校园网设计方案，校园网

校园网设计方案篇1

　　关键词：校园网IP；虚拟化技术；IRF技术

　　随着“数字化校园”网络的建立和应用，计算机、移动接入端的不断增加，涉及教学、科研、服务各个方面，校园网规模的不断扩大对信息化的依赖也逐步增加，网络结构依附校园信息化的快速发展也逐渐复杂化。学校数据中心的规模也随着数据大集中持续发展而逐步扩大，对二层网络的区域范围要求逐步扩大。校园网IP随着信息化数字化的迅速发展逐步暴露出流量倍增、IPv4地址枯竭及缺乏安全等问题，另外还拥有系统性能差及缺乏足够端口等缺点[1-2]，因此亟待运用新方法处理其各种难题。虚拟交换机技术拥有相当可观的转发能力及端口容量，同时还拥有相对较高的可靠性，将其运用到IP校园网，能够在很大程度上处理其面临的各种难题[3-4]。因此本文研究了IP城域网虚拟化设计方案及其系统性能。

　　1理论依据

　　智能弹性架构（IntelligentResilientFramework，IRF）是H3C公司融合高端交换机的技术，在中低端交换机上推出的创新性建设网络核心的新技术。IRF是一种网络架构虚拟化技术，可以将多台物理设备（一般指交换机）互连形成一个联合矩阵。无论在管理还是在应用层面上，将被视为一个整体。它不但可以解决两台或多台设备上端口管理、编号的问题，简化业务和管理工作，还可以解决物理设备上的文件同步、传统二层冗余技术与路由技术协同的问题。其具备高可靠性、高扩展性、易用性、可管理性，实用性等特点。

　　2虚拟化设计方案

　　在数据量的持续升高的状况下，引入功能强大的IRF虚拟技术[5]，能够直接应用在某特定场景，其拓扑架构如图1所示。IRF堆叠把若干盒式设备经过堆叠口完成连接构成一台虚拟设备，这在很大程度上缩小了管理工作量及维护成本，同时还拥有相对很好的扩展及安全性，其线缆连接顺序如图2所示。IRF的连接形式如表1所示。通常情况下系统中拥有很多设备，致使IRF会出现系统分裂而导致多台配置一致的设备持续运转，若不解决将导致网络冲突现象出现。虚拟交换机对外运用桥MAC，以至于如果出现分裂将致使其他非Master仪器维持原始桥MAC从新择取举Master以完成MAC学习。IRF运用桥MAC处理形式致使其组网更加简便，其形式包含：（1）MAC依Master去掉后立即改变；（2）保留6min后改变；（3）始终不变。IRF堆叠分裂后为防止配置一致的仪器出现网络冲突，其完成多活性检测（Multi-ActiveDectection，MAD）、链路汇聚控制协议（LinkAggregationControlProrocol，LACP）及双向转发检测（BidirectionalForwardingDectection，BFD）[6]等协议以完成监测及冲突处理，其配置如表3所示。在LACP协议中，IRF经过添加MasterD完成扩展，IRF分裂后，LACP及BFD都能够经过MasterD完成对仪器的处理。如果检测到若干具有配置一致的仪器时，相对小的MasterD将持续运转，而大的MasterD其状态会由Active改变至Recovery即关掉全部非保留物理端口。运用日志完成提示修复发生故障的链路，恢复IRF以确保每个端口重新正常运转。

　　3性能测试分析

　　3.1基本性能测试

　　测试MAC地址表最大容量及GE端口突发缓存容量，其单端口MAC地址要不能低于64K及各端口缓存能力大于100ms，其测试结果如图3—4所示。端口转发能力测试完成PairtoPair吞吐量、时延及其抖动，报文长度覆盖及时长分别是64/128/256/512/1024/1518字节及120s，其测试结果如图5所示。根据图3能够获知，源MAC及目的MAC地址计数均是128000，表明IRF单端口MAC地址容量是128K。根据图4能够获知，IRF对相异大小的流量缓存容量分别是：64字节：T64=1765549/1488095=1.186s；256字节：T256=1763607/452899=3.894s。根据图5能够获知，IRF各种包长度的报文都可完成线速转发，且其时延结果正常。

