簡(jiǎn)單的校園網(wǎng)設(shè)計(jì)方案

1、引言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)產(chǎn)品價(jià)格不斷的下調(diào)， 眾多高校都開(kāi)始搭建網(wǎng)絡(luò)平臺(tái)， 組建 自己的校園網(wǎng)絡(luò)。 一個(gè)校園網(wǎng)絡(luò)的組建并不是我們想象中用幾個(gè)交換機(jī)就能實(shí)現(xiàn)， 它是一項(xiàng) 龐大而又復(fù)雜的工程， 它需要覆蓋整個(gè)校園， 要將校園內(nèi)的計(jì)算機(jī)、 服務(wù)器和其他終端設(shè)備 連接起來(lái)， 實(shí)現(xiàn)校園內(nèi)部數(shù)據(jù)的流通， 實(shí)現(xiàn)校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)的信息交流， 并且它還要涉 及到網(wǎng)絡(luò)的安全， 涉及到網(wǎng)絡(luò)的管理。 因此， 一個(gè)校園網(wǎng)絡(luò)系統(tǒng)的組建需要從多方面進(jìn)行考 慮。校園網(wǎng)組建分析校園在經(jīng)歷一系列改革后，為了進(jìn)一步提升自身實(shí)力，很多高校都開(kāi)始改建自己的校園， 大量新教學(xué)樓拔地而其， 在新建設(shè)的建筑大樓中一般都布有網(wǎng)絡(luò)線， 這

2、給校園組網(wǎng)帶來(lái)了一 定的方便。 不過(guò)還有一部分老式的建筑大樓并沒(méi)有布網(wǎng)絡(luò)線， 如果我們?cè)谶@里也使用有線網(wǎng) 絡(luò)，不但會(huì)帶來(lái)布線的麻煩，還會(huì)影響建筑大樓的美觀。 在一所校園內(nèi)，總有一部分區(qū)域是 有線網(wǎng)絡(luò)不能涉及的范圍，如果強(qiáng)行布置有線網(wǎng)， 后果非常嚴(yán)重。 所以，在上面提到的這些 地方需要布置無(wú)線局域網(wǎng)， 才能讓整個(gè)校園都被網(wǎng)絡(luò)覆蓋。 當(dāng)然我們也不能在一所高校內(nèi)全 部布置無(wú)線局域網(wǎng)， 畢竟無(wú)線局域網(wǎng)的數(shù)據(jù)傳輸速度較慢， 并不適合一些高帶寬業(yè)務(wù)的處理。 因此，一所校園的校園網(wǎng)應(yīng)該是一個(gè)有線、無(wú)線網(wǎng)絡(luò)的有機(jī)結(jié)合。校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)由于校園網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)比較大，我們?cè)谶@里并沒(méi)有詳細(xì)勾勒出每個(gè)細(xì)節(jié)，只是把校

3、園 網(wǎng)絡(luò)的基本結(jié)構(gòu)勾畫出來(lái)。下圖是一個(gè)校園網(wǎng)的基本網(wǎng)絡(luò)拓?fù)洌和負(fù)鋱D中的路由器、防火墻和核心交換機(jī)構(gòu)成了校園網(wǎng)的核心，也就是我們平常說(shuō)的網(wǎng)絡(luò)中心， 網(wǎng)絡(luò)中心性能的好與壞將直接影響整個(gè)校園網(wǎng)的性能，因此， 網(wǎng)絡(luò)中心的組建將是整個(gè)校園網(wǎng)組建成敗的關(guān)鍵。路由器處在網(wǎng)絡(luò)中心的最頂層， 它直接與互聯(lián)網(wǎng)連接， 同時(shí)內(nèi)連校園網(wǎng)中的防火墻， 所以路 由器在校園網(wǎng)中的作用非常重要。 我們?cè)谶x擇適合校園使用的路由器時(shí)， 要根據(jù)校園網(wǎng)的規(guī) 模來(lái)決定。例如路由器的帶機(jī)數(shù)量，路由器的性能等，這些都要根據(jù)校園網(wǎng)的規(guī)模來(lái)確定。 至于路由器的功能， 我們不用考慮太多， 由于市場(chǎng)上的產(chǎn)品同質(zhì)化嚴(yán)重， 所以目前市場(chǎng)上的 路由器大多

