重要作用。

關(guān)鍵詞 宿舍網(wǎng)絡(luò) IP地址 DHCP 服務(wù)

0引言

隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的快速發(fā)展，高校師生對校園信息化的需求日益增強(qiáng)。信息化是當(dāng)今世界發(fā)展的大趨勢，是推動(dòng)經(jīng)濟(jì)社會(huì)變革的重要力量。息技術(shù)對教育發(fā)展具有革命性影響。全球發(fā)達(dá)國家高度重視數(shù)字化建設(shè)、信息技術(shù)進(jìn)步對于教育事業(yè)的影響作用，我國政府也將教育信息化的工作擺在前列，強(qiáng)調(diào)大力普及信息技術(shù)教育，以信息化帶動(dòng)教育現(xiàn)代化。當(dāng)前校園基礎(chǔ)網(wǎng)絡(luò)的建設(shè)難以滿足廣大師生對網(wǎng)絡(luò)的需求，而作為大部分學(xué)生主要生活環(huán)境的宿舍網(wǎng)絡(luò)也是各高校不可避免的重點(diǎn)環(huán)節(jié)之一。基于此，高校宿舍網(wǎng)絡(luò)的規(guī)劃完善與質(zhì)量提升有著重大的意義。筆者以西安工程大學(xué)宿舍網(wǎng)絡(luò)現(xiàn)有的環(huán)境為基礎(chǔ)，基于教師管理和學(xué)生使用過程中出現(xiàn)的問題進(jìn)行重新規(guī)劃與設(shè)計(jì)，以期提升學(xué)生用網(wǎng)的體驗(yàn)度。

1西安工程大學(xué)宿舍網(wǎng)絡(luò)現(xiàn)狀與問題

西安工程大學(xué)校園網(wǎng)絡(luò)先后借助2002年國家“西部大學(xué)校園計(jì)算機(jī)網(wǎng)絡(luò)工程”和2012年結(jié)合西部高水平大學(xué)建設(shè)工程，組織實(shí)施了50多項(xiàng)建設(shè)工程，實(shí)現(xiàn)了覆蓋金花、臨潼兩校區(qū)服務(wù)于兩萬多師生員工的共計(jì)12000個(gè)網(wǎng)絡(luò)信息點(diǎn)，敷設(shè)光纜80余千米，其中金花臨潼兩校區(qū)實(shí)現(xiàn)了萬兆光纖直連。該校學(xué)生宿舍網(wǎng)絡(luò)有6000多信息點(diǎn)，占用了較大的網(wǎng)絡(luò)資源并且難于管理，信息點(diǎn)故障率較高，給該校網(wǎng)絡(luò)運(yùn)維工作帶來巨大的壓力。

1.1宿舍網(wǎng)絡(luò)現(xiàn)狀

該校的基礎(chǔ)網(wǎng)絡(luò)建設(shè)采用以太網(wǎng)的組網(wǎng)模式，使用傳統(tǒng)的“核心層-匯聚成-接入層”三層模式建設(shè)校園網(wǎng)絡(luò)，保證校園網(wǎng)絡(luò)主體網(wǎng)絡(luò)框架的穩(wěn)定。宿舍網(wǎng)絡(luò)主要在校園網(wǎng)絡(luò)的匯聚層和接入層，采用傳統(tǒng)的以太網(wǎng)技術(shù)，基于Vlan劃分的思路既提高了局域網(wǎng)的穩(wěn)定性和安全性。宿舍網(wǎng)絡(luò)采用基于portal的客戶端認(rèn)證方式，學(xué)生需要申請網(wǎng)絡(luò)賬號和IP地址才能正常使用校園網(wǎng)絡(luò)。在電腦端配置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、首選DNS和備用DNS信息，通過客戶端認(rèn)證就能正常使用校園網(wǎng)絡(luò)。