　　3.2虚拟化性能测试

　　测试N∶1虚拟化技术，其拓扑结构如图6所示。DUT-1及DUT-2经过两条链路构建堆叠，将其虚拟为一台仪器，完成两台DUT的端口配置，于测试仪接口及B之间组建100000条流量，同时进行双向线速流量完成其接口接收报文统计。通过插拔虚拟化设备主控板以完成丢包统计及其流量丢包数运算，其测试结果如图7所示。根据图7能够获知，其能够确保流量无丢失，同时很好地完成流量负载分担。

　　4结语

　　本文设计了IRF技术实现校园网IP虚拟交换机系统方案，对其包含MAC地址容量、端口突发缓存容量及转发能力、N∶1虚拟化等系统性能进行了测试分析，其结果表明IRF能够满足各项要求，同时保持较好的系统性能，能够很好地实现P虚拟化。通过智能弹性框架IRF技术，是对传统校园网络架构的一场变革，它比原有堆叠技术能更好地兼容已经非常成熟的网络特性，能够更稳定、快速、高效地解决现今校园网出现的问题。

　　[参考文献]

　　1]杨宇。网络虚拟化资源管理及虚拟网络应用研究[D]。北京：北京邮电大学，2013.

　　[2]陈明安。宽带IP城域网网管系统的研究与设计[D]。长沙：中南大学，2002.

　　[3]谢高岗。IP网络性能测量技术研究[D]。长沙：湖南大学，2002.

　　[4]孙江明。宽带IP城域网测试与网络混合流的特性分析[D]。北京：中国科学院研究生院（计算技术研究所），2002.

　　[5]黄石平，谢健，阚宏宇。IRF虚拟化技术在网络中的应用研究[J]。实验技术与管理，2014（11）：124-126.

校园网设计方案篇2

　　熊曾刚

　　（孝感学院计算机科学系）

　　摘 要：校园网建设已逐渐成为信息化时代高校及中小学优先考虑的课题，这与我国倡导的

　　素质教育息息相关。本文从孝感学院建设校园网的过程中，着重论述了校园网设计

　　方案的研究与实施过程。

　　关键词：校园网 设计方案 实施

　　The Study and Implementation of the Design Plan For the Construction

　　Of Campus Network in Xiaogan Institute

　　Xiong ZengGang

　　（The Computer and Science Department of Xiaogan Institute）

　　Abstract： The construction of CN (Campus Network) In all levels of schools has become the Priority in the information age。 It is closely related to the education for All-round development in China。 In this paper， taking the construction of CN in Xiaogan Institute as an example， the author lays special emphasis on The study and implementation of the design plan for CN。

校园网设计方案篇3

　　关键词： 校园网网络规划设计网络安全管理需求设计特点

　　一、 校园地理环境

　　我校分为南北两个校区，南区为教学区，包括：三栋教学楼、一栋图书馆、一栋教师办公楼、一栋教工宿舍、两栋学生宿舍；北区为实训中心，与南区相隔一条街道，包括：南北两栋实训楼。

　　二、校园网功能需求

　　学校是以现代化手段培养人才的地方。为了更好地使计算机及其网络在辅助教学、教学管理等方面发挥作用，我校计划在校内建立校园网，并与国际互联网相连。

　　校园网的信息点应该普及两个校园区所有教学楼的教室，实训中心的电脑室、实训室，教师办公楼，图书馆，宿舍楼等，同时教室办公楼应该提供无线网络接入。校园内每个信息点的电脑都可以相互访问，实现广泛的软件、硬件资源共享；同时每个信息点的电脑都能接入互联网，提供基本的Internet网络服务功能，如电子邮件、对外个人主页服务、ftp服务、域名服务等。