4、都具有帶寬控制， MAC 地址綁定， Qos 機(jī)制等多種功能，我們只要將這些功能 應(yīng)用得當(dāng)， 就能最大限度利用路由器。在選擇路由器時(shí)， 我們要考慮路由器的穩(wěn)定性， 對(duì)于 路由器的穩(wěn)定問(wèn)題， 是一個(gè)比較難回答的問(wèn)題， 我們只能了解其他用戶使用路由器之后的感 受，不過(guò)建議大家選用大廠所生產(chǎn)的路由器， 大廠生產(chǎn)的路由器雖然價(jià)格要貴一些， 但穩(wěn)定 性能夠得到保障。 最后我們要注意一點(diǎn)， 學(xué)校采用的什么網(wǎng)絡(luò)接入， 現(xiàn)在很多校園都是專線接入，所以路由器要具備接入這種專線的能力。網(wǎng)絡(luò)中心的防火墻實(shí)在校園網(wǎng)中擔(dān)當(dāng)網(wǎng)絡(luò)防黑的作用，雖然網(wǎng)絡(luò)中心的路由器也具有防 火墻功能， 不過(guò)路由器的防火墻功能一般都不夠強(qiáng)大，

5、因此， 校園網(wǎng)中使用防火墻還是有必 要。校園網(wǎng)中的防火墻與普通防火墻有些不同， 它不但要防止外來(lái)黑客的攻擊， 還要防止內(nèi) 部學(xué)生的惡作劇和限制學(xué)生訪問(wèn)非法站點(diǎn)。 防止外來(lái)黑客攻擊比較復(fù)雜， 這需要管理員具有 較高的專業(yè)知識(shí)， 因?yàn)橐豢罘阑饓Σ贿M(jìn)行設(shè)置， 是無(wú)法抵御黑客的攻擊。 防止校園內(nèi)學(xué)生的 惡作劇和限制學(xué)生訪問(wèn)非法站點(diǎn)相對(duì)來(lái)說(shuō)要簡(jiǎn)單一些， 我們只要好好利用防火墻的 MAC 地 址綁定功能， IP 地址過(guò)濾， URL 過(guò)濾等功能， 就能為校園網(wǎng)用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。 防火墻的性能與功能同樣重要， 畢竟校園網(wǎng)用戶要訪問(wèn)互聯(lián)網(wǎng)必需經(jīng)過(guò)防火墻， 如果防火墻 性能比較差，將嚴(yán)重影響校園網(wǎng)性能。

6、防火墻性能主要根據(jù)吞吐量，并發(fā)連接數(shù)來(lái)確定。我 們?cè)谶x擇校園防火墻時(shí)，最好選擇帶 VPN 功能的防火墻，現(xiàn)在很多高校都有自己的分校， 要實(shí)現(xiàn)遠(yuǎn)程分校的網(wǎng)絡(luò)訪問(wèn)，采用 VPN 技術(shù)是最好的方式。網(wǎng)絡(luò)中心的核心交換機(jī)也是根據(jù)校園規(guī)模來(lái)確定， 現(xiàn)在高校的人數(shù)一般都比較多， 計(jì)算機(jī) 數(shù)量也比較多，為了方便管理，這里通常都是采用支持 VLAN 的三層路由交換機(jī)， VLAN 功能可以幫助管理員管理校園網(wǎng)絡(luò)， 防止廣播風(fēng)暴發(fā)生。 在一些中小型校園， 采用千兆骨干 網(wǎng)的比較多， 而一些大型校園則采用萬(wàn)兆骨干網(wǎng)， 所以三層交換機(jī)也要根據(jù)采用什么樣的骨 干網(wǎng)來(lái)確定選擇千兆或萬(wàn)兆三層路由交換機(jī)。校園網(wǎng)絡(luò)中心的建立是

