簡單的校園網(wǎng)設(shè)計(jì)方案

1、l 引言l 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)產(chǎn)品價(jià)格不斷的下調(diào)， 眾多高校都開始搭建網(wǎng)絡(luò)平臺(tái)， 組建 自己的校園網(wǎng)絡(luò)。 一個(gè)校園網(wǎng)絡(luò)的組建并不是我們想象中用幾個(gè)交換機(jī)就能實(shí)現(xiàn)， 它是一項(xiàng) 龐大而又復(fù)雜的工程，它需要覆蓋整個(gè)校園，要將校園內(nèi)的計(jì)算機(jī)、服務(wù)器和其他終端設(shè)備 連接起來，實(shí)現(xiàn)校園內(nèi)部數(shù)據(jù)的流通，實(shí)現(xiàn)校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)的信息交流，并且它還要涉 及到網(wǎng)絡(luò)的安全，涉及到網(wǎng)絡(luò)的管理。因此，一個(gè)校園網(wǎng)絡(luò)系統(tǒng)的組建需要從多方面進(jìn)行考 慮。 l 校園網(wǎng)組建分析l 校園在經(jīng)歷一系列改革后，為了進(jìn)一步提升自身實(shí)力，很多高校都開始改建自己的校園， 大量新教學(xué)樓拔地而其， 在新建設(shè)的建筑大樓中一般都布有網(wǎng)絡(luò)線， 這

2、給校園組網(wǎng)帶來了一 定的方便。 不過還有一部分老式的建筑大樓并沒有布網(wǎng)絡(luò)線， 如果我們?cè)谶@里也使用有線網(wǎng) 絡(luò)，不但會(huì)帶來布線的麻煩，還會(huì)影響建筑大樓的美觀。在一所校園內(nèi)，總有一部分區(qū)域是 有線網(wǎng)絡(luò)不能涉及的范圍，如果強(qiáng)行布置有線網(wǎng)，后果非常嚴(yán)重。所以，在上面提到的這些 地方需要布置無線局域網(wǎng)， 才能讓整個(gè)校園都被網(wǎng)絡(luò)覆蓋。 當(dāng)然我們也不能在一所高校內(nèi)全 部布置無線局域網(wǎng)， 畢竟無線局域網(wǎng)的數(shù)據(jù)傳輸速度較慢， 并不適合一些高帶寬業(yè)務(wù)的處理。 因此，一所校園的校園網(wǎng)應(yīng)該是一個(gè)有線、無線網(wǎng)絡(luò)的有機(jī)結(jié)合。l 校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)l 由于校園網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)比較大，我們?cè)谶@里并沒有詳細(xì)勾勒出每個(gè)細(xì)節(jié)，只是把

3、校園 網(wǎng)絡(luò)的基本結(jié)構(gòu)勾畫出來。下圖是一個(gè)校園網(wǎng)的基本網(wǎng)絡(luò)拓?fù)洌郝酚蓇 拓?fù)鋱D中的路由器、防火墻和核心交換機(jī)構(gòu)成了校園網(wǎng)的核心，也就是我們平常說的網(wǎng) 絡(luò)中心，網(wǎng)絡(luò)中心性能的好與壞將直接影響整個(gè)校園網(wǎng)的性能，因此，網(wǎng)絡(luò)中心的組建將是 整個(gè)校園網(wǎng)組建成敗的關(guān)鍵。u 路由器處在網(wǎng)絡(luò)中心的最頂層，它直接與互聯(lián)網(wǎng)連接，同時(shí)內(nèi)連校園網(wǎng)中的防火墻，所以路 由器在校園網(wǎng)中的作用非常重要。 我們?cè)谶x擇適合校園使用的路由器時(shí)， 要根據(jù)校園網(wǎng)的規(guī)模來決定。例如路由器的帶機(jī)數(shù)量，路由器的性能等，這些都要根據(jù)校園網(wǎng)的規(guī)模來確定。 至于路由器的功能，我們不用考慮太多，由于市場上的產(chǎn)品同質(zhì)化嚴(yán)重，所以目前市場上的 路由器大多

4、都具有帶寬控制，MAC 地址綁定，Qos 機(jī)制等多種功能，我們只要將這些功能 應(yīng)用得當(dāng)，就能最大限度利用路由器。在選擇路由器時(shí)，我們要考慮路由器的穩(wěn)定性，對(duì)于 路由器的穩(wěn)定問題， 是一個(gè)比較難回答的問題， 我們只能了解其他用戶使用路由器之后的感 受，不過建議大家選用大廠所生產(chǎn)的路由器，大廠生產(chǎn)的路由器雖然價(jià)格要貴一些，但穩(wěn)定 性能夠得到保障。最后我們要注意一點(diǎn)，學(xué)校采用的什么網(wǎng)絡(luò)接入，現(xiàn)在很多校園都是專線 接入，所以路由器要具備接入這種專線的能力。u 網(wǎng)絡(luò)中心的防火墻實(shí)在校園網(wǎng)中擔(dān)當(dāng)網(wǎng)絡(luò)防黑的作用，雖然網(wǎng)絡(luò)中心的路由器也具有防 火墻功能，不過路由器的防火墻功能一般都不夠強(qiáng)大，因此，校園網(wǎng)中使用

