校园网改造升级方案

校园网改造升级方案（共9篇）

校园网改造升级方案 篇1

前言

该设计方案并非实际已建设的实际案例, 是对设想某所大学校园网升级改造的案例和分析。

一、网络建设现状

某大学校区现有在校师生5000人, 面积500亩;校内分为教学行政区、学生生活区和教工生活区三个区域;经过以前的大规模基础建设, 校区内共有15幢楼接入校园网, 信息点有1000个。现有校园网采用了千兆以太网的技术, 网络的逻辑拓扑为星型结构, 校区内接入用户已达800个。校区共有8个C类地区, 均采用分配静态公有地址给用户;除学生生活区外, 开放境内的全部访问;学生生活区及全校区的境外访问通过一台服务器作代理。

二、需求特点描述

根据校区的发展规划, 在几年后在校生将达到8000人, 学生生活区共建10幢住宿楼, 教学区新建图书馆、实验楼、行政楼, 全区信息点将达2000个。而现有网络结构及网络设备在两年的运行中暴露出储多问题, 主要表现在:

(1) 网络整体安全性较差:由于一期工程中, 大量采用了二层设备, Bay420为一款千兆可堆叠交换机, 性能较好, 但无法进行有效的网络安全管理;特别在生活区, 盗用IP地址、利用ARP欺骗、私设代理等情况日益严重;

(2) 网络覆盖范围不够:随着新的图书馆、实验楼及学生宿舍的建成, 原有规模的校园网设备的端口数严重缺乏;

(3) 网络管理难度加大:随着接入用户的增加, 无论是维护、收费还是管理难度越来越大, 网络设备的维护工作量剧增;

(4) 网络结构不合理:由于校园网采用于星型结构, 当光纤链路或光接口故障时, 一些地区不可避免地中断网络服务;部分地区的网络扩展无法实现。

根据此种情况, 校区计划在近期进行校园网的改造升级, 提出了校园网的升级改造要求:

(1) 校园网是应用为主的一项基本建设工程, 校园网应将其根本目的定位在为教学、科研、管理及生活服务上, 以满足学校事业发展为第一目的;

(2) 根据学校的财政状况, 不盲目追求设备的先进性, 而注重投资的效益;

(3) 充分利用先进的网络技术及设备满足校园网要求, 要求所采用的技术及设备具有满足近期校区发展的需求并有较大的升级改选余地;

(4) 强化管理功能;校园网建设重要, 管理更重要。要管理好校园网, 除了网管人员的专业素质和道德水准外, 网络的规划和设计、网络设备的选择是非常重要的;

三、网络设计原则

以此为依据, 我们提出了全网的改造方案原则:

(1) 将原有的星型网络改为冗余的环型网络, 采用动态路由协议, 建立三点环网核心层;

(2) 在生活区采用动态地址, 由交换机实现网络地址转换功能;

(3) 在生活区采用基于802.1X协议的Radius论证、计费功能, 规范用户上网行为;

(4) 采用统一的网管软件对全网进行二十四小时不间断监控;

(5) 在接入用户密集地区采用三层设备进行控制, 防止非法攻击、广播风暴和病毒攻击网络;

(6) 在原有一条Cernet出口的基础上, 自中国电信申请一条4M专线, 接入Chinanet, 分流境外流量和公网流量, 并与Cernet出口互为备份。

四、网络改造解决方案:

(1) 将原有的星型结构的校园网架构更改为环型冗余的核心层;核心层采用三台锐捷网络 (原实达网络) 的STAR-S6808三层交换机构成了环型的三个核心节点, 其间以GE构成环型链路, 三点分别位于图书馆 (网络中心) 、学生生活区4号楼、实验楼, 校区内光纤线路基本维护原有结构;

(2) 将教工生活区通过新建一条光纤汇聚于实验楼, 在实验楼中购置一台锐捷网络STAR-S6808交换机, 除配置管理、电源模块外, 配置一块8口miniGBIC (SFP) 接口千兆模块板、一块16口百兆多模光口模块板;

(3) 学生生活区新建一条光纤与实验楼的STAR-S6808相连, 除配置管理、电源模块外, 配置二块一块8口miniGBIC (SFP) 接口千兆模块板;

(4) 在学生生活区各幢楼宇中分别配置一台STAR-S3550-24T, 通过STAR-S3550的三层管理功能对学生用户进行ACL控制, 下连数台STAR-S1926F+作为接入设备;

(5) 网络中心的STAR-S6808除配置管理、电源模块外, 配置二块一块8口miniGBIC (SFP) 接口千兆模块板, 外接Cernet出口路由器, 互联学生生活区和实验楼的STAR-S6808, 一块16口百兆多模光纤模块板;

(6) 在教学区采用STAR-S2150G/S2126G千兆可堆叠交换机, 一来可实现高密度的端口汇聚, 同时可发挥其智能的流分类和完善的服务质量, 为各办公楼宇中的服务器提供足够的网络带宽;

(7) 针对教育外境外访问流量较大造成的费用较高的问题, 我们向中国电信申请了一条4兆的千线, 解决境外访问及境内公网的访问流量问题, 接入点置于实验楼, 可在单一链路失效时, 互为备份, 保证校园网对外出口的畅通无阻, 接入点位于实验楼;.

(8) 在学生生活区和教工生活区全部采用DHCP分配地址, 一来节约了大量IP, 二来通过Radius计费系统进行交换机, 端口, 用户名的绑定, 提高了网络系统的安全性。

(9) 在教工生活区和学生生活区全面采用802.1X论证、计费系统, 采用锐捷网络的Radius系统, 实现全面的网络控制及管理。

五、方案特点:

(1) 在原校区的光纤链路不作大规模更改的情况下, 拓展网络结构, 扩大校园网覆盖面, 保证原有光纤的冗余;充分考虑到了整个网络改造的投资效益;

(2) 利用锐捷网络公司的SAM系统, 加强校园网的论证、计费管理, 规范上网用户行为, 为校园网更好地为校区的教学、科研、管理服务提供了良好的应用环境;

(3) 利用锐捷网络公司的StarView统一全网管理及监控, 使网管人员及时应对各类网络故障及其他突发事件;

(4) 充分利用交换机的硬件NAT功能, 减轻节点交换机压力及服务器投入, 节约合法IP地址, 强化管理;

(5) 为网络进一步的扩展保证足够的可扩充余地, 主干设备支持万兆以太网, 为以后网络的平滑升级打下基础。

摘要：该方案从需求和现状分析出发, 提出了网络改造的基本思路, 提供了完整的网络拓扑体系设计, 对在原有基础上升级改造校园网的设计思路和具体实现方法进行了探讨, 指出了要以科学合理的方法实现校园网的升级改造, 对实际工程的建设具有可行性和比较强的指导意义。

关键词：校园网,改造,方案

参考文献

[1]戴心来, 王秀山, 陈爽.校园网升级改造的技术方案探讨[J]中国电化教育, 2004, (06)

[2]范敏, 岳延兵.校园软件开发平台的选择与应用[J]电脑知识与技术, 2005, (33)

[3]李为波.多校区互连解决方案[J]湖北财经高等专科学校学报, 2007, (02)

[4]姚锁宁.校园网升级改造的策略和方法[J].计算机时代, 2007, (05) .

[5]卢意, 张晓芸.基于三层交换的校园网升级改造[J].科技咨询导报, 2006, (14) .

