区域中职标准化校园网建设方案初探

刘芙 傅毓海

摘要：本文从地级市角度，围绕《教育部关于加快推进职业教育信息化发展的意见》中提出的关于标准化校园网建设要求，通过对淮安市及周边城市中等职业学校的校园网现状进行调查，提出了区域中职校园网建设的“四高”原则，力求整体推动中职校园网标准化建设步伐。

关键词：区域中职;标准化校园网;建设方案设计

中图分类号：G718 文献标志码：A 文章编号：1673-9094-C-（2015）01-0041-03

调查可知，目前淮安市中职校园网建设存在容量明显不足、网络安全没有保障、网络管理手段落后、建设经费不足等问题。

一、区域中职校园网建设思路

近期，为夯实信息化建设基础，淮安市出台了《淮安市中等职业学校标准化校园网建设标准》，在总体设计上以“云服务”理念为核心，坚持统筹规划、统一标准、模块化部署、集中投入、校企共建的原则，建设以IPv4/IPv6双栈网络技术为基础，以有线无线一体化、统一身份认证管理、智能化资源管理为特色，高可用、高可控、高智能的云构架网络平台，以高度贴合用户应用需求，提供按需服务（如图1）。

整个系统分别由校园网络平台、数据中心平台和网络管理与网络安全平台三部分构成。校园网络平台主要由智能有线无线一体化泛载接入网、高速双栈骨干网、融合一体出口网构成;数据中心平台包括计算单元、存储单元、网络池等;网络管理与网络安全平台主要从网络正常运行与维护的角度考虑必备的软、硬件设施。

二、区域中职校园网建设方案设计

淮安市中等职业学校校园网建设方案设计主要以“四高”为标准，即“高贴合”的校园网逻辑拓扑图设计、“高可控”的校园网络平台设计、“高容量”的数据中心平台设计和“高可靠”的网络管理与安全平台设计。

（一）“高贴合”的校园网逻辑拓扑图设计

“高贴合”即是尽量满足用户应用需求，提供按需服务，从而根据各学校校园网现状，设计出科学的校园网络逻辑拓扑图。对两台核心交换设备进行虚拟化，在安全网关上做统一的出入口流控，行为日志、无线控制、身份认证、网管等由运维中心统一负责，校内各种服务、教学资源等数据全部集中在数据中心。见图2。

（二）“高可控”的校园网络平台设计

笔者认为，区域中职“高可控”的校园网络平台设计要以人为本、以客户需求为导向，其原则为“五个一体化”：一是“接入”一体化，通过将有线网和无线网无缝融合实现有线、无线客户端一体化全覆盖接入;二是“交换转发”一体化，通过AC控制器和有线交换机的一体化设计实现有线、无线流量交换转发可共用一张网进行高性能转发;三是管理认证一体化，通过统一网管平台和统一认证计费系统的一体化设计实现有线无线管理一体化、认证计费一体化;四是IPv4/IPv6一体化，有线和无线全线产品均支持全功能的IPv4/IPv6特性以及IPv4/IPv6一体化认证管理;五是安全认证一体化，有线无线均支持Web Portal/802.1X一体化、外网/内网一体化、准入/准出一体化。

（三）“高容量”的数据中心平台设计

数据中心是数据大集中而形成的集成IT应用环境，是高性能计算、网络传输、数据存储的中心。作为IT应用系统的核心，数据中心已成为支撑日常业务运作的重要核心，也是校园网建设的重点。因此，“高容量”的数据中心平台设计主要是注重“两大趋势”，即“整合化、虚拟化”。

一是整合化。随着云计算、FCoE、刀片服务器等新兴技术的引入与应用，有效地解决了整合问题。因为采用FCoE技术可有效将计算、网络、存储整合，在大幅降低设备和布线数量的同时也有效降低了人力、电力开支，从而大大降低了整体TCO，并充分简化了数据中心的物理架构、管理架构。二是虚拟化。虚拟化是一种用于共享资源，使单一的物理资源划分为许多个别独立的资源的技术手段，反过来虚拟化也可使得多个独立的物理资源整合为一个统一的资源。虚拟化的好处是以最小的成本创造更灵活的系统，可轻松地提供灵活的部署、先进的自动化，安全和易于管理。虚拟化的应用体现在3类资源上：服务器、网络和存储。数据中心设备要综合考虑服务器、存储、网络、管理、性能、业务连续性等因素，设计完整的云计算数据中心解决方案，整合服务器、存储系统、网络、安全设备等资源，形成安全可靠的虚拟主机群集，实现虚拟机热迁移，秉承“一体化容灾”特色，专注于解决虚拟化保护、存储保护、大数据量保护等难题。采用统一的管理界面可集中管理本项目的计算池、网络池、存储池、安全及优化池。要提供SAN存储网络架构，为虚拟化系统的部署提供统一存储空间，提供详细的存储网络架构方案，将新采购的服务器和存储设备进行整合形成为一体化的数据存储网络。方案架构设计要具有弹性的扩展能力，充分考虑用户未来的发展需求，直至实现本地与容灾端的双活云计算数据中心，最大程度降低投资风险。