　　三、校园网网络规划设计

　　1.综合布线结构

　　根据学校的地理位置，各栋建筑物到网络中心的距离，以及数据的流量，采取光纤+超五类综合布线系统。

　　(1)主干网。网络中心在图书馆四楼，对于南区教学区，因为每栋楼到网络中心都在400米左右，所以每栋楼的交换机都用12芯的室外多模光缆与网络中心的核心交换机连接；而北区实训中心因为离网络中心太远，南北楼的交换机用12芯的室外单模光缆与网络中心的核心交换机连接。主干网是由光纤构成的1000M网。

　　(2)楼内网。每栋楼的交换机都放在四楼中间的一间房间里，各个信息点到交换机的距离都在100米内，楼内的布线用超五类线，为每间教室、实训室、办公室等提供两个信息点。楼里面则构成10―100M的网络。

　　2.设备选型

　　网络设备必须在技术上具有先进性、通用性，必须便于管理、维护。网络设备应该满足学校现有计算机设备的高速接入，应该具备未来良好的可扩展性、可升级性，保护学校的投资。网络设备必须在满足功能与性能的基础上价格最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须有良好的市场形象与售后技术支持。

　　根据多方面的考虑，我们确定选用华为三康的设备，路由器用MSR30-40，防火墙用F-1000A，核心交换机用S-7506，各栋楼的接入交换机用E-126A。这些设备完全满足校园各种功能需要，同时也满足未来扩展的需要。

　　3.Internet接入

　　根据对全校总出口流量的估算，为确保内部网站和外部网站的连接畅通，我们用电信20M带宽的光纤专线接入，有一个Internet固定的IP地址，所有计算机都通过NAT(网络地址转换)进入Internet。

　　4.VLAN规划

　　VLAN为虚拟局域网，它有如下优势：抑制网络上的广播风暴；增加网络的安全性；集中化的管理控制。基于这些优点，我们按照各栋楼的不同情况对交换机进行VLAN划分，具体是：VLAN1―设备管理、VLAN10―图书馆、VLAN11―教师办公楼、VLAN12―实训中心南、VLAN13―实训中心北、VLAN14―4号教学楼、VLAN15―5号教学楼、VLAN16―1号教学楼、VLAN17―教工宿舍。

　　5.路由规划

　　核心三层交换机S-7506实现VLAN之间的相互访问。对于三层交换机来讲，所有VLAN(网段)都是直连的，因此只需要启动路由，而不需要设置额外的静态或动态路由条目。我们在S-7506中创建VLAN 10至VLAN 17，并把与接入层交换机光纤连接的光纤端口添加到对应的VLAN中，同时给VLAN端口添加对应的网关IP作为虚拟端口的IP地址，实现整个校园网不同网段之间的相互访问。

　　6.无线接入

　　充分利用计算机辅助教学及利用网络软硬件的资源共享，是校园网为教学服务的一大特点，我校教师每人配备了一台手提电脑，手提电脑接入校园网，采取无线接入的方式。

　　构建“无线漫游”接入区，在办公楼放置三个TP-LINK841无线路由器，SSID都是BanGong，频道则分别为1、6、11三个互不干预的频道，不加密码是开放式，开启DHCP，地址池IP为192.168.1.50/24―192.168.1.200/24，这样教师可以很方便地接入到校园网。

　　7.开放计算机机房

　　学校内有大量的各种各样的开放式机房，是学生学习计算机的场所，通常这些计算机连成一个局域网，除具备一般的互访外，通常还要求这些计算机能够访问到Internet。为满足教学要求，我们作了如下规划：(1)IP地址用私有C类192.168.0.0/24.(2)实现Internet访问，实际上是一个局域网PC如何共享上网的问题。在每一个机房部署一个信息点，相当于Internet出口，用服务器的方式通过信息点接入校园网，从而实现访问Internet。

