中职学校校园网络的升级与改造

◆潘 柳



中职学校校园网络的升级与改造

◆潘 柳

（柳州市第一职业技术学校 广西 545616）

本文结合本校校园网络的情况对网络运行的现状和存在的主要问题进行了分析、总结，综合学校的应用，从加强网络的可靠性、安全性和易于管理等方面出发，完成了网络升级改造方案的设计并提出了具体实施步骤，从而加快学校数字化校园建设的步伐。

校园网络；数字校园；升级改造；网络安全

1 学校概况

柳州市第一职业技术学校是一所国家级重点职业中专学校。2002年被认定为“国家重点建设示范性职业学校”，2014年被认定为首批“国家中等职业教育改革发展示范学校”，2017年12月，获批全国第三批“职业院校数字校园建设实验校”。现有校园面积近400亩，学生1万余人，教职员工近500人，是一所涵盖有一、二、三产专业的综合性中等职业学校。

近年来，学校信息化建设快速发展，课堂中运用信息化设备和手段进行教学日益激增，校园网络的带宽和网络的稳定性、安全性等问题也日渐突出。随着我校“数字校园建设实验校”建设的深入，“以人为本”推进信息化服务，促进教育教学方面的改革，实现校园的智能化管理及服务，这对我校的信息化、数字化水平和校园网络升级、改造提出了迫切要求。

2 校园网络现状和问题分析

随着学校的建设和发展，先后对部分网络和设备进行过改造，不断完善校园基础网络，数字化校园建设也取得了阶段性成果。经过近十年的发展，学校已建成一个以光纤为主干，覆盖学校办公区、教学区、宿舍区等所有建筑的园区网络。共有交换机100多台，实现教学区域楼栋主干网络达万兆，其他区域楼栋主干网络达千兆；网络接入信息点3800多个，接入计算机近3000台，校园网络出口接入电信专线光纤，带宽450M；采用锐捷RG-EG1000M网关为网络提供安全控制和接入管理；建设有课程资源库、教学资源库等共享资源；部署了教务管理、资产管理、财务管理、办公OA等管理信息系统软件；还建有校园数字安防监控、校园一卡通、校园广播等应用系统，升级改造前的校园网络拓扑结构如图1所示。

图1 升级改造前的网络拓扑

对照《教育部教育信息化十年发展规划（2011-2020）》、《职业院校数字校园建设规范》（教职成函[2015]1号）；结合我校“十三五”发展规划，将信息化渗入教育、教学、管理、服务等各方面，建成适应社会发展需求、产教深度融合、具有我校特色、国家水平的现代职业学校的要求，目前学校数字化校园建设还存在较大的差距，综合分析主要存在以下问题。

（1）校园网络出口安全设备型号老旧，随着学校信息化应用的增加，处理能力明显不足，安全性差，受到外部网络的攻击渗透和入侵的风险增大。

（2）校园骨干网络设备和主干链路为单点设计，无冗余，校园网络的稳定性和可靠性无法保障。

（3）网络设备数量多、应用故障隐患难以发现，缺少专业运维手段对整网进行实时监控、故障定位。随着学校应用服务的增加，设备在使用过程中出现问题后，技术人员采用原始的方法对设备逐一进行排查，难度大、效率低。

（4）管理手段欠缺，网络应用高峰时，校园网络访问互联网速度慢，缺乏快速、可靠的流量管理解决方案，影响办公应用和教学的正常开展。

（5）网络层次结构不清晰，管理不到位，出现私自接入无线路由器造成网络环路等问题。

3 校园网络升级改造方案设计

3.1 网络架构设计

根据我校《职业院校数字校园建设实验校实施方案》为指导思想，基于校园信息化建设的网络安全、网络应用及管理等需求，对原有校园网络的出口设备、核心和汇聚相关设备进行替换、迁移，做到设计合理、层次分明，采用VLAN划分多个相互独立的子网，通过汇聚层接入核心层实现校园网络的互访互通。升级改造后的网络拓扑如图2所示。

图2 升级改造后的网络拓扑

校园网采用三层网络架构方式，从逻辑上可以分为三个层次：核心层、汇聚层、接入层。

3.1.1网络核心层设计

升级校园核心层网络设备为双核心网络，新增两台高端多业务核心三层交换机，将原核心设备H3C S7506ES下移作为教学楼等区域汇聚。核心层的功能主要是实现骨干网络之间的优化传输，具有良好的冗余能力、可靠性和高速的传输能力。为满足其要求，核心层设计主要采取以下措施。