7、為了內(nèi)部各個(gè)小型網(wǎng)絡(luò)的接入，所以，接入部分是整個(gè)校園網(wǎng)絡(luò) 的基礎(chǔ)。 校園網(wǎng)中的接入主要分為兩部分， 有線局域網(wǎng)的接入和無(wú)線局域網(wǎng)的接入。 有線局 域網(wǎng)主要是指那些已經(jīng)布好網(wǎng)絡(luò)線的地方， 例如各個(gè)系的機(jī)房， 新修的一些計(jì)算機(jī)大樓， 新 修的一些學(xué)生宿舍等， 這些都已經(jīng)布好了網(wǎng)絡(luò)線， 我們只需要選擇適合的交換機(jī)就能實(shí)現(xiàn)這 部分有線網(wǎng)絡(luò)的接入。 無(wú)線局域網(wǎng)的組建則針對(duì)一些老式的大樓， 宿舍和大型會(huì)議室等， 由于這些建筑在以往沒(méi)有布線或者不適合于布線， 但又需要網(wǎng)絡(luò)信號(hào)覆蓋， 因此， 我們需要在 這部分組建無(wú)線局域網(wǎng)。校園網(wǎng)有線部分我們所說(shuō)的校園網(wǎng)有線部分是針對(duì)校園網(wǎng)中接入網(wǎng)絡(luò)中心的這一部分網(wǎng)絡(luò)，在前

8、面我們已經(jīng)提到這一部分由各個(gè)系的機(jī)房，新修的一些計(jì)算機(jī)大樓，新修的一些學(xué)生宿舍等組成，因此，這一部分所選用的網(wǎng)絡(luò)產(chǎn)品主要是交換機(jī)。從上圖我們清楚的看到接入交換機(jī)與核心交換機(jī)的作用，其實(shí)接入交換機(jī)的選擇比較簡(jiǎn) 單，可根據(jù)每幢建筑樓內(nèi)需要的計(jì)算機(jī)節(jié)點(diǎn)數(shù)來(lái)選擇， 也就是每幢樓的計(jì)算機(jī)數(shù)量決定選擇 多少口的交換機(jī)， 現(xiàn)在普通的交換機(jī)一般為 24 口，也有 48 口交換機(jī)， 如果一幢樓的計(jì)算機(jī) 超過(guò)這個(gè)數(shù)量， 要么將交換機(jī)進(jìn)行級(jí)聯(lián)， 要么采用可堆疊的交換機(jī)進(jìn)行堆疊。 采用交換機(jī)進(jìn) 行級(jí)聯(lián)肯定要造成網(wǎng)絡(luò)速度下降， 但這種方式比較節(jié)約成本投入。 采用堆疊交換機(jī)則不會(huì)對(duì) 性能造成影響， 但這種方式投入的成本比

9、較高， 所以用戶要根據(jù)自己具體情況來(lái)確定。 交換 機(jī)的性能在這里也非常重要， 它是網(wǎng)絡(luò)的基礎(chǔ)， 它的性能直接影響用戶使用的網(wǎng)絡(luò)性能。 交 換機(jī)性能由交換容量和數(shù)據(jù)包轉(zhuǎn)發(fā)率來(lái)確定， 這兩個(gè)的值越大越好， 不過(guò)這兩個(gè)值越大價(jià)格 也就越高， 并且這兩個(gè)值過(guò)大， 會(huì)造成網(wǎng)絡(luò)資源的浪費(fèi)。 最后我們需要注意，如果我們采用 級(jí)聯(lián)方式組網(wǎng)， 那么這一層交換機(jī)最好采用帶流量控制等功能的交換機(jī)， 讓管理員可對(duì)交換 機(jī)進(jìn)行管理。在核心交換機(jī)和匯聚交換機(jī)有個(gè)需要注意的連接問(wèn)題， 如果核心交換機(jī)與匯聚交換機(jī)連接距 離超過(guò) 100 米，那么采用雙絞線是無(wú)法實(shí)現(xiàn)它們之間的連接，只有使用光纖才能滿足需要。 在這里我們就需要考

