高校学生宿舍网络架构研究与设计

魏评

（无锡科技职业学院信息中心，无锡 214028）

高校学生宿舍网络架构研究与设计

魏评

（无锡科技职业学院信息中心，无锡 214028）

0　引言

随着中国教育信息化的飞速发展，校园网建设与应用为高等教育事业注入了新的活力。大学生作为高校中最重要的一个群体，在学习生活上对Internet接入有着强烈的需求。宿舍网的建设应用与管理维护已成为高校信息化工作的一个重要组成部分。

1　学生宿舍网需求分析

大学生在全国网民中占有较高比例，近年来高校的网络建设从教学办公区、图书馆、实验实训中心与社团活动中心延伸到了宿舍区域。大学生需要在宿舍里方便地接入Internet，实现互联网信息检索、教育资源下载、网络学习、邮件收发、即时通讯等多样化应用。同时宿舍网的管理也变得日趋复杂，高带宽视频点播、P2P下载、网络病毒、黑客攻击等都对宿舍网的安全运营带来诸多问题。构建一个传输稳定、易于管理、具有高可靠性和安全性的宿舍网，对网络整体架构研究设计提出了很高要求。

2　宿舍网架构研究与设计

2.1宿舍网拓扑架构与VIAN规划

宿舍网是校园网的重要子网，规划信息点总数超过了8000个。整体拓扑架构分为核心层、汇聚层和接入层：信息中心总机房为核心节点，配备高端交换机、路由器、防火墙等网络设备，采用电信、教育网等多光纤链路接入Internet；宿舍区分布着多栋建筑楼宇，每栋楼宇设置一台汇聚交换机，主干链路采用单模光纤与核心交换机互联；各楼宇内部每一层配备3至5台接入交换机，采用单模光纤或六类网线与汇聚交换机互联。每个宿舍房间内配备4至6个接入信息口，通过超五类网线与接入交换机相联，每个信息口对应连接一台学生计算机。

每一个宿舍楼层的接入计算机总数一般不超过200台，每个楼层可划分为一个独立的C类网段，同属于一个VLAN虚拟局域网。规划VLAN总数为52个，包括50个楼层接入网段、1个交换机设备网段、1个应用服务器网段。通过合理的规划VLAN可以限制宿舍网广播域，防止广播风暴的产生，从而节省网络带宽和提高数据传输性能。配置VLAN访问控制策略，各楼层VLAN内部的计算机可以互访，跨VLAN的计算机相互隔离，无法直接互访。各楼层VLAN与核心层设备VLAN路由直达，校内主干光纤链路传输带宽大于1000兆，采用端口汇聚技术后主干带宽大于2000兆。

2.2网络带宽与流量管理

ISP提供的互联网接入光纤带宽从100兆至1000兆不等，由于宿舍联网信息点众多，网络访问流量巨大，合理地分配带宽流量显得尤为重要。测试表明在核心节点管理整个宿舍区带宽，需要对大量接入IP进行实时流量控制，容易引起核心设备工作负荷过重而影响整体网络性能。推荐在接入层交换机配置端口限速，硬件指标上交换机端口具备上下行限速粒度小于等于1兆。通过配置端口限速，可防止某些计算机占用过多的网络带宽，均衡分配每个VLAN网络通信流量，确保整个宿舍网络传输稳定。以H3C E352交换机为例，配置接入层端口1至48口上下行速度为2兆，参考命令如下：

2.3认证与计费管理

常用的联网认证方式包括：802.1x、PPPoE、Web认证等。认证技术应重点考虑以下几点：大部分学生计算机安装Windows操作系统，少数可能安装Linux、Apple Mac OS X等系统。认证技术应具备较好的兼容性和通用性，不能局限于某一品牌型号的网络设备、某一类操作系统。特别是交换机等硬件设备升级时，认证方式具备一定的延续性和有效性。该宿舍网架构采用一个信息端口对应连接一台计算机网卡，不推荐使用内部路由器或架设代理服务器等。这样可以根据用户账号、密码、MAC、IP地址、楼层VLAN、交换机IP、交换机端口号等参数与认证绑定，严格识别联网学生用户身份。如果检测发现私设内部无线网、路由器与二级代理等，认证系统会强制用户下线。考虑到学生宿舍搬迁、房间内部调整等特殊情况，认证系统可以经数据库比对灵活授权管理员绑定各类参数。宿舍网运营需要大量的经费支持，同时也为学校提供了一些收益，合理的计费管理是重要的保障措施。计费管理可以与认证技术、校园一卡通相结合，采取包年、包月、包学期、包流量等方式，适应在校大学生的经济承受能力与多种联网需求。