　　8.对外站点

　　对于一些外部站点的问题，通常放置在DMZ区内，DMZ区的安全等级高于外网，低于内网，防火墙的默认规则是允许安全等级高的访问安全等级低的，禁止安全等级低的访问安全等级高的。因此，防火墙不需要设置规则就可以实现内网访问到DMZ区，但外网不能访问到DMZ区。对于学校来讲，WWW站点的主要目的就是对外信息，必须让外网能够访问到，为了到达这个目的，可以在防火墙上添加一些规则，开放DMZ区所在服务器的IP，以及相应的端口。在DMZ区放置学校的服务器：邮件服务器、WWW服务器、数据服务器、文件服务器。

　　四、网络安全及管理需求

　　校园网是巨大的资源中心，存放着各方面的信息资源，涉及学校的方方面面，同时，校园网又是一个开放的系统，有不同的人员在校内或校外访问它，因此，校园网的建立不仅是网络硬件和应用的建立，还应该特别重视校园网的安全问题。网络安全是一个体系结构，涉及整个办公环境的各个方面，包括人员和设备，信息的驻留点，以及沿途经过的各个中间环节，从物理层到应用层都要小心对待。

　　1.设备级安全

　　包括网络中所有可管理的网络设备、服务器和网管工作站的安全。设备级安全是网络的第一道屏障，严格限制能够远程管理(包括Telnet方式和Web方式)网络设备的IP地址列表，必要时关闭部分或全部远程管理功能；对于核心网络设备，如骨干交换机和路由器，建议不设远程管理IP地址。

　　2.传输级安全

　　指敏感数据在传输线路中防止中途窃取或修改的安全性。解决办法包括室外线路尽可能采用无辐射抗干扰的光纤作为传输介质，室内明线使用屏蔽双绞线，中心机房加装屏蔽网，对远程传输的信息进行加密等。

　　3.网络层安全

　　是网络安全设计中的重要一环。网络层攻击是黑客最常用的攻击方式，如外部入侵。对付这种攻击方式最典型的解决方案是使用软件或硬件防火墙进行内外隔离，同时内网采用保留IP地址，访问外网时进行NAT转换(网络地址转换)。除了防止外部入侵外，也要注意防止内部的越权访问和故意破坏，一般在VLAN之间进行访问控制。

　　4.应用级安全

　　包括防病毒和认证体系。近年来病毒多如牛毛，如：熊猫烧香、ARP地址欺骗等。对于病毒问题，有效的解决方法是安装网络防病毒软件，修补系统漏洞。同时也要防范因内部人员不经意或故意“环路”，形成的“网络震荡”，解决办法是设置交换机STP协议(生成树协议)。

　　校园网是一个比较大型的网络，为了保证校园网更加有效、可靠地运行，我们配置了一台网络管理工作站，以便更有效地对校园网进行管理。根据网络设备选型，我们选择华为三康管理软件，同时用第三方管理软件一起管理网络，主要是solarwinds-toolset工具箱V9.2、超级PING、Sniffer Portable 4.8这三个软件。

　　五、方案规划设计特点

　　该校园网方案采用成熟的先进的技术，采用国际统一标准有广泛的支持厂商；所有设备都用华为三康一线产品。Internet带宽合理，确保网络不出现“塞车”现象；设置三层核心交换机，将整个网络划分为多个VLAN，从而使网络更加安全；同时本方案充分考虑了网络未来的升级与发展，把网络主干网构成了信息高速网，对未来的发展非常有利。