10、慮交換機(jī)的光纖接口問(wèn)題，交換機(jī)通常是使用擴(kuò)展模塊來(lái)實(shí)現(xiàn)光纖連 接，但這種擴(kuò)展模塊價(jià)格比較貴， 如果在需要連接交換機(jī)的節(jié)點(diǎn)比較多的情況下，采用擴(kuò)展模塊將增加成本投入。 因此， 我們?cè)谶@里可采用光纖收發(fā)器實(shí)現(xiàn)它們之間的連接，光纖收發(fā)器是連接光纖介質(zhì)和雙絞線的網(wǎng)絡(luò)產(chǎn)品， 它能實(shí)現(xiàn)光信號(hào)和電信號(hào)的互換， 并且這種產(chǎn)品的 價(jià)格遠(yuǎn)遠(yuǎn)低于交換機(jī)擴(kuò)展模塊的價(jià)格，所以采用光纖收發(fā)器是一個(gè)低成本的解決方案。校園網(wǎng)無(wú)線部分校園網(wǎng)的無(wú)線部分主要是針對(duì)一些老式的大樓，宿舍和大型會(huì)議室等不能布線的地方而 設(shè)計(jì)，這一部分的網(wǎng)絡(luò)產(chǎn)品主要以無(wú)線 AP 為主。在無(wú)線部分我們采用了多個(gè)無(wú)線AP 來(lái)實(shí)現(xiàn)無(wú)線局域網(wǎng)的組建， 上圖是校園

11、網(wǎng)內(nèi)無(wú)線局域 網(wǎng)的基本拓?fù)鋱D， 從這個(gè)拓?fù)浣Y(jié)構(gòu)中反映出無(wú)線局域網(wǎng)分為兩層， 一層是連接有線網(wǎng)絡(luò)的無(wú) 線 AP，另外一層是大樓內(nèi)分布的無(wú)線 AP 。這兩層的無(wú)線 AP 通過(guò)內(nèi)部集成的橋接功能，實(shí) 現(xiàn)它們的無(wú)線互連。 連接有線網(wǎng)絡(luò)的這個(gè)無(wú)線 AP 我們最好安置在離需要組建無(wú)線局域網(wǎng)的大樓附近，并且中間最好沒(méi)有建筑物阻擋，相隔距離也不要超過(guò) 300 米，這樣才能讓無(wú)線AP 性能得到發(fā)揮，最大限度節(jié)約成本投入。而需要組建無(wú)線局域網(wǎng)的大樓內(nèi)我們每一層樓 布置了一個(gè)無(wú)線 AP，以目前無(wú)線 AP 的性能而言，基本上能夠?qū)⑿盘?hào)覆蓋到一層樓的每一 個(gè)角落，這樣，一個(gè)無(wú)線局域網(wǎng)的基本結(jié)構(gòu)就形成了。由于無(wú)線 AP

12、安置的地點(diǎn)一般都在高 處，而且比較空曠，所以無(wú)線 AP 的防雷措施我們也要考慮。在大型會(huì)議室內(nèi)， 由于室內(nèi)空間比較大， 沒(méi)有墻壁阻擋， 在這里布置的無(wú)線 AP 不用像在 大樓中那樣用多個(gè)無(wú)線 AP 來(lái)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)信號(hào)的覆蓋。 大型會(huì)議室組建無(wú)線局域網(wǎng)有一個(gè) 特點(diǎn)，在大型會(huì)議室周圍一般都有有線網(wǎng)絡(luò)的接入點(diǎn)，我們可使用網(wǎng)線實(shí)現(xiàn)接入點(diǎn)與無(wú)線 AP 的連接，然后將無(wú)線 AP 置于會(huì)議室內(nèi)，就可將信號(hào)覆蓋到整個(gè)會(huì)議室內(nèi)。在這里我們 要考慮一件事情，一個(gè)大型會(huì)議室內(nèi)如果召開(kāi)會(huì)議，其筆記本數(shù)量肯定不會(huì)少，而無(wú)線 AP 在通常情況下能夠連接 20 多臺(tái)無(wú)線接入終端，如果無(wú)線接入終端數(shù)量過(guò)多，將嚴(yán)重影響網(wǎng)絡(luò)性能