5、防火墻還是有必要的。校園網(wǎng)中的防火墻與普通防火墻有些不同，它不但要防止外來黑客的攻擊，還要防止內(nèi) 部學(xué)生的惡作劇和限制學(xué)生訪問非法站點(diǎn)。 防止外來黑客攻擊比較復(fù)雜， 這需要管理員具有 較高的專業(yè)知識(shí)，因?yàn)橐豢罘阑饓Σ贿M(jìn)行設(shè)置，是無法抵御黑客的攻擊。防止校園內(nèi)學(xué)生的 惡作劇和限制學(xué)生訪問非法站點(diǎn)相對(duì)來說要簡單一些， 我們只要好好利用防火墻的 MAC 地 址綁定功能，IP 地址過濾，URL 過濾等功能，就能為校園網(wǎng)用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。 防火墻的性能與功能同樣重要， 畢竟校園網(wǎng)用戶要訪問互聯(lián)網(wǎng)必需經(jīng)過防火墻， 如果防火墻 性能比較差，將嚴(yán)重影響校園網(wǎng)性能。防火墻性能主要根據(jù)吞吐量，并發(fā)連接數(shù)

6、來確定。我 們?cè)谶x擇校園防火墻時(shí)，最好選擇帶 VPN 功能的防火墻，現(xiàn)在很多高校都有自己的分校， 要實(shí)現(xiàn)遠(yuǎn)程分校的網(wǎng)絡(luò)訪問，采用 VPN 技術(shù)是最好的方式。u 網(wǎng)絡(luò)中心的核心交換機(jī)也是根據(jù)校園規(guī)模來確定， 現(xiàn)在高校的人數(shù)一般都比較多， 計(jì)算機(jī) 數(shù)量也比較多，為了方便管理，這里通常都是采用支持 VLAN 的三層路由交換機(jī)，VLAN 功能可以幫助管理員管理校園網(wǎng)絡(luò)，防止廣播風(fēng)暴發(fā)生。在一些中小型校園，采用千兆骨干 網(wǎng)的比較多， 而一些大型校園則采用萬兆骨干網(wǎng)， 所以三層交換機(jī)也要根據(jù)采用什么樣的骨 干網(wǎng)來確定選擇千兆或萬兆三層路由交換機(jī)。u 校園網(wǎng)絡(luò)中心的建立是為了內(nèi)部各個(gè)小型網(wǎng)絡(luò)的接入，所以，接

7、入部分是整個(gè)校園網(wǎng)絡(luò) 的基礎(chǔ)。校園網(wǎng)中的接入主要分為兩部分，有線局域網(wǎng)的接入和無線局域網(wǎng)的接入。有線局 域網(wǎng)主要是指那些已經(jīng)布好網(wǎng)絡(luò)線的地方，例如各個(gè)系的機(jī)房，新修的一些計(jì)算機(jī)大樓，新 修的一些學(xué)生宿舍等， 這些都已經(jīng)布好了網(wǎng)絡(luò)線， 我們只需要選擇適合的交換機(jī)就能實(shí)現(xiàn)這 部分有線網(wǎng)絡(luò)的接入。無線局域網(wǎng)的組建則針對(duì)一些老式的大樓，宿舍和大型會(huì)議室等，由 于這些建筑在以往沒有布線或者不適合于布線，但又需要網(wǎng)絡(luò)信號(hào)覆蓋，因此，我們需要在 這部分組建無線局域網(wǎng)。l 校園網(wǎng)有線部分l 我們所說的校園網(wǎng)有線部分是針對(duì)校園網(wǎng)中接入網(wǎng)絡(luò)中心的這一部分網(wǎng)絡(luò)，在前面我們 已經(jīng)提到這一部分由各個(gè)系的機(jī)房，新修的一些