[6]王庚, 张淼.校园网的升级与改造[J].中南民族大学学报 (自然科学版) , 2004, (03)

校园网改造升级方案 篇2

学生厕所重建及校园硬化绿化工程

项目的申请报告

大荔县教育局：

平罗朱小学位于大荔县高明镇西七公里处，是一所县、镇确定的西片重点完全小学。现有教职员工13人，学生102名，教学班六个。目前教室、教工、学生宿舍楼已全部达到了楼房化，在县乡各级政府与村民的支持下，危房改造工程已基本完成，学校面貌已焕然一新。为了早日跻身于市县示范学校行列，我们决定在学生厕所、校园硬化、绿化工程上再上新的台阶，使学校面貌有一个根本的改观，使学校成为一所名副其实的现代化示范小学。

学生厕所目前已破烂不堪，且坑位不能满足学生需要，房舍危漏，谈不上遮风挡雨，墙体残垣随处可见，断裂现象严重。为了学生有一个良好安全的学习生活环境，此项工程迫在眉睫。学校计划重建一所砖混结构的高规格厕所，预计投资6.79万元。

校园需要硬化面积为3400平方米，购买苗木绿化校园也是一项重要的工程。为了使学生学习生活告别泥泞，给师生创造三季有花、四季常青的工作学习环境，使每一个学生能够健康快乐的成长。我们在自力更生的基础上再申请各级政府给予大力支持，弥补资金不足，以确保工程如期完成。预计投资26.7万元。

特此申请，望审查批准为盼！

大荔县高明镇平罗朱小学

二0一0年九月

附工程预算一份 预算一：厕所重建工程

砖：

0.24元×8万块＝19200元 白灰：150元×15立方米＝2250元 大沙： 90元×30立方米＝2700元 水泥： 350元×12吨＝4200元 石子： 70元×10立方米＝700元 楼板： 75元×30块＝2250元 钢筋：4.2元×500公斤＝2100元 人工费：180元×150平方米＝27000元 瓷砖： 20元×75平方米＝1500元

预算二：投资6000元新建一座25立方米的沼气池。预算三：硬化绿化

硬化：3400平方米×75元＝255000元 绿化：12000元

大学校园景观改造设计与研究 篇3

关键词：校园景观；圆形符号；活动空间；整体风格

第一章绪论

1.1校园景观改造的背景。校园寝室楼前的树林树木单一，进入秋天后便满是落叶，冬天便萧条一片，唯独夏天可以树下乘凉，下面是土地，只能站立休息。寝室区是校园中人口密度最大人口流动性较大的区域，周围却没有适合的活动空间，只能相约到别处去学习或聊天，因此对楼前树林的重新规划和改造是必要的。

1.2校园景观改造的目的和意义。校园寝室楼前树林改造的目的是：扩展校园活动空间，创建一个集学习、休闲、娱乐、绿化为一体的多功能为一体的活动空间，打造校园寝室区域标志性活动场地。寝室楼前树林改造的意义是：校园景观的好坏直接影响到一个校园的整体感觉，但在现实生活中校园景观不被大家重视。校园景观设计的好坏直接影响于校园环境素质，剑桥康河、北京大学未名湖畔、同济大学趣园、华东师范大学园林等老校园的景观至今都是我们心中所向往的学习环境，散发着独特的精神魅力。在树木葱郁的校园环境中，人们很容易忽略或原谅其他视觉效果差的建筑单体。因此，对寝室楼前树林的改造，是进一步加强了校园整体的景观设计，创造更好的校园环境，大幅度提高校园环境素质，打造寝室区域标志性符号。

第二章高校校园景观改造设计的手法

2.1点缀型改造。部分高校校园中的景观虽然绿量足够、植物效果优美，但缺乏统领空间环境的主体，这往往会导致景观缺乏主题性和可辨识性，校园精神和文化特色无处寄托。点缀性改造针对这一问题，在原有基础上增加些富有深刻涵义的雕塑、景石、树木等景观元素，使空间氛围主题丰满起来。

2.2修补性改造。大学校园老校区由于经年累月的使用和自然退化，部分小品和植物景观破败不堪，已经和初始時大相径庭，有的甚至已经失去使用功能：新校区由于建设工期短、设计不完善等原因，导致景观空间层次单调，使用频率低。修补性改造针对校园中这种类型的景观问题，在保留景观环境基底的前提下，对原有破损、老化或影响整体环境的景观小品和树木修理或移除，结合周边景观的氛围和肌理进行再设计，增加植物造景和具备视觉效果的景观小品重新布置空间。

2.3更新性改造。随着时代发展，大学校园老校区空间局促的问题日益严重，原有规划模式己不能承载现今校园使用者的需求，加上部分景观小品年久失修已不能再使用等因素，导致此类大学校园景观不得不进行更新改造。更新性改造指的是推翻原有景观环境，根据学生的要求和学校的整体环境对学校的某一区域进行再一次改造。改造中对仍具有使用功能的座椅、景石、雕塑等小品和表现良好的植物进行保留，在新方案中进行考虑或移至校园他处。

第三章校园景观改造概述

3.1对校园寝室区楼前树林问题的发现与思考。春天发芽、夏天葱茂、秋天落叶、冬天枯枝，这就是楼前小树林一年四季的景象，和校园外任何一片树林一样没有任何特点，树木种类的单一，让人感到无趣和视觉疲劳。在寝室区这种人口密度较大的区域，反而缩小了同学们的活动空间，所以我决定对这片区域从新进行规划和改造。

3.2校园景观改造概述。根据改造区域的面积大小和学校的整体建筑风格，结合校园文化和社会人文。淳朴的自然和学校的历史文化结合，使得该区域形成了良好的学习和休息的氛围，扩大了学生的活动场地，体现了现代校园中，良好、优质的校园生活！人文理念：校园的建设与改造应以学生为本，为学生提供良好的学习环境，便捷的生活设施，宽敞的自由活动空间，轻松的交流环境。绿色理念：建设花园式校园。使我们在紧张的学习中得到方式，在充满自然的环境中陶冶情操。改造建筑物需要有高有低，植物也是高低错落，我们把乔木灌木，彩叶常绿树，落叶树种，观花观果树木相结合，使其不论在春夏秋冬都有不一样的景象，丰富多彩摇曳多姿。（春天：香樟+玉兰、垂丝海棠+桂花、萱草+毛白杜鹃：夏天：水杉+广玉兰+合欢、石楠+阔叶+大功劳、长春花+鸢尾：秋天：南天竹+垂柳、鸡爪槭+茶梅+火棘、常春藤：冬天：雪松+五针松、腊梅+梅花、大吴风草）道路可沿线圆形链接，既不影响走向又更加美观。中国人讲究外圆内方，讲的是内心端正外表要有和顺的态度，彼此才好相处，圆还表示自然，是环境优美贴近自然的意思，圆还寓意团圆。广场中的雕塑的外形可设计成火炬整体可是成向上发展的趋势，寓意人们的生活质量有不断发展和提高的意思。同时又像是火焰的形状，象征人们的生活红红火火、蒸蒸日上。主要颜色采用绿色，正是大自然的颜色，说明这是绿色的健康生活环境。又像是一颗急切向上生长的嫩芽代表人们的美好生活将由此开始。

设计可以主要以简洁规整式为主，材料选用生活废弃品回收利用，体现生态环保的设计理念。在颜色上以采用大自然的绿色，做到规整与自然式相结合。主体建筑周围的绿化突出安静、清洁的特点，形成具有良好环境的活动空间。其布局形式与建筑相协调。在雕塑的四周又加上小喷泉闲的恬静舒适。

结语：校园环境质量的好坏很大程度上取决于校园中的景观的建设，校园景观的设计要从师生的心理、行为需要出发，为师生提供一个优美得教学环境，同时要注重校园景观文化性的建设，体现校园的历史文脉与精神风貌，让校园具有丰富的文化内涵和鲜明的文化特色。同时，还要关注校园生态景观的建设，赋予校园“生命力”。

市级电大校园网升级改造的研究 篇4

关键词：校园网,升级改造,技术,方案

0 引言

肇庆电大从建网之初至今已有十五年多的时间,校园网已形成主干千兆,桌面百兆,终端用户600多人的规模,校园网现处于以硬件加软件集成阶段,主要运营在硬件与软件系统平台的建设及应用上。随着学校对信息的需求量加大,令基于校园网的升级改造也在不断地进行;因此,校园网持续发展、更新和扩容到了一定程度与规模,便暴露出了其在高可靠性、高稳定性、高安全性、易管理性等方面的很多问题。同时,随着师生们的认识、需求和实践深入,发现硬件加软件的校园信息化模式不能发挥出校园网的优势,更不能实现学校教育信息化所要求的对传统教学模式的改革和对全新教育模式的建构。因此,急需进行新的升级改造校园网,朝着数字化校园方向发展建设。

