高校校园网建设关键技术研究与应用

周增国　韩　严　王　岩

摘要：校园网已成为各高等院校建设和发展的一项重要基础设施，其建设规模和应用水平的高低已成为衡量高校教学、科研、管理和服务水平等综合实力的一个重要标志。本文结合当前各高等院校校园网的现状，对校园网建设过程中应用的关键技术进行了分析与研究。并在我校校园网的建设过程中，按照高效和实用的基本建设原则，对校园网建设过程中的关键技术进行了具体的应用。

关健词：校园网建设 关键技术 网络管理 网络安全

中图分类号：TP393 文献标识码：A 文章编号：1673-8454（2009）07-0024-03

校园网建设中的关键技术主要有逻辑网络设计、物理网络设计、综合布线技术、网络设备选型、订购和安装调试技术、网络系统测试技术、网络安全技术和网络管理技术等。

一、网络系统规划设计

1.逻辑网络设计

逻辑网络设计是由系统集成商的网络设计师完成，主要包括网络总体设计，即分析现有的网络体系结构，确定网络逻辑结构和物理结构；分层设计，即核心层、汇聚层、接入层的设计，以及Internet接入方案和广域网设计；网络IP地址规划和设计；选路和路由规划；选择技术和设备；其他功能设计，如聚合设计、冗余设计、安全设计等。

2.物理网络设计

物理网络设计的主要任务有：结构化综合布线系统设计、网络机房系统设计和供电系统的设计等。

（１）结构化综合布线系统。指建筑物或建筑群内所安装的传输线路。这些传输线路将所有的语音设备、数据通信设备、图像处理与安全监视设备、交换设备和其他信息管理系统相连，并按照一定秩序和内部关系组合成整体。

（２）网络机房系统。主要包括设备安装和机房环境等。

（３）供电系统。主要考虑计算机网络系统中设备机房的电力负荷等级、供电系统的负荷大小、配电系统的设计、供电的方式、供电系统的安全、机房供电设计以及电源系统接地设计等。

二、综合布线技术

综合布线工程由系统集成商完成，具体实施系统集成过程中的物理设计方案。主要完成工作区子系统、水平子系统、垂直子系统、管理间子系统、设备间子系统、建筑群子系统的布线工作。

综合布线系统是模块化、灵活性极高的建筑物或建筑群内的信息传输系统，它既是智能化建筑系统和网络系统的重要底层硬件，又是建筑物内的“信息高速公路”。

综合布线系统主要以非屏蔽双绞线和光缆为传输介质，采用分层星型结构，它既能使语音、数据、图像、通信设备和交换设备与其它信息管理系统彼此相连，又能使这些设备与外部通信网络相连接。

三、网络管理技术

网络管理主要是保证网络联系畅通和各设备正常运行，统计优化网络的使用性能，保证网络中重要数据的安全等。网络管理的五个主要功能域为：配置管理，是管理所有的网络设备，随时掌握网络内任何设备的增减与变动，管理所有网络设备的设置参数；故障管理，为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在并进行恢复，包含所有节点动作状态、故障记录的追踪与检查，及平常对各种通讯协议的测试等；性能管理，主要是评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，可提供未来网络提升或更新规划的依据；安全管理，是为防范不被授权的用户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等；计费管理，了解网络使用时间，能针对各个局部网络做使用统计，即可作为使用网络计费的依据，也可作为日后网络升级或更新规划的参考。

四、网络安全技术

网络安全首先要确定网络上有哪些网络资源，并分析它们可能存在的安全威胁，制订相应的安全性策略，安装、配置、管理各种安全产品。与安全有关的产品和工具有防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、数据备份系统、网络管理和监测系统等。网络系统安全是指网络系统中计算机硬件、软件的安全性，及信息在处理、存储、传输过程中的保密性、完整性和可控性，确保合法用户的服务和限制非授权用户的服务以及必要的防御攻击的措施。网络安全在OSI模型中各层的功能如下：

1.物理层。实施内、外网络的物理隔离，安全级别为最高。

2.数据链路层。使用信道或数据加密技术来传输信息，安全级别为较高。

3.网络层。使用防火墙技术来隔离内、外网络，使用包过滤技术跟踪和隔离入侵者，安全级别为中等。

4.应用层。通过用户身份认证来授予用户对资源的访问权，还可采用网络版杀毒软件，安全级别较低。

五、校园网关键技术应用

1.核心层网络设计

核心层是网络的核心，核心层设备应该具有高性能的传输功能和高可靠性、可管理性以及高带宽等性能，以达到网络的设计要求。

大连大学的核心层网络结构采用环状结构，即核心主干交换机与主干交换机互连成环形结构。环形结构可以使线路负载均衡，当任何两台交换机之间千兆链路连接出现故障，则可自动切换到另一回路上去，从而满足整个系统的安全可靠性。最后实现以图书馆、南区中心宿舍、北区中心宿舍内网络中心的三台千兆AVAYA P880交换机为中心，采用4-16芯的多模／单模光缆为传输介质，分别连接到全校的办公楼、教学楼、专家楼、南北区学生宿舍等60余座楼宇，形成了校园网的主干光缆通道，并且为所有的主干光缆都设计了线路冗余。大连大学校园网结构拓扑如图1所示。