2.4网络安全监管

为深入贯彻落实公安部第82号令《互联网安全保护技术措施》，必须加强高校宿舍网的安全管理。加快网络监管平台与安全保障措施建设，防止用户散布有害信息、传播病毒等。推荐采用公安部监制、具有“计算机信息系统安全专用产品销售许可”的网络硬件设备和软件系统进行统一管理，尽量减少网络安全突发事件对宿舍网正常运行带来的影响。在校园网出口处配备网络行为监管器，结合端口镜像技术对宿舍网内部每个接入IP进行日志审核与记录。一旦学生在网络发布不良言论或者进行网络攻击后，能够通过日志审查确定用户身份，精确定位到个人。

ARP攻击、蠕虫病毒是常见的网络攻击方式，严重破坏和干扰到某个VLAN网段的计算机正常上网。建议配置三层以上智能交换机，上网认证后该交换机端口即与网卡的MAC智能绑定，网络管理平台自动记录IP与MAC的对应关系。一旦系统检测出MAC仿冒、ARP/UDP攻击、网卡发送大量攻击数据包网管系统即自动禁用该交换机端口，把问题主机隔离出来，防止进一步破坏。为进一步加强宿舍网安全，可配置STP生成树协议、广播包抑制、ACL访问控制列表、QoS服务质量和架设宿舍网内部杀毒服务器等。

3　宿舍网的功能拓展

随着宿舍网应用的不断深入，某些技术层面需要作进一步功能拓展与升级。因ISP服务商接入带宽有限，每个接入端口带宽并不充裕，限制了某些高带宽的网络应用。建议ISP局端组网架构进行升级，理想的Internet接入总带宽是提高到万兆以上。提高校园网内部骨干网传输带宽，核心层与汇聚层设备的互联向万兆过渡，每个接入端口带宽升级到50兆以上。IT专业的学生课后需要在宿舍里练习大量网络实验，如架设网站、配置各类应用服务器，需要在防火墙设置端口映射、VPN和NAT转发等，这对宿舍网管理技术提出了更高要求。随着智能手机、笔记本电脑等移动终端的大量普及，构建并覆盖整个宿舍区的无线网可在下一阶段校园信息化建设中规划实施。

4　结语

宿舍网的建设使学生在住宿区也可以与网络世界互联互通，提升了高校整体信息化水平。大学生可以足不出户充分利用校园网信息平台，合理协调教育教学与精品课程资源，进行网络课程学习与成绩查询、文献与期刊论文检索、发布各类讲座与社团活动通知、查询一卡通消费信息等。高校通过建立公众微信平台、网上党校等新兴网络媒体，在加强大学生政治思想教育等方面也可以起到促进作用。

Dormitory Network；VLAN

Research and Design of College Student Dormitory Network Architecture

WEI Ping
（Wuxi Professional College of Science and Technology，Wuxi 214028）

1007-1423（2015）31-0041-03

10.3969/j.issn.1007-1423.2015.31.011

魏评（1975-），男，江苏无锡人，高级工程师，硕士，研究方向为高等计算机网络

2015-10-13

2015-10-31

高校学生宿舍网是校园网建设的重点工程，具有联网信息点众多、地理覆盖区域集中、对网络安全性要求较高等特点。参考大型局域网设计规范，对高校宿舍网拓扑架构与VLAN规划、网络带宽与流量管理、认证与计费管理、网络安全监管等技术深入研究设计，对组建宿舍网工程具有较高的参考价值。

宿舍网；WLAN

As the focus of the campus network construction project，the college dormitory network has a wide range of features，such as rich networking information，intensive coverage area and high requirement of network security.Uses large LAN specifications as reference，studies college students'dormitory network topology and VLAN planning，network bandwidth and traffic management，authentication and accounting management，and technology of network security supervision.Provides high reference value to dormitory network project.