校园网设计方案篇4

　　中图分类号：D412.3 文献标识码：A 文章编号：1009-914X（2014）15-0127-02

　　前言

　　本人曾参与一个校园局域网网络合并改造项目，在此项目中，把三个学校（合并后称为二级学院）较小型的校园局域网合并到另一个学校（合并后称为校本部）的较大型的校园局域网中。合并后，二级学院可以共享校本部信息资源，如正方教务系统、图书馆中的CNKI系列数据库、维普、超星等电子图书、期刊论文、报纸，以及学位论文、会议论文、标准、专利等中外文文献的数字信息化资源，大大方便了二级学院师生的教学工作的开展。同时，二级学院的原有校园局域网还有很大的独立性，二级学院的原有的网站、校园网络除作简单设置外，其余的网络拓扑结构等不用改变，保持了二级学院的独立性且使网络改造简单易行。本文以此网络合并改造项目为基础，谈谈在网络合并改造规划过程中的方法和体会。

　　在此项目中，需要通信运营商、校本部、二级学院多方通力合作，其中，通信运营商内部改造为重点，校本部、二级学院网络部门提供配合，本方案中只需增加一台汇聚交换机（亦可增加一台汇聚交换机作主备用），投资不大，而效果较好。电信对三个二级学院的网络的可控程度大大提高，同时，只是将访问校本部校园网资源的流量引入校本部校园网，对校本部至电信城域网的原1G链路冲击不大。

　　一、 合并改造前网络现状及分析

　　网络合并改造前，校本部和三个二级学院的网络拓扑结构图1所示：

　　1、校本部网络现状及分析

　　校本部已经组建校园网，内部使用学校自己规划的私网IP地址。校园网用户访问教育网流量通过教育网出口链路承载，访问internet流量接入电信城域网，已开通1G中继链路。现有正方教务系统、图书馆中的CNKI、维普、超星等系列数据库数字信息化资源。因此，在此合并改造校园局域网项目中，校本部网络作为校园网主网，只需把二级学院网络链路与其核心路由器相连接，就能提供数字信息化资源给三个二级学院共享。

　　2、二级学院网络现状及分析

　　（1）在三个二级学院中，教师上网的方式和学生上网的方式有所不同。其中二级学院1、二级学院2上网通过100M的LAN专线接入电信城域网。电信的城域网专线接入到学校的路由器（各分配一个公网IP），教师上网使用学校自己规划的固定IP地址（网关指向出公网的路由器）。二级学院3的教师上网是通过一条到校本部的100M链路承载的。

　　（2）二级学院1、二级学院2的学生用户均为普通宽带用户，上因特网通过PPPOE拨号方式实现。二级学院3的学生目前没有上网。

　　（3）三个二级学院到校本部的直线距离均超过10千米，其中还夹杂有公路、桥梁、楼房等公共设施和其他私人建筑物。因此，通过校本部直拉光纤至二级学院的办法不仅价格昂贵，而且审批协调手续烦琐，操作起来费时费力。考虑到无论是校本部网络还是二级学院网络均与电信网络相连接的现状，借助已有的电信网络进行互连，是最经济、便捷的方法。

　　二、业务需求分析

　　1、对于二级学院3的学生宿舍没有有线上网的现状，实现方式可以有两种：一种是把二级学院本身校园局域网延伸到学生宿舍，学生和老师共享校本部到二级学院的100M链路，另一种方法是对学生宿舍采用有线宽带覆盖的方法（类似二级学院1的方式），学生上因特网通过PPPOE拨号方式实现。前一种方法相对于后一种方法，缺点主要有是前期经济投入较大，需要构置三层交换机、可网管交换机等网络设备和进行网络布线安装；学生又经常使用P2P等软件下载大容量视频文件等，会占用大量通信流量带宽，影响教职员工访问INTERNET网速，且存在部分学生比较喜欢攻击网络等行为，提高了网管人员维护难度。且学生用户人数较少（不足千人），收取的少量费用不足于维持新增网络的运营开销等。因此，二级学院3学生宿舍采用采用有线宽带覆盖的方法是一种不错的选择，在此项目中也是作这一选择。