1.2存在問題

經(jīng)過筆者近些年的工作經(jīng)驗(yàn)發(fā)現(xiàn)西安工程大學(xué)宿舍網(wǎng)絡(luò)使用存在諸多問題，包括網(wǎng)絡(luò)運(yùn)營商破壞宿舍網(wǎng)絡(luò)秩序、管理規(guī)范不完善等，導(dǎo)致學(xué)生注冊量不高，有如下幾方面問題。

（1）學(xué)生的“零認(rèn)知”使用習(xí)慣。對于現(xiàn)代高校的大的學(xué)生，由于素質(zhì)教育的弊端以及專業(yè)的絕對劃分，大部分學(xué)生對于網(wǎng)絡(luò)的認(rèn)識(shí)幾乎為零，他們僅僅會(huì)使用網(wǎng)絡(luò)，對于任何配置上面的問題和處理都要借助于他人，這樣子使得更多的使用盲區(qū)問題體現(xiàn)出來，包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS以及路由器的配置等。（2）單一信息點(diǎn)的使用問題。宿舍網(wǎng)絡(luò)的信息點(diǎn)分布密集，宿舍網(wǎng)絡(luò)用戶的流動(dòng)性大，比較難以控制與管理，對各上網(wǎng)信息點(diǎn)的可管性與可控性的要求是必需的，所以必須落實(shí)基于用戶的接入認(rèn)證、授權(quán)和計(jì)費(fèi)等控制手段。這樣子，就需要每名學(xué)生各自注冊自己的網(wǎng)絡(luò)賬號，而同一賬號只允許單一網(wǎng)絡(luò)終端使用，同時(shí)每個(gè)宿舍只有一個(gè)信息點(diǎn)，導(dǎo)致學(xué)生無法使用移動(dòng)終端上網(wǎng)。（3）運(yùn)營商介入。隨著計(jì)算機(jī)網(wǎng)絡(luò)和移動(dòng)通信技術(shù)的發(fā)展，越來越多的網(wǎng)絡(luò)運(yùn)營商和服務(wù)提供商投入到通信市場的競爭中，高校宿舍網(wǎng)絡(luò)建設(shè)是他們爭奪的市場。針對西安工程大學(xué)來說，在完全自主運(yùn)維的前提下，由于師資力量投入的相對薄弱，疏于對宿舍網(wǎng)絡(luò)的規(guī)范管理。另一方面，校方對運(yùn)營商沒有有效的約束手段，其完善的網(wǎng)絡(luò)服務(wù)體系贏得較多的學(xué)生使用。（4）教師疏于指導(dǎo)?，F(xiàn)如今高校網(wǎng)絡(luò)中心的職責(zé)已經(jīng)轉(zhuǎn)到數(shù)字化校園建設(shè)的高度，對于學(xué)生宿舍網(wǎng)絡(luò)的使用問題進(jìn)一步淡化，這是目前高校宿舍網(wǎng)絡(luò)管理的普遍現(xiàn)象。而且年年都有批量調(diào)寢的情況，用戶的IP地址也要隨之變更，網(wǎng)絡(luò)維護(hù)難度增大。