图1校园网结构拓扑

在网络出口上，我们的路由器选择合适的链路接入方式连接Internet，考虑线路的备份要求，我们采用租用DDN专线与中国教育科研计算机网互联，同时我们还使用专用线路与中国网通、中国电信等运营商互联，确保出口接入冗余设计和网络畅通。

2.汇聚层和接入层网络设计

校园网汇聚层和接入层网络设备用来实现与核心层设备千兆上联，并与用户终端设备连接。根据校园网用户的特点，要求实现高端口密度，每个端口价格相对要低。网络的安全控制也主要由汇聚层和接入层网络设备来实现。

汇聚层交换机我们选用AVAYA P330系列。该交换机支持千兆上联、堆叠和快速以太网，同时提供48个100M快速以太网端口。

接入层交换机采用支持千兆上联和快速以太网的210台AVAYA P120堆叠式交换机，网络设备的带宽为100M到桌面，完全可以满足用户的要求。

3.综合布线系统

（１）工作区子系统。由终端设备连接到信息插座的连线组成，它包括装配软线、连接器和连接所需的扩展软线，不包括终端设备。信息插座可以安放在墙壁上、地面上或桌面上，一般要求采用标准的RJ45插头/插座。一个工作区面积大小一般为8~10平方米，可根据实际工作区大小确定信息点数。从RJ45插座到用户终端设备之间的连线使用双绞线，长度一般不要超过10米。

（２）水平子系统。指楼层范围内的信息传输介质（4对UTP或光缆及其相关部件）。它是实现信息插座和管理子系统间连接的桥梁。水平布线子系统设计范围较分散，遍及整个楼宇的每一层。用线必须走线槽或在天花板吊顶内布线。为了满足高速数据、语音传输及视频（如可视电话）的需求，以及考虑未来的发展，水平子系统我们选用AVAYA公司的超5类4对非屏蔽双绞线。

（３）垂直主干线子系统。又称主干线子系统或垂直竖井系统，是布线系统的垂直走线部分。它将整幢楼主配线架与各楼层配线架相连，是一幢多层建筑各楼层之间垂直铺设的骨干馈线电缆或光纤。本系统中主要采用大对数双绞线电缆，并铺设在弱电竖井内。而对于动物中心等个别低层或单层建筑，则直接通过主配线架连接至工作区。

（４）设备间子系统。又叫机房子系统，是在每一幢大楼的适当地点设置进出线设备、网络互连设备的场所。通过设备间子系统可以完成各楼层配线子系统之间通信线路的调配、连接和测试，可以与本建筑物外的公用通信网连接。本系统中网络主设备间设置在学校中心区图书馆4层主机房。作为网络管理中心和总配线间，放置了网络主机柜、网络交换机、服务器、路由器、存储设备及UPS等。其他楼体设备间子系统共60余个（每个楼体1个），设备间内安放了AVAYA交换机、标准网络机柜、AVAYA配线架、24口AVAYA光纤接线箱及各类线缆等。

（５）管理子系统。设置在楼层配线间内，连接垂直子系统和各水平子系统，由各楼层配线架及相关交联、互联、跳线和插头以及各种颜色的标签等装置组成。利用配线架的跳线功能，可使布线系统具有灵活性和多功能性。在本系统中，我们都保留了足够的空间，以放置配线架和网络设备，在有ＨＵＢ、交换机的地方配有专用的稳压电源，并保持一定的温度、湿度等。因各楼体的实际情况不同，有些楼体未配备管理子系统。

（６）建筑群子系统。是建筑物之间相互连接所采用的通信电缆、光纤、微波等以及相连接的所有设备组成的通信线路，将一栋建筑的线缆延伸到建筑群内的其他建筑物的通信设备和设施。图书馆、南区中心宿舍、北区中心宿舍内网络中心的三台千兆AVAYA P880交换机之间分别采用16芯单模光缆为传输介质，将三幢建筑物相连。再以图书馆为中心，采用4-16芯的多模／单模光缆为传输介质，与行政、教学、办公楼体相连；以南区中心宿舍（南九宿舍）为中心，引出18条单模光纤分别与南区的18个宿舍楼相连；以北区中心宿舍（北三宿舍）为中心，引出13条单模光纤分别与北区的13个宿舍楼相连。最后形成了校园网的主干光缆通道，并且为所有的主干光缆都设计了线路冗余。