　　2、对三个二级学院教职工的接入网络进行改造，要求将二级学院教职工的网络改造成校本部校园网的远程子网，所有访问流量均有校本部校园网出口；由于二级学院3教职工的接入网络在之前已经作为校本部的远程子网，因此这一块不用改造，二级学院1和二级学院2参照二级学院3的办法，也即是借助已有的电信网络进行互连。

　　3、对三个二级学院的学生接入网络进行改造，网络要既可以上互联网，又可以访问校本部校园网的相关资源；对于二级学院3先采用有线宽带覆盖先连接到电信网络，再把二级学院1、2、3的学生宿舍用户流量导入到一台新汇聚交换机，然后再连接到校本部的核心路由器，实现访问校本部信息数字信息资源。

　　三、实施方案分析

　　教职工网络方面，开通二级学院教职工网络至校本部校园网的物理链路（100M带宽），取消学校原有至电信城域网的100M LAN专线链路，教职工网络的所有出口流量均由校本部校园网疏通，IP地址也由校本部重新分配。学生网络方面，仍使用PPPOE拨号上网的方式，申请一个新域名，为三个二级学院的用户分配使用单独的IP POOL，将学生用户的所有出口流量（包括访问公网和访问校本部校园网）在电信侧做一个汇聚，新增一台汇聚的三层交换机（如华为s9306），在新增交换机上做路由细分。

　　1、开通二级学院教职工网络至校本部校园网的物理链路（100M带宽），取消学校原有至电信城域网的100M LAN专线链路，教职工网络的所有出口流量均由校本部校园网疏通，IP地址也由校本部重新分配。

　　2、开通电信城域网至校本部校园网的专用中继电路，将三个二级学院学生用户访问校本部校园网的流量引入该新增中继。

　　3、三个二级学院学生用户访问公网的流量直接由电信城域网疏通，不通过校本部校园网。

　　4、普通的宽带用户（如学校老师家里的宽带）可以通过申请新域名的账号，实现在家里可以访问校本部校园网。

　　5、二级学院原学生宽带用户需要更改拨号账号，需重新分配新域名下的账号。

　　6、访问市教育城域网网相关资源还通过接入市教育城域网网专线实现。

　　7、需要校本部校园网放开学生网络IP POOL地址和教师网络LAN专线地址对其校园网资源的访问路由。

　　8、需新增的链路：（新增汇聚交换机放江南机房（二级学院3所在电信机房））

　　1）二级学院1、2所在的电信交换机至市电信多业务控制网关1000M链路各一条，共二条。

　　2）市电信多业务控制网关、二级学院3至新增汇聚交换机1000M链路一条共2条。

　　3）新增汇聚交换机至校本部校园网一条100M链路。

　　4）二级学院1、2教职工网络至校本部校园网的专线链路 100M各一条，共两条。

　　新增资源列表：新增汇聚交换机一台（如华为s9306）；申请新域名（需由电信公司完成申请）；申请开通一条电信城域网至校本部校园网专线；新增电信城域网内部链路。

　　网络设置：对于二级学院1、2而言，由于网络流量出口由电信部门转移到校本部，因此，原来由电信部门提供的访问外网IP地址作废，校本部应重新分配最少两个公网IP地址给这两个二级学院使用，一个用于访问互联网、一个用于二级学院网站使用，在此项目，校本部提供给二级4个公网IP地址，其中两个留作备用。由于校本部还连接教育网，二级学院网络作为远程子网，备用DNS服务器可设置为教育网的，在首选DNS服务器出现问题时，还能通过教育网进行上网。

　　结语

　　当前，很多高校和中职学校由于做强做大、整合优质教育资源等原因，进行学校合并。通过校园网络合并改造来达到共享信息化资源和提升学校的整体融合程度，是学校合并后要解决的重要问题。本文通过把三个二级学院校园网络合并到校本部校园网络的案例分析，对校园局域网络合并改造设计方案进行探究。此方案思路同样适用于多个行政事业单位、企业、公司等在局域网合并中使用，具有一定的社会效益和较强的实用性。