2基于DHCP的宿舍網(wǎng)絡(luò)規(guī)劃

該校采用靜態(tài)IP地址的上網(wǎng)模式是最傳統(tǒng)也是最方便安全的，然而學(xué)生在注冊的時(shí)候，通常會(huì)問什么是IP地址、IP地址如何配置等。對此，網(wǎng)絡(luò)中心也試圖用文字的方式進(jìn)行提示和幫助，但始終沒達(dá)到預(yù)期的效果。筆者通過相關(guān)文獻(xiàn)調(diào)研和電話考察兄弟院校的宿舍網(wǎng)絡(luò)使用現(xiàn)狀，多數(shù)采用DHCP的上網(wǎng)模式，認(rèn)為動(dòng)態(tài)獲取IP地址方式是目前較為容易接受的上網(wǎng)使用方式，既解決了學(xué)生使用盲區(qū)的問題，同樣解決了大量的電話故障受理的問題，具體規(guī)劃方案的步驟如下：（1）該校學(xué)生宿舍網(wǎng)絡(luò)IP地址配置在匯聚層交換機(jī)上面，接入交換機(jī)只是對應(yīng)了該接口的VLan。在最大限度保留原有配置的基礎(chǔ)上用最簡單的方式進(jìn)行升級規(guī)劃，就要在匯聚層交換機(jī)上面添加DHCP地址池，對原有發(fā)布的VLan地址一一對應(yīng)，保證用戶端能夠獲取到對應(yīng)VLan的IP地址。（2）既然改造目的是用戶端自動(dòng)獲取IP地址，那么在認(rèn)證系統(tǒng)的后臺(tái)管理中，原有的固定IP地址與賬號問的對應(yīng)關(guān)系應(yīng)當(dāng)取消。然后，需要對學(xué)生進(jìn)行一定的管控，只允許單一賬號在限定的物理區(qū)域內(nèi)上網(wǎng)，實(shí)際上是對用戶組進(jìn)行IP地址段限定。（3）在認(rèn)證計(jì)費(fèi)系統(tǒng)中應(yīng)當(dāng)指定新的策略規(guī)則，增加同一賬號通過客戶端認(rèn)證方式上網(wǎng)的同時(shí)在線用戶數(shù)。因?yàn)樵械乃奚峋W(wǎng)絡(luò)不允許單一賬號同時(shí)多人使用，否則無法對學(xué)生用網(wǎng)情況進(jìn)行合理的管控與預(yù)防。為此，根據(jù)現(xiàn)有學(xué)生使用網(wǎng)絡(luò)的情況，應(yīng)當(dāng)設(shè)置為允許同時(shí)在線數(shù)為“2”，保證電腦和移動(dòng)端同時(shí)使用。

3規(guī)劃測試與完善

在新方案大規(guī)模實(shí)施前，畢竟學(xué)生在無時(shí)無刻的使用校園網(wǎng)絡(luò)，還是應(yīng)當(dāng)在能夠接受的小范圍內(nèi)進(jìn)行測試，故筆者將該校9號宿舍樓作為測試對象。根據(jù)該校宿舍樓匯聚層交換機(jī)的WEan配置可以清楚地看出來，VLanl為互聯(lián)WEan，即與核心層交換機(jī)直連，而每一層樓分別為一個(gè)用戶VLan，使用A類的私有地址?，F(xiàn)需要在該匯聚交換機(jī)上面啟用DHCP服務(wù)功能，需要在全局模式下配置如下：

system

[H3CS5800-9]dhcp enable

然后在添加對應(yīng)的DHCP地址池，為了便于管理，對每一個(gè)地址池命名與原有用戶VLan一致，具體配置如下：

[H3CS5800-9]dhcp serverip-pool vlan119

[H3CS5800-9-dhcp-pool-vlan119]network10.19.11.0 mask255.255.255.0

[H3CS5800-9-dhcp-pool-vlan119]gateway-list 10.19.11.254

[H3CS5800-9-dhcp-pool-vlan119]dns-list 218.30.19.40202.200.200.1

將該匯聚交換機(jī)中發(fā)布的所有用戶Vlan都創(chuàng)建一一對應(yīng)的DHCP地址池，該測試操作全部完成。僅僅是簡單的幾部操作，可以使用戶無感知的使用網(wǎng)絡(luò)。但是在為期一個(gè)月的測試階段還是出現(xiàn)了問題，有時(shí)會(huì)出現(xiàn)“一層樓的宿舍同時(shí)不能上網(wǎng)”，筆者開始根據(jù)該情況做如下分析：（1）如果剛開始網(wǎng)絡(luò)正常使用，而是后期出現(xiàn)問題，那證明交換機(jī)的配置使正確的，用戶端已經(jīng)能夠獲取到IP地址；（2）整層樓同時(shí)不能上網(wǎng)，而他們是在一個(gè)VLan中，就是說同一VLan出現(xiàn)了問題；（3）在配置沒有錯(cuò)的前提下，應(yīng)該是當(dāng)初考慮配置的時(shí)候還不夠全面。