（1）采用交换机虚拟化技术。将两台核心交换机虚拟化成一台设备，两台核心设备之间通过两条万兆光纤线路捆绑做链路聚合。

（2）主干链路冗余，确保网络可靠性。各区域汇聚层设备根据实际应用需求分别与两台核心设备通过双万兆或千兆链路互联，保证主干网络数据传输的可靠性。

（3）各类策略配置尽量简化。核心设备尽量不要使用策略路由、ACL等配置，从而保证核心层实现数据的高速转发及可靠性。

3.1.2汇聚层设计

汇聚层介于网络核心层和接入层之间，汇聚层具有实施策略、安全、VLAN之间的路由、源地址或目的地址过滤等多种功能，在本层采用三层交换机，可以很好区分网络和划分子部门。本次网络改造，将原网络以单一建筑为单位形成汇聚区的模式，根据学校信息化应用需求和建筑布局，对物理环境有效区域进行了汇聚层划分，具体实现方法如图2所示，将所有教学楼和食堂、活动中心、学生宿舍等楼宇形成一个汇聚区；汽车、机电、旅烹实训楼形成一个汇聚区；数控、图书楼形成一个汇聚区；商贸、经管实楼形成一个汇聚区；行政办公楼和计算机实训楼应用信息点较多，各自单独形成一个汇聚区。各楼汇聚设备分别以双路由模式与骨干区域核心设备连接，确保汇聚区与核心区的连接可靠性。

3.1.3接入层设计

用户工作站通过接入层交换机连接网络。将接入层存在的二级或二级以上级联组网方式改造成一级级联方式，即接入交换机直接上联到汇聚交换机，保证各层楼交换机的上联带宽。

3.1.4互联网出口

新增联通100M光纤专线，使网络出口具备冗余功能，当某条营运商光纤故障时，不影响访问外网；通过出口设备的应用分流来进行均衡，让联通和电信相关业务走各自的专线，提高上网的速度。

3.2 路由设计

通过改造，校园网由单核心变成了一个由两个核心、各区域汇聚和各层接入交换机构成的三层网络结构。网络核心节点和各汇聚节点间采用OSPF路由协议进行连接，组成主干区（area0）,在核心设备中实现路由汇总，并为其他各应用区域提供路由信息交换的高速度通道。

3.3 流量管理设计

针对学校网络现状和实际需求，本次升级改造方案采用H3C的智能应用网关ACG1000-E作为流量管理设备，以透明模式串联部署在出口防火墙和内网核心交换机之间，实现面向用户和应用的流量管理，通过带宽限速、用户应用策略进行管控，特别是在上网高峰时段为重要的网络应用提供资源保障。

3.4 链路负载均衡设计

校园网络出口采用一台H3C高性能的下一代防火墙F1080，集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，在多运营商接入情况下，有效实现学校互联网出口的多链路自动均衡和自动切换。

3.5 网络安全防范

网络出口部署防火墙有效地将内网与外网进行隔离，保护校园网络内的服务器和用户不受未经授权的第三方侵入；采用IPSEC VPN或SSL VPN方式来满足校外用户的远程访问安装。防火墙具有高精度、高效率的入侵检测引擎，实现了基于精确状态的全面检测，具有极高的入侵检测精度；实时的病毒防护，从而迅速、准确查杀网络流量中的病毒等恶意代码。在Web服务器和核心交换机之间新增一台H3C W2010-G Web防火墙，主要是对Web特有入侵方式的加强防护，如DDoS防护、SQL注入、XML注入、XSS等，防范数据信息泄露风险，抵御来自网络的Web恶意攻击。

3.6 网络设备和业务系统管理

部署H3C的IMC智能管理平台，该平台具有良好扩展性，具备多厂商设备的集成管理功能，实现对整个网络中的设备及链路等进行实时监控和管理，能够实现全面的故障告警、日志分析、配置管理等功能；对校园网及信息中心的所有设备与业务应用系统进行全天候实时监控，对不同数据来源统一处理、统一展现、统一权限控制，大大提高网络和应用系统管理效率，为学校信息化教学的开展和应用提供有力保障。

4 校园网络升级改造方案实现

4.1 网络设备的选型

为确保校园网具备良好性能、高安全性、高可靠性和扩展性，新增2台三层核心交换机H3C S7510E ，满足数据中心高性能等网络突发流量的要求，实现数据的高速转发。为提高数据处理能力，新增5台H3C S5560X-30C-EI三层交换机作为教学楼、实训楼等楼宇的汇聚设备；本着“少花钱，多办事”的原则，节约改造资金，根据学校实际使用情况，换下的交换机可以利旧，给汽车、机电、旅烹实训楼使用，提升数据处理能力；对于食堂、学生宿舍等网络应用较少的楼宇可使用原有设备。

采用H3C高性能的下一代防火墙F1080和智能应用网关ACG1000-E替换原有网络出口设备，新设备具有出色的安全性、可靠性和强大的吞吐量，以满足学校快速访问互联网的需求。