8、計(jì)算機(jī)大樓，新修的一些學(xué)生宿舍等組成， 因此，這一部分所選用的網(wǎng)絡(luò)產(chǎn)品主要是交換機(jī)。u 從上圖我們清楚的看到接入交換機(jī)與核心交換機(jī)的作用，其實(shí)接入交換機(jī)的選擇比較簡 單， 可根據(jù)每幢建筑樓內(nèi)需要的計(jì)算機(jī)節(jié)點(diǎn)數(shù)來選擇， 也就是每幢樓的計(jì)算機(jī)數(shù)量決定選擇 多少口的交換機(jī)，現(xiàn)在普通的交換機(jī)一般為 24 口，也有 48 口交換機(jī)，如果一幢樓的計(jì)算機(jī) 超過這個(gè)數(shù)量，要么將交換機(jī)進(jìn)行級(jí)聯(lián)，要么采用可堆疊的交換機(jī)進(jìn)行堆疊。采用交換機(jī)進(jìn) 行級(jí)聯(lián)肯定要造成網(wǎng)絡(luò)速度下降， 但這種方式比較節(jié)約成本投入。 采用堆疊交換機(jī)則不會(huì)對(duì) 性能造成影響，但這種方式投入的成本比較高，所以用戶要根據(jù)自己具體情況來確定。交換機(jī)的性能

9、在這里也非常重要，它是網(wǎng)絡(luò)的基礎(chǔ)，它的性能直接影響用戶使用的網(wǎng)絡(luò)性能。交 換機(jī)性能由交換容量和數(shù)據(jù)包轉(zhuǎn)發(fā)率來確定， 這兩個(gè)的值越大越好， 不過這兩個(gè)值越大價(jià)格 也就越高，并且這兩個(gè)值過大，會(huì)造成網(wǎng)絡(luò)資源的浪費(fèi)。最后我們需要注意，如果我們采用 級(jí)聯(lián)方式組網(wǎng)， 那么這一層交換機(jī)最好采用帶流量控制等功能的交換機(jī)， 讓管理員可對(duì)交換 機(jī)進(jìn)行管理。u 在核心交換機(jī)和匯聚交換機(jī)有個(gè)需要注意的連接問題， 如果核心交換機(jī)與匯聚交換機(jī)連接距 離超過 100 米，那么采用雙絞線是無法實(shí)現(xiàn)它們之間的連接，只有使用光纖才能滿足需要。 在這里我們就需要考慮交換機(jī)的光纖接口問題，交換機(jī)通常是使用擴(kuò)展模塊來實(shí)現(xiàn)光纖連 接，

10、但這種擴(kuò)展模塊價(jià)格比較貴，如果在需要連接交換機(jī)的節(jié)點(diǎn)比較多的情況下，采用擴(kuò)展 模塊將增加成本投入。因此，我們?cè)谶@里可采用光纖收發(fā)器實(shí)現(xiàn)它們之間的連接，光纖收發(fā) 器是連接光纖介質(zhì)和雙絞線的網(wǎng)絡(luò)產(chǎn)品， 它能實(shí)現(xiàn)光信號(hào)和電信號(hào)的互換， 并且這種產(chǎn)品的 價(jià)格遠(yuǎn)遠(yuǎn)低于交換機(jī)擴(kuò)展模塊的價(jià)格，所以采用光纖收發(fā)器是一個(gè)低成本的解決方案。u 校園網(wǎng)無線部分u 校園網(wǎng)的無線部分主要是針對(duì)一些老式的大樓，宿舍和大型會(huì)議室等不能布線的地方而 設(shè)計(jì)，這一部分的網(wǎng)絡(luò)產(chǎn)品主要以無線 AP 為主。n 在無線部分我們采用了多個(gè)無線 AP 來實(shí)現(xiàn)無線局域網(wǎng)的組建， 上圖是校園網(wǎng)內(nèi)無線局域 網(wǎng)的基本拓?fù)鋱D， 從這個(gè)拓?fù)浣Y(jié)構(gòu)中反映出

11、無線局域網(wǎng)分為兩層， 一層是連接有線網(wǎng)絡(luò)的無 線 AP，另外一層是大樓內(nèi)分布的無線 AP。這兩層的無線 AP 通過內(nèi)部集成的橋接功能，實(shí) 現(xiàn)它們的無線互連。 連接有線網(wǎng)絡(luò)的這個(gè)無線 AP 我們最好安置在離需要組建無線局域網(wǎng)的 大樓附近，并且中間最好沒有建筑物阻擋，相隔距離也不要超過 300 米，這樣才能讓無線 AP 性能得到發(fā)揮，最大限度節(jié)約成本投入。而需要組建無線局域網(wǎng)的大樓內(nèi)我們每一層樓 布置了一個(gè)無線 AP，以目前無線 AP 的性能而言，基本上能夠?qū)⑿盘?hào)覆蓋到一層樓的每一 個(gè)角落，這樣，一個(gè)無線局域網(wǎng)的基本結(jié)構(gòu)就形成了。由于無線 AP 安置的地點(diǎn)一般都在高 處，而且比較空曠，所以無線 A

