校园网网络改造实践研究

孙光懿+孙光为

摘要：该文以天津音乐学院“十二五”校园网改造项目为背景，以VLAN技术在校园网中应用研究为主线， 解决校园网中存在的实际问题。论文作者参加了该项目的需求分析、总体方案设计，以及整个施工过程。本文分析了天音校园网现状及存在的问题，提出了解决这些问题的对策，同时根据VLAN技术与三层交换技术的特点，按照三层架构的原则重新规划了天音校园网拓扑结构，给出了一种基于VLAN技术的校园网总体设计方案。

关键词：VLAN；网络安全；三层架构；出口路由

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）34-0045-02

1 校园网存在的问题

互联网发展快速、高效的特点在天音校园网的建设中显得尤为突出，对推进校园管理网络化和教学手段现代化起到了重要的作用。天音校园网在开展教学、科研、办公等方面不断的深入，但伴隨着网络应用的增加，网络规模也逐年扩大，所呈现的问题也日趋突出，给校园网制定相关网络安全策略，部署相应的解决方案，保证校园网安全稳定的运行，已经成为目前急需解决的问题。当前校园网主要存在以下几个问题：

1.1 原有VLAN划分已经不适应当前校园网的发展

目前学院一些部门的网络都在同一个VLAN下，没有进行进一步细致的划分隔离， 网络设备之间可以互相进行访问，重要数据的独立性与安全性无法保证， 病毒以及广播风暴问题日益严重，有的时候交换机CPU的使用率达到90%以上，严重影响了学院网络正常的运行。

1.2 网络拓扑结构有待完善

一些楼宇中的接入交换机没有与该楼宇中的汇聚交换机相连而直接和核心交换机相连，造成核心交换机负载过重，这样很容易造成网络拥塞。

1.3 IP地址管理困难

用户擅自修改IP地址造成校园网内IP地址冲突的现象时有发生，这种网络故障严重影响了整个校园网络的正常运行。

1.4 没有进行网络访问控制

目前互联网上存在一些不文明、不健康的网站以及一些病毒网站，这些网站通常带有网络病毒，如果允许校园网内的所有计算机都可以访问外网，特别是一些重要部门的计算机，一旦被黑客攻击后果不堪设想。

1.5 校园网出口路由选择及出口带宽监控的问题

天音校园网原有中国电信、教育网两条出口，学院为了保证教学、办公以及宿舍网带宽的需要新引入了中国联通出口，因此需要重新进行校园网出口路由的调整并实现对出口带宽的监控。

2 天音校园网改造需求分析

2.1 网络管理需求分析

天音校园网络目前覆盖教学区、办公楼、琴楼、学生宿舍区共计楼宇20余栋，师生上网人数近3000人，建成了一个具有一定规模的计算机网络。随着数字化校园逐步的建设，网络管理的复杂度也日趋增加，如何合理的进行VLAN划分是急需解决的问题。

2.2 校园网安全需求分析

主要利用虚拟局域网技术以及防火墙技术解决安全与学院网络资源开放问题：天音校园网络应该是一个开放的系统，一些音视频资料可以向社会共享使用，但是一些资料涉及版权问题只能在院内播放；禁止院外用户在未经授权的情况下访问院内数据。

3 校园网结构设计

为了提高校园网数据交换传输的能力，降低网络结构的复杂程度，便于日后对校园网的管理，我们将校园中整体划分为三层架构即核心层、汇聚层、接入层。

核心层可以看做是校园网的大脑，主要负责数据的交换以及路由转发工作。由于核心层采用高性能模块化路由交换器，网络的规模可以随着模块的增加而扩大，会遇到业务中断等问题。其主要功能如下：

1）提供校园网内各汇聚设备的连接；

2）提供到广域网的访问；

3）优化数据传输性能；

4）迅速适应升级；

5）提供高可靠性；

汇聚层工作在数据链路层，负责连接接入层网络设备。其主要功能如下：

1）部门或工作组接入；

2）VLAN聚合；

3）VLAN间路由；

4）安全性控制；

接入层是连接终端设备的网络边缘负责为校园网用户提供接入服务。

4 校园网VLAN规划及配置方法

目前天音校园网存在着多个部门的计算机都划分在同一个VLAN下的情况，网络安全稳定性相对较差。经常发生IP地址冲突，也容易产生网络风暴、加速病毒传播的速度等缺点。为了解决上述校园网络存在的问题，经过认真的分析研究，决定对校园网VLAN按照分布位置与应用环境的不同进行细致的划分，子网之间互相不允许通信，满足不同需求。计划将校园网络划分为十五个子网。学院利用现有Cisco6509三层网络交换机实现对校园网VLAN（虚拟子网）划分。