基于此的分析，筆者和該校網(wǎng)絡(luò)中心老師到宿舍實(shí)地考察情況，結(jié)果發(fā)現(xiàn)有學(xué)生在使用路由器的時(shí)候，把入戶線連接到路由器的LAN接口上。而交換機(jī)的物理端口具有一定的學(xué)習(xí)能力，能夠讀取到用戶路由器中發(fā)布的私有IP地址，導(dǎo)致該學(xué)生的路由器發(fā)布的c類私有地址通過接入交換機(jī)發(fā)布到該VLan中，使得同一VLan中的其他宿舍用戶所對應(yīng)的端口在認(rèn)證時(shí)獲取到的實(shí)際上是該路由器發(fā)布的地址，繼而導(dǎo)致該現(xiàn)象的出現(xiàn)。

實(shí)際上，DHCP協(xié)議簡單，沒有任何認(rèn)證機(jī)制，如果有人在這個(gè)網(wǎng)段上配置或假冒一臺(tái)DHCP服務(wù)器，就會(huì)錯(cuò)誤配置客戶機(jī)，導(dǎo)致用戶無法使用網(wǎng)絡(luò)資源，而如果網(wǎng)關(guān)地址被配置到DHCP客戶機(jī)時(shí)，會(huì)影響到整個(gè)網(wǎng)段的用戶可能在一段時(shí)間內(nèi)都無法上網(wǎng)。針對該網(wǎng)絡(luò)現(xiàn)象，應(yīng)在每個(gè)接入層交換機(jī)中開啟DHCP snooping服務(wù)，該服務(wù)時(shí)用于監(jiān)聽DHCP服務(wù)功能的工。在開啟該服務(wù)后，交換機(jī)默認(rèn)對所有接口為untrust狀態(tài)，即為不信任狀態(tài)，防止任何接口接受發(fā)布的IP地址。那么，在配置中就必須在級聯(lián)端口及Trunk口中配置為trust狀態(tài)，才能實(shí)現(xiàn)該設(shè)備只允許自上而下的獲取IP地址，具體配置如下：system

[H3CE528-9-1]dhep enable

[H3CE528-9-1]dhep snooping enable

[H3CE528-9-1]interface GigabitEthemetI/0/24

[H3CE528-9-1-GigabitEthernetI/0/24]dhcp snooping trusted

針對所有的接入層交換機(jī)都需要進(jìn)行該配置才能保證整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。在接下來的測試過程中按照預(yù)期的規(guī)劃運(yùn)行，并未再出現(xiàn)其他網(wǎng)絡(luò)問題，可以大規(guī)模實(shí)施。

4結(jié)束語

經(jīng)過為期一個(gè)月的測試實(shí)驗(yàn)，證明該方案確實(shí)可行并能夠緩解目前網(wǎng)絡(luò)運(yùn)維的工作壓力，最終在該校園宿舍網(wǎng)絡(luò)中大規(guī)模使用。整個(gè)校園宿舍網(wǎng)絡(luò)全部調(diào)整為自動(dòng)獲取IP地址的上網(wǎng)模式，并且可以供學(xué)生多終端使用，解決了手機(jī)上網(wǎng)的問題，在學(xué)生范圍內(nèi)取得了較好的反響。在信息化高速發(fā)展的現(xiàn)代社會(huì)，作為校園網(wǎng)絡(luò)的管理者要保持與時(shí)俱進(jìn)的態(tài)度，還要實(shí)時(shí)走在校園信息化發(fā)展的前列，不僅能夠提高高校的整體工作效率，而且能夠減少自身的工作壓力，提升全校師生的網(wǎng)絡(luò)使用體驗(yàn)度，減少網(wǎng)絡(luò)故障業(yè)務(wù)量。