（四）“高可靠”的网络管理与安全平台设计

网络管理是通过相应的管理系统对网络及其用户进行的管理，目的是保障网络及其信息服务系统的正常运行。网络安全是指通过制定网络安全政策和利用网络安全技术（包括软件和硬件）设备对网络系统和计算机系统进行安全防护。

1.网络管理设计。

一套好的网络管理系统能给学校及教师带来很大的帮助，并减轻很多繁杂的日常事务。随着学校信息化建设的逐渐展开，网络的层次也逐渐复杂。中职学校信息中心的教师人数一般不多，如何能高效、及时地管理好整个校园网络，防患于未然，堵漏于及时，是考核信息中心教师专业水平的关键指标。这种管理应针对网络平台资源、用户资源、数据资源、媒体资源进行统一配置与控制。

因此，淮安市中职的网络管理设计理念主要是做好“四种管理”。一是拓扑自动发现及管理，要设计一套软件能自动、准确、及时地发现各类大型网络的拓扑结构，并且可根据管理员设置自动完成更新;二是对设备进行管理，实时监控网络设备的CPU、内存、流量等性能指标，并可跟踪这些指标的变化情况，实时查看网络设备的网管信息，如端口列表、ARP表、STP表、TCP/UDP会话表等信息，手动或自动备份网络设备的配置信息，监控主机的CPU、内存、磁盘等使用情况，监控HTTP、FTP、POP3、SMTP、ORACLE等应用的可用性;三是对链路进行管理，要监控网络链路的通断、带宽利用率、流量等信息，在链路带宽利用率超出阈值时报警，并可统计指定时间内链路的流量、中断时间等;四是对终端合法性监控，要设有合法性监测引擎设备，能在不额外消耗网络带宽的情况下，自动监测网内终端设备的基本属性（IP地址、MAC地址、主机名、连接的交换机端口等），提供面向终端的安全性、活跃度、流量管理，并且可通过多种安全策略阻断非法终端接入。

2.网络安全设计。

网络安全是校园网建设的重点和要点，需要多维度、多层面考虑，结合充分的用户调研和实地验证，从接入安全防护、无线安全防护到边界安全防护、安全监控与日志全维度针对数字校园推出了整体安全解决方案，需解决用户所面临的所有网络安全问题。

淮安市中职校网络安全设计理念主要是注重“四个策略”。一是实施设备自身安全策略。为有效验证校园网的运营效果，就必须从接入层交换机开始，打造高效、安全、稳定的网络。对汇聚交换机提供完整的ACL策略，并使用不同的策略进行转发。通过ACL策略的实施，用户可过滤掉“冲击波”“震荡波”“红色代码”等病毒包，防止扩散和冲击核心设备。支持IEEE802.1x基于端口的认证，为网络提供端口级的安全保证。配合RADIUS等认证机制，可有效防止非法用户侵入网络;对无线安全的控制是在AC控制器中统一进行的，包括无线入侵检测、统一身份认证、统一门户、安全加密等，只需要网管人员配置安全策略到AC控制器上，就可完成整网安全策略的配置，除此之外还可结合AC和POE交换机的安全特性，轻松部署ARP立体防御、DHCP Snooping、IPv6 SAVI、ACL等安全策略，有效实现无线网络的高安全防护能力。二是增加“关键协议绿色通道”策略。保障正常、合法、速度合理的关键控制报文（VRRP、STP、MSTP、RIP、OSPF、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断。三是使用先进的LPM技术策略。可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。四是实施可控制策略。在端口信任模式上检测非法BPDU、非法DHCP Server等，从而保障网络的安全。

中职校园网建设是一个动态的、长期的过程，随着信息化建设的不断加快，多种接入方式并存、数字化学习资源总量不断扩充、各种教育管理业务的集成、天地网络全覆盖等对计算机网络建设的需求越来越高。因此，区域中职标准化校园网建设要加强顶层设计，坚持需求导向，强化信息共享、业务协同和互联互通，突出建设效能，努力向着高度开放、高度集成、高速互通、虚拟智能、移动互联等多维度方向全面展开，有效提高网络服务水平。还要加强经费投入，保持校园网的先进性，定期培训网管人员，更新设计人员理念，为区域信息化建设水平的整体提升打下坚实基础。

（责任编辑：章跃一）

A Preliminary Study on the Construction Plan of Regional Secondary

Vocational Standardized Campus Network

LIU Fu & FU Yu-hai

（Jiangsu Huaiyin Business School， Huai'an 223003， Jiangsu Province）

Abstract： This paper puts forward the requirements of standardized campus network construction according to "the Ministry of Education on Accelerating the Promotion of Vocational Education Information Development" from the municipal perspective. Through the investigation of the current situation of secondary vocational campus network in Huai'an and its surrounding cities， it proposes four principles for the regional secondary vocational campus network construction in the hope of promoting its overall standardized construction.

Key words： regional secondary vocational education; standardized campus network; design of construction plan