5重新规划的天音网络拓扑结构

5.1 核心层结构

校园网核心层由一台CISCO6509交换机构成，主要负责十一经路校区、十四经路校区以及附中等三个区域数据流的汇集和分流。核心层与汇聚层之间采用光口互联，将十一经路校区、十四经路校区以及附中三个区域链接起来。Cisco 6509交换机 其强大的交换能力确保校园网内部有一个高速、稳定的网络环境，保证核心层与汇聚层之间无阻塞的数据交换。

核心层连接汇聚层交换机配置过程：

interface GigabitEthernet2/9 （连接南院旧女生宿舍区汇聚 ）

description jiunvsushe

no ip address

speed nonegotiate

switchport

switchport mode trunk

！

！

interface GigabitEthernet2/11 （连接南院宿舍区汇聚交换机 HP 5304）

description to-hp5304

no ip address

speed nonegotiate

switchport

switchport mode trunk

spanning-tree portfast

！

！

nterface GigabitEthernet2/14 （连接十一经路校区汇聚 神州数码 6808）

description beiyuan6808

no ip address

speed nonegotiate

switchport

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 1，4，5，8，10，13，14，33

switchport mode trunk

！

5.2 汇聚层结构

汇聚层主要负责将各区域接入层的交换机头端汇聚在一起，再通过千兆光纤链路上联到核心层，这样可以使核心交换机所需的千兆端口数量减少，节约组网的经济成本。目前校园网的汇聚层通过CISCO3550、神州数码6808、HP5304、

港湾6802交换机将十一经路校区、十四经路校区、学生宿舍区、附中等子网连接起来。CISCO3550负责十四经路校区行政办公楼接入交换机及A-F座教学区接入交换机的连接 如图（4-3），提供100M用户接入端口。神州数码汇聚交换机负责北院十一经路校区交换机的连接， HP5304交换机负责连接十四经路校区学生宿舍网，港湾6802负责附中网络的连接。南院办公楼汇聚CISCO3550连接核心交换机配置过程：

！

interface GigabitEthernet0/1

description nanyuan6509

switchport mode trunk

no ip address

speed nonegotiate

！

5.3 接入層结构

接入层是一个第二层的网络。在实际应用中多部署在楼层的竖井间。因此，要求在选用和部署时考虑易管理和低成本。校园网络接入交换机由思科2950、神州数码3950、HP2650、 锐捷2652G可网管交换机购成，主要负责为校园网用户提供100兆网络接口，使用户享受到高速网络服务。并且根据接入用户类型的不同在交换机上划分为不同的VLAN。

6 实现校园网出口路由的选择

天音校园网络目前拥有联通、教育、电信三条出口，其中联想为百兆独享；电信为百兆共享，实际带宽为40兆；教育网带宽为10兆；实际总带宽为150兆左右，带宽利用率为100%。为了保证日常教学、办公的带宽，现将学生用户设置为从联通出口访问互联网，学院其他网段从电信出口访问互联网；全院用户访问教育网资源均通过教育网出口进行访问。电信网关地址为：221.239.44.129，联通网关地址为：218.69.3.45教育网网关地址为：211.68.197.2. 通过以上配置实现了校园网出口的策略路由，并且也使学生宿舍子网、与学院其他子网的网络带宽有了充分的保障。 其中Ethernet0/0 为联通出口，Ethernet0/2 为电信出口，Ethernet0/4 为教育网出口。

7 结语

论文中给出了天音校园网总体设计方案，采用三层架构的原则重新规划校园网网络拓扑结构。结合天音校园网的实际情况， 提出了VLAN在天音校园网中具体应用方案。解决了校园网所存在的问题，实现了校园网出口的路由选择，及对出口带宽的监控。目前天音校园网“十二五”改造项目已经完成，校园网运行情况良好，网络整体性能有了质的飞跃。

参考文献：

[1] 张青，刘忠耿.VLAN 技术应用于校园网的优势及其配置[J].中国远程教育，2004，14（15）：62-66.

[2] 马涛.集美大学全面部署锐捷 GSN 全局安全网络解决方案[J].中国教育网络，2007（6）：54-55.

[3] 钱伟中，王蔚然，袁宏春.分布式防火墙环境的边界防御系统[J].电子科技大学学报，2005，34（4）：513-516.

[4] 郝玉洁，刘贵松.信息安全概论[M].成都：电子科技大学出版社，2007.