4.2 VLAN网段与IP地址的规划

原校园网采用172.16.X.0/24地址，VLAN和IP地址没有统一规划，新增区域就任意划个VLAN，分配一个IP地址段来使用，随着学校的信息化设备的不断增加，造成IP地址分配的连续性、可扩充性差，不便于管理。根据学校实际应用，按部门、系部和楼宇来划分VLAN，对IP地址重新进行调整分配，部分VLAN划分与IP分配如表1所示。升级改造后的校园网络IP主要分为以下几种类型。

（1）设备间互联地址。规划时一般将某个网段IP地址使用30位掩码进行划分，确保设备间互联IP地址的唯一性和连续性，便于今后的管理。

（2）设备管理地址。采用10.10.X.0/24地址。按行政办公区、教学区、实训区、服务器区、宿舍区等进行分区划分。

（3）终端用户接入地址。根据部门和楼宇区域不同，采用172.16.X.0/24、172.17.X.0/24依次顺序划分，如行政办公IP地址段172.16.X.0/24；信息系IP地址段172.17.X.0/24；商贸系IP地址段172.18.X.0/24等，各系部办公室、实训楼的信息化设备如计算机、交互一体机设备等均使用本系部IP段，便于今后维护网络时，可通过IP地址快速定位设备的位置，及时进行处理。所有的内网用户通过出口设备统一进行NAT转换成公网地址访问外网。

表1 部分VLAN划分与IP分配

4.3 设备配置的相关策略

（1）核心交换机虚拟化配置

两台核心交换机通过IRF物理端口连接起来形成一台虚拟的逻辑设备，用户对这台虚拟设备进行管理，来实现对虚拟设备中所有物理设备的管理。

system-view

[SW-1]irf member 1 #设置SW-1的成员编号为1

[SW-1]irf member 1 priority 2 #设置优先级为2，默认优先级为1；

Priority 值大的则为MASTER，值小的为SLAVE。

[SW-1]irf-port 1 #创建IRF端口为1

[SW-1-irf-port1]portgroupinterfaceten-gigabiteth- enet3/0/1

# 将IRF端口1与物理端口Ten-GigabitEthernet3/0/1绑定

[SW-1-irf-port1]portgroupinterfaceten-gigabit-eth- ernet3/0/2

# 将IRF端口1与物理端口Ten-GigabitEthernet 3/0/2绑定

[SW-1]chassis convert mode irf #将设备运行模式切换到IRF模式

（2）端口隔离配置

学校有一些部门，各个员工负责不同的业务，各员工之间需要信息安全隔离，彼此之间不能互访，避免不必要的信息泄露。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离，用户只需要将端口加入隔离组中，就可以实现隔离组内端口之间二层数据的隔离，为用户提供了更安全、更灵活的组网方案。

system-view

[Device] interface GigabitEthernet1/0/1

[Device-GigabitEthernet1/0/1] port-isolate enable

# 将端口GigabitEthernet1/0/1加入隔离组

[Device-GigabitEthernet1/0/1] quit

[Device] interface GigabitEthernet1/0/2

[Device-GigabitEthernet1/0/2] port-isolate enable

# 将端口GigabitEthernet1/0/2加入隔离组

（3）MSTP配置

学校早期购买的部分交换机STP默认是关闭的，在实际使用中由于设备的接入或人为的原因，可能会造成环路，形成广播风暴，导致网络瘫痪，因此在交换机上都开启MSTP，防止环路。

system-view

[Device]stp enable #全局模式下开启MSTP

（4）ARP入侵检测

当ARP报文中源IP地址及源MAC地址的绑定关系和ARP报文的入端口及其所属VLAN均与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，为合法ARP报文，实行报文转发处理。

system-view

[Device]vlan 20

[Device-vlan20]arp detection enable

#开启VLAN20内所有端口的ARP入侵检测功能。

5 结束语

在数字化校园信息化发展战略中，信息技术将成为校园的一项核心生产力，成为校园教学科研各项核心业务的最有力的支撑点。通过对校园网络的升级改造，网络的安全性和可靠性得到了大幅度的提升，对所有网络设备和用户可以进行实时监测、统一管理，预警功能可及时快速地通知管理员网络中发生的各类事件，大大提升维护和管理的效率。校园网的建设是一个庞大的系统工程，包含网络基础建设、网络安全和信息资源建设等各个方面，作为网络管理人员只有不断学习，在实践中更新自己的知识，提升技能水平，才能适应当今信息化的发展。

[1]何建新，张松明，王思琪，周文芳.校园网络升级方案设计与实现[J].计算机时代，2016.

[2]段小刚，王坤.中职校园网络的升级与改造[J].信息与电脑（理论版），2016.

[3]孙光懿.关于校园网建设的思考[J].科学技术创新， 2017.