1 升级改造的目标

建立一个可扩展的、高速的、充分冗余的、基于标准的网络,网络必须支持融合了话音、视频、图像和数据的应用程序。升级改造的总体要求是,智能化、高性能、高可靠性、高稳定性、高安全性、易管理性的万兆骨干网络平台,网络要“无死角”覆盖校园。

具体的指标性,(1)可靠性与稳定性:立足技术先进性和开放性,要从系统结构、技术措施、设备性能、系统管理、供应商技术及保障能力等方面,确保网络平台系统运行最大的平均无故障时间。(2)实用性与经济性:面向应用,注重实效,实用经济。(3)安全性与保密性:在充分共享信息资源时,要实行信息的安全保护和隔离,采取相应的机制措施。具体技术是端口隔离、路由过滤、防DDo S攻击、防IP扫描、系统安全机制、多种数据访问权限控制等;保护机制有划分VLAN、IP/MAC地址绑定、ACL、路由过滤、802.1x认证机制、SSH加密连接等。(4)先进性与成熟性:采用先进的概念、技术和方法,应用相对成熟的结构、设备、工具;采用万兆以太网技术构建骨干网络平台,网络设备硬件都支持IPV6/IPV4双栈技术功能。(5)灵活性与可扩展性:执行模块化、层次化原则,具备很好的伸缩性,可灵活配置和扩展,具有持续创新功能。(6)易管理性:采用基于SNMP标准的可网管设备,全程网管降低费用,提高易用性、可管理性,同时有很好的可扩充性。(7)骨干网络链路冗余性:万兆模块连接双核心交换机,千兆链路为备份线路;启用路由冗余机制,保障可用性;提供负载平衡、快速收敛和扩展性。

2 升级改造的功能需求

校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,实现统一网络管理、统一软件资源系统,为师生提供高速接入网络;并实现网络远程开放教学、在线服务、教育资源共享等应用;利用现代信息网络技术从事管理、教学和科研等工作。功能需求为:(1)在校园骨干网络中,视频、音频、数据等多媒体应用信息交换传输,要保证应用服务高效运营,需要通过端到端的Qo S和智能到边缘的方式来保证。(2)要求网络设备的可扩展性,在复杂多样网络设备及系统应用环境下,能保证网络畅通无阻,预留足够发展的升级空间。(3)骨干网络满足大量用户和服务的并发应用状态,具有高效率的同时保证大数据量吞吐处理能力。(4)网络环境稳定可靠、高效畅通,网络应用与服务要保证7*24小时不间断的运行。(5)提供校园网的安全保障,解决校园网用户分布广、流动性大和随意接入使用的问题;对内网与外网不同应用系统之间实施安全访问控制。

3 升级改造的技术与方案

为了简化交换网络设计、提高交换网络的可扩展性,在校园网内部数据交换的部署是采用分层进行的。校园网数据交换设备划分为三个层次:访问层、分布层、核心层。传统数据交换发生在OSI模型的第2层,现代交换技术实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率,更大大增强了校园网数据交换服务质量,满足不同类型网络应用程序的需要。

3.1 路由、交换与远程访问技术

作为一个完整校园网升级改造的实现,路由、交换与远程访问技术缺一不可。

⑴路由技术:路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本校园网中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

⑵交换技术:现代交换网络应用了虚拟局域网(Virtual LAN,VLAN)的功能;访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越校园网骨干的高速数据交换。在本校园网升级改造中,就采用这三层进行分开设计、配置。

⑶远程访问技术:远程访问也是校园网络必须提供的服务之一。它可以为家庭办公用户和出差在外的师生提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。在本校园网升级改造中,分别采用专线连接到因特网和电路交换到校园网两种方式实现远程访问需求。

3.2 升级改造方案

为了实现网络设备的统一,本校园网升级改造中完全采用同一厂商的网络产品,全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。要分别对访问层、分布层、核心层实施新的升级改造,同时对校园网络的管理系统、认证计费系统和统一信息门户系统等进行了规划。

⑴核心层:必须保证提供高性能、无阻塞的全线速的数据高速交换,同时必须保证稳定可靠的运行。对核心交换机的要求,高密度端口的线速转发,高密度的万兆端口,关键模块的冗余功能,硬件支持IPV6。据此,安装配备两台万兆核心路由交换机,升级建成一个双核心的网络结构。在双核心骨干节点上,启用万兆以太网环路保护技术,形成环型网络的核心具备了冗余、负载均衡、热交换性能等特性。核心层将各分布层交换机互连起来进行穿越校园网骨干的高速数据交换。

⑵分布层:必须保证校园网内部大量数据的高速转发,同时要高可靠性和稳定性。分布层交换机更换为万兆交换机,全模块化、高密度端口、按需灵活配置,通过双万兆链路分别上联校园网核心层的主从核心交换机而构成了主线路和备份线路,快捷构建弹性可扩展的网络。分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。

⑶访问层:接入交换机全部替换为全线速可堆叠的安全智能交换机,实施个性化的灵活多样的安全控制策略,有效地防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证了合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。

⑷校园网外接出口:校园网外联接2条光纤物理链路(100M+100M),出口设备采用1台高端千兆防火墙,保证全校用户的NAT地址转换和出口安全实施的高效性。对外服务器置于千兆防火墙之后,受防火墙的安全保护。在出口以旁路方式新安装IDS系统,对网络进行动态实时监控,发现异常网络行为,通过与相应的网络安全策略平台和交换机联动,自动隔离发起异常网络行为的主机,实现自动防御异常网络行为。

⑸应用VLAN技术:路由模式的校园网是指网络中的交换机全部应用于三层,从核心、汇集到接入交换机全部通过静态路由相连。通过在骨干网络划分VLAN,以不同的使用群体作为VLAN范围划分,方便管理和易于实施。接入交换机上划分若干个VLAN,可以把每个用户划分到一个VLAN里。三层结构的校园网,避免了二层广播的安全威胁,主机之间的通信,全部通过三层路由;对于那些基于ARP协议和局域网广播设计的蠕虫病毒也不能传播;由于是三层结构,便于实施QOS、流量控制等安全措施,网络结构相对安全。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。

⑹IP地址与路由配置:出口路由器互联采用公网IP地址,对外公共服务器采用公网IP地址,接入用户采用私有保留IP地址相连;采用OSPF路由协议进行网络路由规划配置。

⑺智能化网络管理:采用网络管理平台提供整个网络的拓扑结构,对以太网络中的任何通用IP设备、SNMP管理型设备进行管理,通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。

⑻网络安全及防杀病毒:接入安全,接入交换机采用支持802.1X用户入网认证,核心技术采用802.1X+Radius协议构成;整个认证计费系统由安全交换机,为最终用户提供认证、计费和管理等功能,通过与接入设备配合使用,在交换机上开启802.1X功能,实现对所有用户进行认证和计费。访问安全,多业务万兆核心路由交换机支持802.1Q VLAN,使用VLAN划分隔离用户访问,同时支持VLAN隧道技术。并且万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒的传播和危害。进行全方位网络防杀病毒,以网络为本,多层防御,一定要在服务器层级上防杀病毒,制定严格的安全管理规范和应急人员配备。

⑼建设无线校园网络:建立以有线网络为基础的校园无线网络,实现有线无线一体化的校园网,支持IPV6/IPV4无线双栈协议的校园网络。在不改变原有网络内部主体结构的基础上,做到在网络互联、认证管理、安全防御等方面与有线网络形成良好的兼容与互补,实现全校有线和无线网络统一管理。采用一体化移动校园网络解决方案,充分考虑与现有网络融合,一体化网络硬件设计、一体化网络管理、一体化安全,进行无线网络部署、实施和管理维护。建立统一身份认证系统,学生和教职工使用一个账号进入所有的校园网站和系统,网站系统管理开启一个信息融合的入口。

4 结束语

成功的数字化校园网络升级改造,是围绕着学校的教学、管理、科研服务,是使学校的人力、物力和知识信息资源得以优化整合和充分共享利用,是提高工作水平和提高核心竞争力的手段。

参考文献

[1]舒孝春.校园网升级改造的设计与实现[J].数字技术与应用.2011年07期.