12、P 的防雷措施我們也要考慮。n 在大型會(huì)議室內(nèi)，由于室內(nèi)空間比較大，沒有墻壁阻擋，在這里布置的無線 AP 不用像在 大樓中那樣用多個(gè)無線 AP 來實(shí)現(xiàn)無線網(wǎng)絡(luò)信號(hào)的覆蓋。 大型會(huì)議室組建無線局域網(wǎng)有一個(gè) 特點(diǎn)，在大型會(huì)議室周圍一般都有有線網(wǎng)絡(luò)的接入點(diǎn)，我們可使用網(wǎng)線實(shí)現(xiàn)接入點(diǎn)與無線 AP 的連接，然后將無線 AP 置于會(huì)議室內(nèi)，就可將信號(hào)覆蓋到整個(gè)會(huì)議室內(nèi)。在這里我們 要考慮一件事情，一個(gè)大型會(huì)議室內(nèi)如果召開會(huì)議，其筆記本數(shù)量肯定不會(huì)少，而無線 AP 在通常情況下能夠連接 20 多臺(tái)無線接入終端，如果無線接入終端數(shù)量過多，將嚴(yán)重影響網(wǎng) 絡(luò)性能， 為了不影響網(wǎng)絡(luò)性能實(shí)現(xiàn)更多的無線接入終端接入無線

13、局域網(wǎng)中， 我們可在這里多 增加無線 AP。相信大家清楚，多個(gè)無線 AP 在同一個(gè)地方使用，信號(hào)覆蓋肯定會(huì)重疊，造 成對(duì)網(wǎng)絡(luò)性能的影響。要解決這一問題，就必需將無線 AP 上的頻段進(jìn)行設(shè)置，無線 AP 一 般都提供了 11 個(gè)頻道，我們只要將會(huì)議室內(nèi)的無線 AP 設(shè)置為各自不同的頻道，就不會(huì)造 成信號(hào)覆蓋重疊。至于無線 AP 的選擇，高校就要根據(jù)自己實(shí)際情況來決定了。目前市場上 的無線 AP 主要有基于 IEEE 802.11b、IEEE 802.11a 和 IEEE 802.11g 三種協(xié)議下的產(chǎn)品，它 們分別提供了不同的數(shù)據(jù)傳輸率，用戶可根據(jù)實(shí)際情況來選擇無線 AP。 當(dāng)一個(gè)無線局域網(wǎng)組建

14、成功后， 大家最關(guān)心的還是無線局域網(wǎng)的安全問題。 這里所說的安全 不是指互聯(lián)網(wǎng)中黑客帶來的威脅， 而是無線局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩?用戶接入訪問無線局 域網(wǎng)的安全。 無線局域網(wǎng)內(nèi)數(shù)據(jù)是通過無線鏈路進(jìn)行數(shù)據(jù)傳輸， 有一些非法用戶通過截獲無線鏈路中的數(shù) 據(jù)給無線局域網(wǎng)用戶帶來損失，要解決這一問題，我們就必需使用到無線 AP 中的 WEP 加 密功能，這項(xiàng)功能能夠?qū)鬏數(shù)臄?shù)據(jù)進(jìn)行加密，即使非法用戶獲得這些數(shù)據(jù)，也無法破譯， 所以我們組建無線局域網(wǎng)成功后必需將這項(xiàng)功能開啟。 用戶接入訪問安全是指一個(gè)無線局域網(wǎng)組建成功后，它的信號(hào)覆蓋面積大，有些非法用 戶在信號(hào)覆蓋范圍內(nèi)通過無線網(wǎng)卡連接到無線局域網(wǎng)中。

15、 要解決這個(gè)問題， 必需使用到無線 AP 中的三項(xiàng)功能，MAC 地址綁定，DHCP 服務(wù)和認(rèn)證功能。采用 MAC 地址綁定功能主要 是因?yàn)槊恳粔K網(wǎng)卡只有全球唯一的一個(gè) MAC 地址，通過設(shè)置 MAC 地址綁定功能后，其他 沒綁定 MAC 地址的終端就不能接入無線局域網(wǎng)；DHCP 主要是為網(wǎng)內(nèi)用戶自動(dòng)分配 IP 地 址，所有有些用戶就通過獲取 IP 地址進(jìn)入無線局域網(wǎng)中，只要將 DHCP 功能關(guān)閉就能杜絕 這類事件的發(fā)生；目前，網(wǎng)絡(luò)中最常用的認(rèn)證方式就是 802.1x 端口認(rèn)證技術(shù)，我們可通過 這項(xiàng)功能限制非法用戶訪問無線局域網(wǎng)。 在大部分的無線 AP 中，提供了一種 SSID 功能，這項(xiàng)功能主要是用來區(qū)分不同的網(wǎng)絡(luò)， 實(shí)際上這就是無線局域網(wǎng)的名稱，一般同一廠家的無線 AP 都采用同一種 SSID，所以我們 在無線局域網(wǎng)組建成功后最好將 SSID 進(jìn)行重新設(shè)置。通常情況下，無線 AP 都是將 S