4.网络应用系统

网络应用和网络资源的建设是校园网络建设的主要部分。建设校园网的主要目的是充分利用校内外的网络资源，并且建设自已丰富的网络应用。大连大学校园网络自开始建设就提供了通过校园网访问Internet和校内网络资源的应用，并建立了学校自己的Web站点。通过互联网广泛宣传大连大学的教学、科研和管理等工作。同时建立了E-mail、FTP、DNS、用户账号管理、用户远程拨号、视频点播系统、课件点播及各部门的Web站点等服务。

随着校园网应用的加强，学校将建立自己的管理信息系统和办公自动化系统，实现校内办公的信息化和自动化。同时图书馆的图书数据库等已经接入校园网，实现了在校园网所有的计算机上都能够进行图书、期刊等资料的检索和阅览。

5.网络安全系统

随着互联网的发展，网络安全已经成为高等院校校园网应用中的一个重要问题。大连大学校园网络在建设与应用过程中非常重视网络安全问题，并积极地采取了相应的安全措施。

（１）安装企业级应用防火墙。在校园网的出口设立硬件防火墙，防止外网非法用户的访问和黑客的入侵。将其安装在连接数据库服务器的交换机和中心路由交换机AVAYA P880之间。对校园内部不同网络间的安全访问进行控制，还可以通过虚拟网的划分和AVAYA P580上的安全控制机制来实现。同时将校园内部的相关服务器放置在防火墙内部，以确保校园网能够安全运行。

（２）配备IDS入侵检测系统。IDS是用来检测针对计算机系统和网络系统，或者更广泛意义上信息系统的非法攻击的系统。IDS已由最初的审计日志分析程序逐渐发展为具有更多系统检查功能的基于主机的入侵检测系统。同时，随着计算机网络的发展，基于网络的入侵检测系统在近几年也得到了迅速的发展，它利用数据包嗅探器，截获数据并按照一定的规则进行分析，来检测网络中的恶意行为。

我校IDS的主要功能有：监测并分析用户和系统的活动、核查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为、操作系统日志管理、识别违反安全策略的用户活动等。

（３）ＶＬＡＮ的划分。我们选用的AVAYA交换机提供了按照物理端口的MAC地址、IP地址、协议等多种方式划分VLAN（虚拟局域网）的功能。利用VLAN技术，将由交换机连接成的物理网络划分成多个逻辑子网。考虑到我校的IP地址的数量（24个C类），并根据我校校园网的应用需求和安全策略等方面的问题，将校园网分成108个VLAN。具体是按照学校的行政区域、物理位置和功能等方式划分VLAN，以便于统一管理；对于重要的部门单独划分一个VLAN，禁止VLAN外的用户访问（如财务处）；对于物理位置分散，而又需要划分在一个VLAN内的用户，可以跨楼体或交换机将不同楼体或交换机端口下的节点划分在一个VLAN中。VLAN的划分在方便了校园网的维护和管理的同时也大大增强了网络的安全性。

在校园网络安全方面，除了以上措施外，我们还采取内外网隔离、访问控制、身份认证、安全域控制、网络安全检测、审计与监控、网络反病毒、数据安全保护、网络数据备份与恢复、信息内容审计等安全机制，以确保校园网络系统的安全。

六、结束语

目前，大连大学校园网己经具有了一定的规模，校园网的各类应用在逐渐增加，网络运行比较稳定，基本实现了校园网的最初建设目标。随着网络应用技术和学校需求的不断发展与提高，我们会不断完善其中的相关技术，以增强大连大学的教学、科研、管理和服务水平，进一步提高大连大学的综合实力。

参考文献：

[1]蔡立军.网络系统集成技术[M].北京:清华大学出版社,2004.4:1-33

[2]孙启智.校园网的设计与架构[J].枣庄师范专科学校学报,2004,21(2):71-74.

[3]周增国.大连大学校园网的设计与实现[J].大连大学学报,2005,26(4):28-29.

[4]戴心来,王秀山.大学校园网技术实现的若干问题研究[J].中国电化教育,2003,195:81-83.

[5]王桂芝.职业教育中心学校校园网的设计与实现[D].天津:天津大学电气与自动化学院,2005：38-42.