[2]唐灯平.职业技术学院校园网建设的研究[J].网络安全技术与应用,2009(04).

[3]任戎.浅谈高校数字校园建设[J].网络安全技术与应用,2009(05).

校园网改造升级方案 篇5

近两年, 三家固网运营商都在大力推进基于PON技术的宽带接入。基于光纤的无限带宽, 使得xPON可以实现真正意义的全业务接入。在整体建设及运维成本逐渐下降的情况下, 充分利用既有资源, 将光纤延伸至学生宿舍楼内, 彻底解决校园宽带接入网的“瓶颈”问题, 更好地为师生提供高带宽的接入能力。

目前, 普通高校的校园网从物理和逻辑上将教学区和宿舍区分离, 以保证教学区的稳定、安全并在必要时能对流量和内容可管、可控。相比之下, 由于宿舍区的忙时时段较为集中且并发率高, 宽带接入能力普遍存在瓶颈, 该文将重点探讨宿舍区有线接入网的改造方案。

1 现状分析

1.1 现网结构

校园校园宿舍区有线宽带接入方式主要是基于P2P技术的FTTB+LAN。在这种接入方式下, 运营商根据五类线布放情况在宿舍楼或楼层内设置二层交换机, 二层交换机通过光纤汇聚至校园网汇聚交换机, 经校园网出口汇聚交换机和核心交换机, 接入校园网和运营商公网。

另一种比较常见的接入方式是ADSL, 这种方式一般在多所高校共用的学生公寓内采用, 宿舍区的网络与校园网在物理上是相互独立的, 学生上网方式类似于普通的公众用户。

1.2 存在的问题

采用P2P技术的FTTB+LAN方式接入的校园网汇聚交换机一般使用华为3552设备, 其百兆上行能力易出现瓶颈, 且大部分宿舍的楼内布线采用金属桥架、PVC线槽穿放五类线, 部分线槽由于五类线的重压已发生破损或暴露, 存在通信安全隐患;采用ADSL方式接入的, 受到铜缆长度及老化等因素的影响, 带宽普遍为512K至2M。

综上, 宿舍区现有宽带接入方式, 由于技术上的局限性决定了其带宽能力在并发率高的情况下难以超过10M, 无法满足远期的高带宽业务需求。

2 需求分析

随着社会信息化的高速发展, 学校对于各类高带宽业务的需求日趋强烈。目前, 主要的业务包括视频通信、视频点播、远程教育、上网业务、网络游戏等。今后, 还可能在校园内进一步开展SDTV、HDTV等标清、高清视频业务。针对这些业务, 接入带宽预测模型如表1。

3 改造方案

3.1 改造总体思路

校园宿舍区的改造应以业务为导向, 满足语音、数据、视频业务发展, 遵循“业务持续性、技术演进性、建设规范化”的总体思路, 确保宿舍区业务可持续发展、且适应光网及下一代互联网技术演进趋势。

鉴于以上原则, 结合高校宿舍区业务的特点和技术发展趋势, 推荐采用基于PON技术的接入方式进行改造, 提供更高的接入带宽, 且能同时满足语音、上网、视频等融合业务的需求, 保障更稳定的业务质量, 并提供更为便捷高效的维护管理功能, 便于今后扩展升级。

3.2 接入方式的选择

基于PON技术对校园网宿舍区宽带提速改造的接入方式主要有FTTH和FTTB+LAN两种方式。具体实现方式和优缺点如下 (每宿舍默认为4人, 下同) :

FTTH方式:

自中心机房敷设光纤至每个宿舍, 并在适当的节点设置光分路器, 建设点对多点的全光纤的接入网, 并配置SFU型ONU, 通过ODN上联至中心机房的OLT。

优点:1) 自OLT至用户端为全光网, 上下行速率高, 抗干扰能力强, 随着PON技术的演进, 接入带宽具备较大的升速空间, 网络可扩展性强, 是接入网最终的发展目标。2) 机房至学生宿舍之间的物理链路全程无源, 网络维护成本低, 可管理性强。

缺点:1) 网络建设成本较高, 宿舍楼内基本没有可利用的线缆资源, 需要重新布放入户线缆, 工程建设量大, 施工难度高。2) 由于学生宿舍夜间熄灯, 设置在寝室内的SFU在夜间不能正常工作, 如用户提出24小时提供语音业务的需求, 则不能用PON系统承载语音业务。

FTTB+LAN方式:

利用已有的光缆及五类线, 以MDU型ONU设备替换原二层交换机, 以光分路器代替原汇聚交换机实现MDU设备的汇聚, 每个光分路器以单芯光纤上联至中心机房OLT。为保证每个学生都有独立的上网端口, 对于只有1根五类线接入一个宿舍的情况, 可在配置一个多端口的小交换机提供接入。

优点:1) 可以充分利用宿舍楼内已有的五类线以及机房至宿舍楼的光缆, 在不需配置多端口小交换机的前提下, 工程的建设成本较低。2) MDU设备持续供电, 可用PON系统承载语音业务, 可以拆除原有的铜缆及入户双绞线, 真正实现“光进铜退”。

缺点:1) 接入网最后几十米为五类线, 因宿舍楼内布放较为密集, 串扰问题难以避免。2) 一些建设年代较早的宿舍楼内部的水平线槽变形、破损, 五类线暴露在外, 网络存在安全隐患。3) 由于要利用原有五类线, 而在建设期间校园网不能中断, 故存在网络割接的问题。

综上, 适合采用FTTH接入方式改造场景为:

原宽带接入方式为ADSL的宿舍区;

原宽带接入方式为FTTB (P2P) +LAN, 且网络使用年限较长或五类线质量欠佳的宿舍区;

适合采用FTTB (PON) +LAN接入方式改造场景为:

原宽带接入方式为FTTB (P2P) +LAN, 网络使用年限较短, 尤其是宿舍内五类线数量与端口需求量为1:1配置的宿舍区;

原宽带接入方式为FTTB (P2P) +LAN, 且宿舍楼内水平布线相当困难的宿舍区。

3.3 技术方案

3.3.1 组网模式

当前大学校园比较集中, 可考虑建设高校宿舍区专用的OLT, 建议OLT设备设置在校园内的通信机房, 初期采用OLT通过双GE上联运营商的汇聚交换机 (有条件的可选用双光纤路由方式) , 再上联至BRAS和SR。今后可根据业务流量需求逐步增加GE上联口或更换为10GE上联口。由于1台ONU设备需提供多学生接入, 综合考虑带宽需求及投资成本, 建议每台OLT的PON口数量不超过32个。

在FTTH的接入方式下, SFU设备配置所有用户侧的FE端口为VLAN透传模式, 由OLT添加CVLAN/SVLAN, CVALN标识用户, SVLAN标识业务, 4个上网FE端口通道缺省绑定1个上网VLAN, 最多提供4个账号同时接入使用。对于IPTV组播业务, 宜将OLT设置为组播复制点。

FTTB (PON) +LAN的接入方式分以下两个模式:

(1) MDU通过4根网线进入一个宿舍 (4人宿舍) , 宿舍中每人拥有一个有线端口, 4个MDU口分别属于4个不同的VLAN (每用户1个VLAN) 。

(2) SFU通过1根网线进入一个宿舍 (4人宿舍) , 宿舍中每个人在通过一个4口的小交换机提供接入, 每个MDU口属于1个VLAN (每宿舍1个VLAN) 。

3.3.2 带宽测算

3.3.2.1 系统内带宽测算

考虑安全冗余, 高清、标清IPTV业务所需带宽分别取12M/路、3M/路。PON系统内带宽测试公式如下:

其中:

业务用户数:PON系统内带宽规划时对应该PON口的所有用户。

业务并发比:可根据不同地区、不同客户群的实际情况进行设定, 一般情况上网业务取30%~50%, 考虑到宿舍区的特殊性, 应可取70%。

根据校园网的业务带宽特点, PON下行带宽需求预测如表2:

由此, EPON系统远期接入用户数量计算如下:

设n为单个PON口接入的宽带用户数

直播带宽:300M+240M=540M

点播带宽 (高清、标清各占50%) :n*30%* (12M*50%+3M*50%)

高速上网:n*70%*16M

IP语音:n*200k

则, 540M+n*30%* (12M*50%+3M*50%) +n*33%*16M+n*200k≤1000M

得n≤33

同样, GPON系统下可得n≤140

3.3.2. 2 OLT上联带宽测算

1) 组播复制点在OLT时, OLT上联带宽测算公式如下:

2) 组播复制点在BRAS/SR时, OLT上联带宽测试公式如下:

实际工程建设中, 考虑到用户数量及业务量逐渐递增的特点, 初期可根据业务渗透率配置双GE上联, 当网管监测到OLT上联峰值流量达到70%后实施扩容。

3.3.3 ODN建设思路

1) 主干光缆的拓扑结构及配纤方式

主干光缆的拓扑结构有总线形、环形和树形三种。鉴于前两种方式的综合造价高, 且学生宿舍对上网安全性要求与普通公众客户等同, 不有特别高的网络安全需要, 故校园网主干光缆拓扑结构宜为树形。

主干光缆网的配纤有两种:直接配纤方式, 即主干分支-楼内机房接头盒-楼层分纤箱;交接配纤方式, 即主干分支-光缆交接箱-楼层分纤箱。采用交接配纤方式时, 需要落实光缆交接箱的位置, 增加了施工协调难度, 且每芯主干与配缆之间增加了一次跳接, 故增加了一个活动连接器及一个熔接衰耗。因此, 对于校园网这样的配纤范围和用户需求都十分明确的区域, 主干光缆宜采用直接配纤方式。

2) 系统分光方式及分光比的选择

根据系统内带宽测算所得的最大接入用户数, 可得

在FTTH接入方式下, 考虑到宿舍区用户较为集中, 应选用一级分光方式;在用户密度较低或PON系统的总分光比较大的情况下, 也可采用二级分光方式。EPON系统的最大分光比不应超过1:32, GPON系统的最大分光比不应超过1:128。

在FTTB (PON) +LAN的接入方式下, 应统一采用一级分光方式。考虑到校园宿舍区内并发率高, 且每台ONU需提供多端口接入, 建议EPON系统的最大分光比不宜超过1:8, GPON系统的最大分光比不宜超过1:32。

3) 光分路器/箱的设置

在FTTH接入方式下, 考虑学生宿舍用户数量明确的特点, 同时兼顾提高网络的安全性和降低工程造价, 末级光分路器/箱的设置应尽量靠近最终用户, 如楼道内;当采用二级分光时, 第二级光分路器设置原则同一级分光方式, 第一级光分路器宜设置在每幢建筑的光缆汇聚点。

在FTTB (PON) +LAN接入方式下, 光分路器应设置在原汇聚交换机处。

3.3.4 PON系统传输距离测算

基于PON技术的FTTX网络必须通过衰耗核算的方式来确定其有效的传输距离。PON设备采用不同的光模块, 可支持不同的ODN等级。目前, 主流的EPON光模块为1000BASE-PX20+, 扣除光通道代价, PON系统最大通道插损为28dB, 支持最高光分路比为1:64。GPON的光模块主要有:Class B+和Class C+, 扣除光通道代价后, PON系统最大通道插损分别为28dB和32dB, 支持最高光分路比分别为1:64和1:128。

测算PON系统传输距离时, 应遵循最坏值原则, 光纤线路衰减系数取1310nm光纤带0.4dB/km;活动连接头取0.5 d B/个;当G.652D光纤与模场直径不匹配的G.657B光纤连接时, 应另取0.2d B/连接点的附加损耗;线路维护余量取值如表3:

在不考虑附加损耗的情况下, 宿舍区PON系统典型ODN组网方式的传输距离如表4所示:

根据组网方案, OLT一般是设置在校园内的通信机房, 通常可以满足校园宿舍区典型ODN组网方案对PON系统传输距离的要求。如实际工程中遇到ODN全程光衰耗测算值大于PON系统最大通道插损值时, 可采用减少活动连接头 (使用免跳纤配纤设备) 、降低分光比等手段来获取更长的传输距离。

4 结束语

高校学生群体对于宽带上网的需求量极大, 长期以来都是运营商争夺十分激烈的优质客户。校园网宿舍区带宽的提升即有利于提升运营商的服务质量, 更能提升企业在年轻消费群体中的形象。

参考文献

[1]杨炼, 王悦, 杨海燕等.三网融合的关键技术及建设方案[M].北京:人民邮电出版社, 2010.

[2]中国电信集团公司.中国电信基于PON的光纤接入工程设计规范[S], 2010.

校园网改造与设计 篇6

随着高校信息化建设的不断深入, 高校校园网规模也随之不断扩大, 同时, 校园网中大量的多媒体教学、视频和教学资源的应用, 使网络的流量不断增加, 对网络性能指标要求也越来越高。校园网是高校信息化建设的重要基础设施, 在规划和建设阶段, 根据网络实际需求, 结合网络主流技术和发展方向设计一个高效合理的校园网, 不断提高网络的可控可管和安全高效。

某职业学院校园网建成至今, 经过几次大的扩容改造, 基本能完成日常办公和教学的需求, 但从运行情况和数据分析, 存在网络层次非扁平化、核心节点单一化、网络出口有瓶颈、缺乏统一管理平台、网络性能指标无法获取等多重问题。本文就结合某职业学院校园网现状及存在的问题提出合理的改造方案

2 网络现状

某职业学院校园网是按照三层架构模型建立的。核心交换是一台华为6509交换机、路由器为华为AR3系列, 鉴权计费和流控设备是一台城市热点服务器、接入层交换机主要是华为2000系列, 同时部分交换机做小区汇聚。核心交换主要完成各IP子网和VLAN间数据的交换, 同时负责把各VLAN数据路由到下一跳到路由器, 城市热点串接在核心交换和路由器中间, 完成鉴权后做数据的透明传输, 路由器完成小区子网的NAT后, 通过动态地址转化到7个公网IP地址访问互联网。其中核心交换到路由器链路带宽1GE, 核心到接入层交换为100M, 路由器出口为电信100M。

2.1 现网存在的突出问题

⑴网络可靠性差。从网络拓扑现状分析, 核心交换存在单节点故障隐患, 核心主控存在单板卡故障隐患。华为65系列交换机是卡槽式的, 其中某板卡吊死或是系统主控宕机都会造成网络全阻。各接入层交换机存在单链路故障隐患。

⑵网络安全性差。从不定期对VLAN子网IP数据报抓包分析, 网络中有大量不定源的ARP报文, 占网络总数据包60-70%。对网络存在严重威胁。同时, 网络中无其他专用防病毒软件, 病毒防范措施水平低。

⑶网络管理性差。校园网虽然在用一套网管软件, 但由于网络中接入层交换机种类繁多, 无法设置统一的管理标示, 大部分交换机处于脱管状态。网管软件管理能力不强, 对一些重要的网络运行数据无统计分析, 只能凭远程登录设备查看。同时, 随着网络中p2p流量的越来越多, 急待部署一套统一网管软件对全网做到可控可管。

2.2 改造方案设计

鉴于上述突出问题的分析, 现提出如下设计方案。增加核心交换一台 (如华为6509) , 启动VRRP协议做双机热备。核心间2GE互联, 启动MSTP协议, 防止VLAN环路。接入层楼宇和教学机构交换机整合各接入层交换机, 按照双链路形式分别挂接到两台核心交换机, 路由出口带宽扩充到300M或是增加一条到其他运营商电路。

⑴核心交换VRRP改造。按照本次网络规划, 两台核心交换作为全网路由节点, 负责所有IP子网之间及局域网和广域网之间的路由转发, 为保证IP路由的不间断, 两台核心交换机之间配置VRRP协议, 形成冗余备份和负载分担工作模式。任何一台出现故障都不会影响整个网络的IP路由转发, 保证网络的可靠性。原则是:把不同的VLAN的VRRP Masterr分别归属到核心交换机1或2上。做到有效的负载均衡。

主要配置实例:

核心switch1:

核心交换机2优先级倒换即可。

⑵出口路由器负载分担和负载均衡改造。增加一台路由器负责接入到其他公网链路。本次由于路由器有冗余接口, 采用增加一条到其他运行商链路, 同时增加带宽到300M。在路由器中增加如下配置区分和负载分担数据流。

主要配置举例[7]:

2.3 接入层交换改造

在核心交换机和接入交换机上开启生成树协议, 主、备核心交换机各接一条中继链路到接入交换机, 一条线路处于工作状态传输数据, 另一条负责监听和准备切换, 防止交换机自环发生。

用户层交换机重要配置举例[9]:

2.4 网络可控可管改造.