13、， 為了不影響網(wǎng)絡(luò)性能實(shí)現(xiàn)更多的無(wú)線接入終端接入無(wú)線局域網(wǎng)中， 我們可在這里多 增加無(wú)線 AP 。相信大家清楚，多個(gè)無(wú)線 AP 在同一個(gè)地方使用，信號(hào)覆蓋肯定會(huì)重疊，造 成對(duì)網(wǎng)絡(luò)性能的影響。要解決這一問(wèn)題，就必需將無(wú)線 AP 上的頻段進(jìn)行設(shè)置，無(wú)線 AP 一 般都提供了 11 個(gè)頻道，我們只要將會(huì)議室內(nèi)的無(wú)線 AP 設(shè)置為各自不同的頻道，就不會(huì)造 成信號(hào)覆蓋重疊。至于無(wú)線 AP 的選擇，高校就要根據(jù)自己實(shí)際情況來(lái)決定了。目前市場(chǎng)上 的無(wú)線 AP 主要有基于 IEEE 802.11b 、IEEE 802.11a 和 IEEE 802.11g 三種協(xié)議下的產(chǎn)品，它 們分別提供了不同的數(shù)據(jù)傳輸率，用

14、戶可根據(jù)實(shí)際情況來(lái)選擇無(wú)線AP。當(dāng)一個(gè)無(wú)線局域網(wǎng)組建成功后， 大家最關(guān)心的還是無(wú)線局域網(wǎng)的安全問(wèn)題。 這里所說(shuō)的安全 不是指互聯(lián)網(wǎng)中黑客帶來(lái)的威脅， 而是無(wú)線局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩?用戶接入訪問(wèn)無(wú)線局 域網(wǎng)的安全。無(wú)線局域網(wǎng)內(nèi)數(shù)據(jù)是通過(guò)無(wú)線鏈路進(jìn)行數(shù)據(jù)傳輸， 有一些非法用戶通過(guò)截獲無(wú)線鏈路中的數(shù) 據(jù)給無(wú)線局域網(wǎng)用戶帶來(lái)?yè)p失，要解決這一問(wèn)題，我們就必需使用到無(wú)線 AP 中的 WEP 加 密功能，這項(xiàng)功能能夠?qū)鬏數(shù)臄?shù)據(jù)進(jìn)行加密，即使非法用戶獲得這些數(shù)據(jù)，也無(wú)法破譯， 所以我們組建無(wú)線局域網(wǎng)成功后必需將這項(xiàng)功能開(kāi)啟。用戶接入訪問(wèn)安全是指一個(gè)無(wú)線局域網(wǎng)組建成功后，它的信號(hào)覆蓋面積大，有些非法用 戶

15、在信號(hào)覆蓋范圍內(nèi)通過(guò)無(wú)線網(wǎng)卡連接到無(wú)線局域網(wǎng)中。 要解決這個(gè)問(wèn)題， 必需使用到無(wú)線 AP 中的三項(xiàng)功能， MAC 地址綁定， DHCP 服務(wù)和認(rèn)證功能。采用 MAC 地址綁定功能主要 是因?yàn)槊恳粔K網(wǎng)卡只有全球唯一的一個(gè) MAC 地址，通過(guò)設(shè)置 MAC 地址綁定功能后，其他 沒(méi)綁定 MAC 地址的終端就不能接入無(wú)線局域網(wǎng)； DHCP 主要是為網(wǎng)內(nèi)用戶自動(dòng)分配 IP 地 址，所有有些用戶就通過(guò)獲取 IP 地址進(jìn)入無(wú)線局域網(wǎng)中，只要將 DHCP 功能關(guān)閉就能杜絕 這類事件的發(fā)生；目前，網(wǎng)絡(luò)中最常用的認(rèn)證方式就是 802.1x 端口認(rèn)證技術(shù)，我們可通過(guò) 這項(xiàng)功能限制非法用戶訪問(wèn)無(wú)線局域網(wǎng)。在大部分的無(wú)線 AP 中，提供了一種 SSID 功能，這項(xiàng)功能主要是用來(lái)區(qū)分不同的網(wǎng)絡(luò)， 實(shí)際上這就是無(wú)線局域網(wǎng)的名稱，一般同一廠家的無(wú)線 AP 都采用同一種 SSID ，所以我們 在無(wú)線局域網(wǎng)組建成功后最好將 SSID 進(jìn)行重新設(shè)置。