党校网络工程浅析

刘春雷

摘 要 党校不断提升的教学和培训需求对学校原有的网络条件提出更高要求。对学校的网络现状进行分析，并对组建党校网络工程的方案进行解析。

关键词 党校；网络工程；系统管理

中图分类号：G434 文献标识码：B

文章编号：1671-489X（2015）23-0056-02

1 前言

作为衡阳市党、政干部和企事业单位的培训基地，党校承担着重要的教学和培训任务。随着近年来各种培训班数量的不断增加、对干部培训要求的不断提升，现有网络条件已经不能适应和满足新形势下的教学和培训的需求。伴随着校园改造的进行，学校启动了新一轮的校园信息化建设。

2 网络现状

学校原有的小型网络系统仅能满足少量学员的需要。随着党校培训班次和学员数量逐渐增多，对网络的使用要求也不断增加。大规模的校园网络使用，经常出现网络IP地址冲突、出错等问题。原有网络规划不够科学，以致出现问题时，进行网络故障查找、定位比较困难。另外，网络安全风险问题、网络升级维护不便、新增设备与原有设备兼容问题等也是现有网络存在比较突出的问题。

3 网络工程的设计要求

搭建和优化校园网络工程，必须从提高党校工作效率和水平入手，提高学校教学管理、学员管理、办公管理水平，满足党校现有各项业务的需要[1]。为此，必须满足以下几点要求 。

安全可靠 系统应具有层次多样、全面完善的安全管理体系和安全控制手段，避免受到网络攻击和破坏。在网络设备选择和工程设计、布线时，既要充分考虑到网络的稳定性，支持网络数据的备份和保护，又要充分考虑党校的性质和业务特点，保证学校教学、办公、学员管理等各类信息资源的真实性和保密性，防止网络中数据被非法窃取、篡改。

经济实用 规划网络时既要采用先进的技术，又要兼顾技术设备的成熟性，使系统能够在现在和未来若干年里切实满足党校教学和办公的需要。党校应在资金有限的前提下，做到将投资与当前需求紧密结合起来，以达到较好的性价比。

易于扩展 在网络的规划设计中，网络设备应为今后技术升级保留空间和路径。在未来技术发展需要时，整个系统能在已有的基础上增加少量投资就能实现升级，充分保护已有投资，实现平稳过渡。

易于管维 校园网络系统应具有良好的整体网络管理功能，应提供全面综合的、可监控到桌面的综合解决方案。整个系统结构精简，便于管理、维护。

4 具体网络设计

设计思路

1）层次化。将网络划分为三层结构：核心层、汇聚层、接入层。层次清晰，架构稳定，便于扩展和维护。核心层，作为网络的核心枢纽，负责整个网络的高速互联，采用万兆核心交换机、双机冗余热备份，实现高带宽利用率和网络故障的快速收敛；汇聚层，作为核心层与接入层间的桥梁，处理来自接入层的数据，并提供上行核心层的链路，建设过程当中应当留意带宽瓶颈问题，留有足够的扩展冗余；接入层，负责将各种终端接入到校内网络并提供即插即用的特性。

2）模块化。将校内网络中的每个部门定义为一个功能模块，模块内部便于进行调整和问题定位。

3）冗余备份。关键设备及关键链路采用冗余备份，确保全网络可靠性得以提高。

4）管理维护便利。尽量选择较成熟通用、性价比高的产品。

网络拓扑图 如图1所示，校园网核心层采用两台高性能交换机，通过GE口与其他设备互连，充分满足大容量数据交换要求，两台设备互为备份， 保障网络可靠性；汇聚交换机采用千兆双上行连接，保证足够带宽与服务质量，下行则通过千兆连接楼层交换机；为实现上网与管理方便，各个部门单独分离出来，楼层交换机采用100 M上行，完全可以满足上网需要；所有接入交换机选用智能型多业务交换机，并有高安全性和易管理性；连接公网设备采用高性能运营级交换机。

根据安全稳定性的需求以及兼顾未来发展需要，在核心层高性能交换机，提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和安全智能万兆多层核心交换机。这样既保证了网络的稳定高速运行，同时满足了目前用户对现有网络的需求。

接入交换机上采用带有含ARP check功能，支持广播报文抑制并能够支持行业应用广泛的802.1X技术的安全智能接入交换机。接入交换机能够支持多种ACL策略，包括专家级ACL、ACL80、时间ACL等和灵活丰富的安全策略管理的安全智能交换机，为内网用户能够实时方便、高效快速地访问网络提供快速和安全保障。

在核心交换机及接入交换机上均能防止DOS攻击和IP地址扫描攻击。核心交换机采用了带有LPM+HDR优化技术彼此稳定、带有先进SPOH技术的核心设备，可保证未来网络能平滑的过渡到万兆核心，同时选用支持VRRP热备协议的三层安全汇聚交换机来保证网络的稳定性，能保证网络的永续服务。同时在网络出口方面选择了防火墙，在为网络提供高带宽的同时可以保证网络出口的安全性和先进性。

具体设备安装解析

1）中心机房放置两台高性能运营级别的万兆交换机，通过千兆光口各个部门的交换机，千兆上行接核心高速千兆防火墙，同时两台交换机又互为备份，GE电路连接政务网出口的路由器或者防火墙，访问政务网或本单位服务器流量通过该交换机访问政务网或本单位服务器群。

2）中心机房安装一台高性能千兆防火墙，利用千兆防火墙采用千兆上行至互联网。

3）楼层交换机和汇聚交换机上配制VLANID，实现网络隔离，实现VLANID+MAC+IP认证上网与网络安全。

4）在防火墙上做相关网络安全的配置，保护内网网络安全及应用服务器安全。

5 结论

综上所述，经过全面的考虑和设计，学校网络建成一个整网全千兆且集网络管理方便、高速、安全稳定的网络。整网实现千兆主干到核心、百兆线速交换到桌面的设计，充分体现出安全可靠、稳定可扩展、人性化、易管理并带有投资保护设计的先进校园网络系统。

参考文献

[1]谭德兵.关于学校信息网络技术方案的探讨[J].中国电子商务，2013（12）.endprint