由前面分析可知网络部分交换机失控, 采集数据不完善。本次改造尽可能采购匹配程度高可靠性好的统一的网络管理软件。或是根据实际研发一套基于snmp的网络管理系统, 虽然可以做到可管, 但部分数据还是无法采集, 鉴于网络长期规划考虑, 逐步更换为统一型号设备, 方便管理系统的上线服务。

3 结束语

目前, 校园网是高校信息化建设的基础, 是提高教学、管理水平不可或缺的支持环境。同时也是衡量学校教学管理水平的重要方面。校园网在不断的改造和扩容当中网络性能不断提高, 网络健壮性和安全性不断上升。同时也发挥了网络在教育教学工作和管理工作中的高效能力。

摘要：本文通过对某高职院校校园网网络现状和运行数据的调查分析, 对校园网存在的突出问题提出具体的改进办法, 对网络重要部位提出设计和改造方案。网络改造后, 进一步增强了网络的安全性、可控性和健壮性, 为后续网络平滑升级改造奠定基础。

关键词：校园网,核心交换,VRRP,改造

参考文献

[1]顾晓东.校园网改造方案设计与实现.大连.大连海事大学硕士学位论文, 2008.

[2]李磊.重庆市科技学院校园网安全系统设计与实现.重庆.西南交通大学研究生学位论文, 2008.

[3]陶宏才, 潘启敬.对我国高校校园网建设的看法与建议.计算机应用, 2006.

校园网改造升级方案 篇7

关键词：VPN技术,校园网,负载均衡,网络安全

1概述

学校校园网基础设施滞后,严重制约了数字化校园网络的发展,学校信息点数量从2009年的2000多个增长到2015年4000多,另外对于教学场地要求的不断提高,需要进一步整合教学实训场所,把学院老校区和实习工厂接入校园网,提高教学实习实训的管理效率。目前学校校园网拓扑结构如图1所示。

2主要问题

校园主要问题表现为:1)在中、晚高峰期,打开网页和看视频比较卡,网络延时大大增加,甚至出现丢包较多的现象。 2)学校北院和实习工厂未联入校园网,学生在这两地实习实训时不能充分利用学校内网的教学资源,也难以和本部实现教学互动。3)校园内人员流动性大且身份复杂,安全问题日益严重,北院、实习工厂与主校区三地之间有一定距离,无法铺设专线来实现园区视频监控联动,不便于校园安全管理。4)校外使用校内服务器资源越来越平凡,特别是部分师生在校外顶岗实习和假期师生在家里。5)学校WEB、FTP服务器、图书馆数据等服务器在访问高峰期,响应速度慢。

3设计与部署

3.1改造思路

1)优化策略强化管理内网,针对连接数等其他网络参数进行限制,减轻出口设备的压力;2)出口设备硬件更换,原设备已经远不能满足现在的需求,选择技术更新的出口设备来彻底解决瓶颈问题;3)增加缓存设备将网络热门数据抓取到本地,实现直接从本地访问,缓解出口压力;4)利用新增出口设备的VPN功能,建立起新老校区和实习工厂的联系平台,实现校园服务如一卡通、园区安全监控等功能整合在一起,保证信息的安全可靠传输。5)增添新服务器,通过网络负载均衡(NLB)技术,用集群代替单一服务器,解决FTP、WEB和数字图书馆的访问瓶颈问题。

3.2部署方案

针对当前校园网主要问题,将天融信NGFW4000-UF防火墙替换成锐捷RG-EG2000G易网关设备,解决出口瓶颈问题; 同时在核心交换上挂载一台缓存设备(锐捷Power Cache X5E),

内网用户可以直接从该设备访问热点资源,网络出口压力得到缓解;另外在核心交换机与服务器区之间部署原天融信防火墙,增强内网安全防护;还有就是增加出口带宽,把原有租用的ISP电信100M线路升级到500M,并继续保留原有ISP移动300M线路,实行教区、居民区、办公区、宿舍区等分区分出口联网;最后在老校区和实习工厂部署价格更加实惠的锐捷RG-EG2000T易网关设备,通过VPN功能实现三地安全互联。具体部署见图2。

3.3主要特点

1)出口网关锐捷RG-EG2000G,该设备可达到2Gb带宽的性能,最大可能实现120W个回话,足以解决目前设备的性能瓶颈并且能够适应未来,配合高性能的MIPS多核硬件体系构架, 拥有业务加速通道、精确流控、上网行文管理、可视化VPN、智能选路、防火墙、高性能的NAT、Web认证等多个功能,其中IP-Sec VPN最大隧道数可达到500个。RG-EG2000T在功能上与RG-EG2000G类似,只是更适合小规模的环境,所以布置在老校区和是实习工厂作为出口网关,做到了有效的优化用户网络,规范上网行为,实现多地高效安全互联。2)新增的Power-Cache X5E缓存设备能够针对流媒体、HTTP下载及P2P下载数据进行优化。无论外网链路状况如何,当内网PC或智能终端用户访问热点资源时,将直接从本地Power Cache读取。百兆应用10秒下载完成,它能够自动判断本网络中的热点资源,实现热点资源本地化读取,不仅为用户提供了如同内网般的极速体验,还能因为削减重复数据流,节省了大量的出口带宽资源。 3)原来的网络结构中,服务器直接接入核心交换机,而对于内网用户,服务器几乎是透明的,因此如果内网用户针对服务器发起攻击,将难以抵御,本次改造将原有的NGFW4000-UF防火墙部署在核心交换机与服务器之间,可对服务器进行有效的防护,解决内网对服务器的攻击问题,不全安全短板。

3.4应用服务器结构优化

通过对FTP/web/数字图书馆数据库等应用服务器系统的应用日志分析及调查用户使用情况了解到,各服务器的运行情况并不尽如人意,部分系统经常出现响应慢而部分服务器利用率非常低,所以需对服务器进行增补和整合,在保证各系统正常运行的基础上,实现硬件系统的充分利用。1)根据当前各服务器的访问需求,在充分利用原服务器的前提下购买新服务器并部署到相应位置,而此大大降低了硬件升级费用。2)优化服务器结构,解决单个服务器某一时间段内访问量大,其他服务器访问量小造成不必要的资源浪费。负载均衡技术的出现,恰好为解决这些问题提供了一种较好的方案。

网络负载均衡(NLB) 技术的优点在于:NLB是操作系统自身提供的系统服务,可在运行Windows 2003/2008的普通计算机上实现;NLB允许你将传入的请求传播到最多达32台的服务器上共同分担对外的网络请求服务,可以保证即使是在负载很重的情况下它们也能作出快速响应;NLB对外只须提供一个IP地址(或域名);如果群集中的一台或几台服务器不可用时,服务不会中断;NLB自动检测到服务器不可用时,能够迅速在剩余的服务器中重新指派客户机通讯。学院主要应用服务器构成:WEB服务(器惠普(HP)ML350E Gen8塔式服务器)1台; FTP服务器(联想Think Server TS240 S4130 4/1TG塔式服务器)2台;数字图书馆数据库服务器(联想Think Server RS240S1225V3 4/1T机架式服务器)1台。

WEB服务器在原一台服务器的基础上新增一台同型号服务器(惠普(HP)ML350E Gen8塔式服务器C3Q10A),内网地址分别为172.16.100.2和172.16.100.3,集群地址为172.16.100.1, 集群地址与外网地址做好映射关系,实现外网访问;FTP服务器利用原有两台(联想Think Server TS240S4130 4/1TG塔式服务器)实现均衡负载,内网地址分别为172.16.80.100和172.16.80.84,集群地址为172.16.80.80,校内用户直接访问集群地址;数字图书馆数据库服务器在原一台基础上新增一台同型号服务器(联想Think Server RS240 S1225V3 4/1T),实现均衡负载,校内用户直接访问集群地址。

4结束语

要建成高效、安全的校园网就必须从学校的客观情况出发,针对网速慢卡、网络功能单一、跨地域安全访问难等问题做出合理的规划设计。改造过程中,制定学校的中长期发展规划,在不大改的前提下充分利用校园网现有资源,做到最小投入最高产出。校园网的升级改造,使得网上教学资源及应用系统得到充分使用,发挥了网络无地理限制、资源共享简单、信息传播快等优势,真正把现代化管理融入到办公管理当中,也把先进的教育技术引入了日常教学。高校校园网升级改造有一定的共性,该方案也为其他学校的网络升级改造提供了依据。

参考文献

[1]尧荣恒.云安全在数字化校园中的体系构建[J].无线互联科技,2015(8):87-89

[2]李丽新.校园网安全与对策[J].中国教育信息化,2007(11):24-25

[3]杨文凯.基于SSL VPN的网络安全系统的研究与应用[J].计算机安全,2010(6):69-70

[4]唐如鸿.SSL VPN与IPSec VPN技术比较[J].计算机安全,2004(8):75-76

校园网改造升级方案 篇8

关键词：校园网,改造,网络安全

1 引言

伴随着网络技术的高速发展, 信息网络技术应用的日益普及和深入,一个安全、可靠、高速的校园信息网络对于中职院校尤显重要。 学生需要掌握各类知识,以满足用人单位的的需求,教师需要各种新颖的教学方法,以提升学生对知识的学习速度, 很多教学方法要利用网络技术才可以实现。 所以沈阳市中医药学校于2013 年对原有的校园网络进行了改造。 改造后的网络对内可以实现校园内部的资源共享,内网用户有效快速的沟通;对外可发布学校的网站,并实现了对学生的一卡通服务,大大提高了广大师生的办公、学习效率。 本次重新改造在原有布线的基础上,对网络结构、功能都做了大幅度的提升。网络采用典型的三层结构:核心层、汇聚层、接入层,使整个网络系统实现较高的利用率和可靠性,保证网络的容错能力、出错后能够快速排查修复,让校园网络内外稳定,安全畅通。

2 校园网的改造设计原则

校园网必须具备管理、教学、通讯等功能。学生可以方便浏览和查询各种资源,包括成绩信息、学籍信息、各种复习资料;老师可以通过该网络进行科研、教学工作;行政管理人员可方便地对资产、财务、学生学籍、教学事物等进行管理,同时可以实现软硬件资源的共享。

3 基本网络的补充搭建

由于原网络不能满足较大批量数据流量的数据交换,稳定性也不强,改造后的校园网采用一套方案。 网络拓扑结构选择:改造后的校园网采用星型拓扑结构。 这是目前最为普遍使用的局域网拓扑结构。 它的节点具有高度的独立性,适合在中心位置放置网络诊断设备。

组网技术选择: 目前常用主干网的组网技术有多种形式。 快速以太网是一种非常成熟的组网技术,并且它的造价很低,性能价格比很高。 千兆以太网也已成为一种成熟的组网技术,并且造价低。 因此,我们采用千兆以太网为骨干,快速以太网到桌面的组建方式架构校园网络。

网络设备的选择: 主要考虑网间互联技术与产品供应商能否为客户提供可靠、 先进、 安全并易于管理的产品。 我们原来校园采用的是路由器加上二层以太网交换机的网络架构模式,各个部门的访问控制不流畅,数据转发效率低。目前所选用的是三层交换机。局域网与外部互联之间要实现跨地域的网络访问时,通过专业路由器。

三层交换机具有较高的可扩充性,三层交换机在连接多个子网时,子网只是与第三层交换模块建立逻辑连接,不像传统外接路由器那样需要增加端口,从而保护了用户对校园网投资,并满足学校3~5年网络应用的需要。三层交换机可以限制用户访问特定的IP地址,这样学校就可以禁止学生访问不健康的网站,防止校园网外部的非法用户访问校园网内部的网络资源,从而提高网络的安全。

4 网络安全需求设定

由于校园网络接入Internet, 需用防火墙来防止网络黑客与其他人员非法入侵校园网系统,还需要过滤不良信息,并对接入Internet的用户进行权限控制。 具体权限控制:(1)内部服务器做防Ping处理;(2)用户可通过有线或无线网络访问校内部服务器;(3) 除财务以外的所有部门均可访问。 除财务部外均可访问外网;(4)不同用户设置不同的权限;(5) 外网用户禁止访问内部网络DHCP服务器和DNS服务器。

5 网络安全设计方案

目前主要的安全威胁主要来源两大方面:一是内部网络;二是外部网络。 主要的安全威胁类型有冒充合法用户、非授权访问、破坏数据完整性、软件漏洞、破坏系统的正常运行、破坏网络的可用性。

5.1 访问控制

允许内网访问Internet,禁止从公网到内部区的访问请求。我们决定使用VLAN技术和计算机网络物理隔离来实现。根据端口来划分VLAN的方式是最常用的一种方式。三层交换机由于引入了一些其他机制和技术,使得数据转发率特别高。三层交换机可完成二层交换机的交换功能,其最根本的特点是实现VLAN间的互通。同一网络上的计算机如果过多,就可能因为网络上大量的广播而导致网络传输效率低下,交换机上的若干个端口可以组成同一个虚拟网。它们各自的广播流也不会相互转发,助于控制流量及提高网络的安全性。

5.2 防火墙

防火墙是一种高级访问控制设备,设置在不同的网络安全域间的一系列组件组合。它是不同网络安全域间信息流的通道。防火墙自身应具有非常强的抗攻击能力。校园网中使用防火墙技术可以阻挡外部不安全因素影响到内部网络,其目的就是防止外部网络用户未经授权的访问,而保护校园网免受非法用户的侵入。进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知。因为国内防火墙厂商对国内用户更加了解,价格上也更具有很大的优势。通过综合考虑,我们选择的是华为的企业级防火墙产品。

5.3 查杀恶意软件技术

杀毒软件是普通计算机用户最为普遍的安全技术方案。 目前对计算机安全有威胁的恶意软件很多,概括起来有几大类:病毒程序、木马程序、盗号木马、广告软件、后门程序、可疑程序。 这些恶意软件种类对计算机用户及网络的安全运行有极大的危害性,所以为每台计算机选择一款合适的查杀软件是极其必要的。 目前但脚本型恶意软件愈加泛滥。 一款好的查杀工具可以提高杀毒速度并且预防未知病毒。 因此选择的查杀软件应具有几个特征:(1) 完善的引擎技术;(2) 优秀的病毒扫描及修复能力;(3) 全面的主动防御技术;(4) 全面的病毒特征码库;(5) 不影响系统的速度和性能。

5.4 文件加密和数字签名技术

我国除了从法律上管理上加强数据的安全保护外,从技术方面也采取相应措施,推动着数据加密技术和防范技术的不断发展。加密的目的是证明用户身份,防止别人窃取计算机或网络上的文件。数字签名主要是为了证明发件人身份,签名是采取数字方式,可以防止别人仿签,通过加密后的签名就能难以识别,防止被人进行伪造。

校园网络改造与实现 篇9

关键词：网络,升级,教学质量

当今世界，科技的日新月异，使得信息技术无论在何时何处都变得不可或缺，在竞争激烈、环境多变时，信息技术的应用已成为企业策略规划中极其重要的部分。信息技术的应用成为企业创造长期稳定竞争优势的利器。美国前总统克林顿曾公开宣称：“今后的时代，控制世界的力量不是军事力量，而是信息能力走在世界前列的国家”。随着教育改革的全面推进，教育现代化变得日趋重要，现代教育方式融进了信息化和网络化的特色。在这伟大的进程当中，校园网无疑扮演着非常重要的角色。

校园网是学校教育信息化的基础设施，也是校园信息化的第一阶段。校园网建设是一项复杂的、技术含量较高的系统工程，所以校园网络建设的主体不是网络硬件本身，而是建立在硬件之上，为广大教职工、科研人员和学生提供教学、管理、科研和学习服务的全方位信息平台。它覆盖全校主要楼宇及公共设施，真正实现数字化图书馆、数字化教学、数字化管理和数字化服务，是易用、好用、功能强大的数字校园综合信息平台因此，信息高速公路做为学习和科研的基础设施，它的建造尤为重要。

1 实施要求

1)高性能：多媒体交互教学，以及VOD等媒体流应用对网络的性能要求是很高的。因此要求构建校园网络的组网技术必须是高带宽的组网技术;骨干交换设备必须支持线速交换，以保证无阻塞的数据交流。

2)关键业务服务质量保证：校园网中有各种各样的应用业务数据流，当网络流量处于高峰期时，必定会影响影响关键业务数据流的响应时间，对于多媒体业务来说就会有说话结巴、图像马赛克的情况。因此高性能的网络，也还是需要QOS服务质量保证的[1]。

3)信息点可控性：校园网的信息点分布很广，与一般企业网比较，校园网用户的流动性大，比较难管理，为了保证网络资料的有效利用，对信息点的可控性要求是必须的。为了不影响网路性能，应该在接入层设备分布式实现信息点的控制。

4)先进性：先进意味着不容易落后，在将来网络的扩展和改造中，能够充分地保护现有的设备和技术投资。所选的设备必须具有很好的扩展性，当网络规模或带宽需要扩展时，能够以最小的代价满足新的需求。

5)安全性：校园网网络平台的安全，除了要保障网络平台的安全性，还需要在一定程度上保障应用业务系统和其它网络资源的安全。网络平台应该从几个方面保证网络安全：

1) 设备本身的访问安全;2) 内部网之间资源访问安全;3) 路由系统的安全;4) 互联网访问安全[2]。

2 网络系统功能

1)能够有效的抑制局域网中常见且破坏性大的病毒，如冲击波、ARP等。

2)几个校区之间能够互相访问校内资源，并且其中两个校区通过电信的专用VPN来连接总校区的INTERNET，这样三个校区的出口在一个位置，便于网络出口的管理及应用。

3)能够集中管理网络出口流量问题，如BT、P2P及迅雷等局域网用户疯狂下载等问题。

4)部署网络杀毒软件，能够集中了解及控制整个学院的PC客户端病毒的受感染情况，以及可以强制查杀任一PC客户端的病毒。

3 方案实现

3.1 设备清单

设备清单如表1所示。

3.2 网络具体实现

3.2.1 总体说明

无锡交通高等职业技术学院共有三个校区，一个主校区，两个分校区，分校区之间通过电信专线和主校区相连。在主校区放置一台H3C S7506E作为整个学院的核心层;主校区至各楼宇的汇聚交换机采用H3C S5500-20TP，与核心层通过光纤千兆互联。

核心层的解决方案在总体上采用模块化的设计方法，以高性能、高可靠、高安全、良好的可扩展性、易管理、统一网管系统及可靠组播为原则。

汇聚层使用光纤接口连线，不管是接上联的核心层还是接下联的接入层交换设备，都使用光纤千兆互联。

接入层设备采用H3C E126A和E151，可以进行二层的可管理，可划分VLAN。

3.2.2 核心交换机

核心层的解决方案在总体上采用模块化的设计方法，以高性能、高可靠、高安全、良好的可扩展性、易管理、统一网管系统及可靠组播为原则。

H3C S7506E支持双主控，双主控冗余配置情况下，可提供每业务板48G的线速转发能力，拥有丰富多业务功能，包括有线无线一体化部署，后期实现无线校园网，直接在S7506E上部署无线控制器，实现对全网无线AP的管理;还可部署应用控制模块，对校园内出口带宽进行有效的控制，防止带宽滥用，保证关键业务的带宽不被侵占[3]。

3.2.3 接入交换机实现功能

H3C E系列接入交换机，支持802.1x的认证系统，保证用户的合法性，通过硬件ACL匹配L2～L4报文，针对不同匹配原则采取措施过滤，开启DHCP Snooping功能，生成MAC+IP+端口+VLAN动态绑定表，从根本上治理了ARP病毒的泛滥;为防止恶意扫描或保护CPU受到大量异常报文冲击，对端口实施ARP报文限速，控制端口下允许接入的最大MAC地址数：防止攻击者恶意占用CAM表项，制造泛洪攻击;支持端口环回检测技术，防止环路产生，自动切断相应端口;

3.2.4 出口防火墙

F100-E防火墙可支持SSL VPN功能，能够满足校内领导出差办公需求，F100-E不只是简单的防火墙，只做L3的报文过滤，可以在F100-E防火墙部署专业的防病毒模块，采用业界先进的瑞星防病毒引擎，提供最新病毒库，防止来至Internet病毒进入校园网;

3.2.5 校区间网络资源互访

总校区与两个分校区通过电信VPN专线建立链接，在分校区分别放置一台路由器，和总校区的核心交换机直接相连。当分校区的用户访问服务器群组时通过总校区核心交换机的三层路由直接到达。而当分校区用户访问互联网设备时也直接通过核心交换机从总校区的互联网出口出去。这样，可以极大的方便网管人员在外网出口上的管理[4]。部署在两分校的路由器为H3C MSR2040，它采用N-bus总线技术，不同业务采用不同总线处理，提升路由器转发能力。见图1。

3.2.6 网络安全性

以楼宇或者部门来划分虚拟局域网(VLAN)，这样当一个VLAN中有病毒如ARP病毒时不会导致整个学校的网络都受到影响。此外，如一些特殊部门，如财务室，就可以单独划一个网络，且不让任何其他VLAN用户访问财务室的网络，从而提高安全级别。

在所有的边界交换机上，对一些常见的病毒端口进行隔离：

3.2.7 部署瑞星网络杀毒软件

瑞星杀毒软件网络版2008———教育用版拥有强大的管理和监控能力, 是与瑞星杀毒软件网络版2008———企业专用版同级产品, 可组建树状结构的多级系统中心, 上级系统中心可直接控管相邻的下级系统中心及其下的客户端, 每个系统中心可管理的客户端数量无具体限制。通过该系统, 可实现企业反病毒的统一管理和分布管理;统一管理表现为由上级中心统一发送病毒命令、下达版本升级提示, 并及时掌握整个网络的病毒分布情况等, 分布管理表现为下级中心既可以对收到的上一级中心命令做出响应, 也可以管理本级系统, 并主动向上级中心发送请求和汇报信息。见图2。

4 结论

随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心。改造后网络提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能等管理功能。不仅提供功能，使用功能满足业务需求，而且为用户提供了网络精细化管理最佳的除了涵盖网络管理功能外，还有其他业务管理组件的承载平台，都实现共同管理的深入融合联动。

参考文献

[1]北京阿博泰克北大青鸟信息技术有限公司.组建与维护企业网络[M].北京:科学技术文献出版社, 2007.

[2]Andrem S.Tanenbaum.Computer Networks[M].北京:清华大学出版社, 2002.

[3]David Hucaby CCI Cisco现场手册.路由器配置[M].北京:人民邮电出版社, 北京.2002.