中职学校校园网的规划与设计

摘 要：根据中职学校的需求，设计及建立一个先进、实用、快速、安全的校园网。
　　关键词：需求分析；结构设计；实现方案；ip管理
　　
　　1 学校需求分析
　　
　　国家对中职学校评估体系中明确规定，国家级和省级重点中职学校必须建有校园网，而且必须覆盖主要教学、办公和生活场所。同时学校为了提高教学质量和管理水平，达到“无粉教学，无纸办公”的发展趋势，也急需一个先进、实用的校园网。
　　1．1 调研情况
　　某校有几栋建筑需纳入校园网，信息点达到3000个左右。信息点的分布比较分散，涉及到办公楼、教学楼、图书馆、实验楼、实习车间、学生宿舍楼、食堂等，其中实验楼和学生宿舍为信息点密集区。主控室设在实验楼的三层。
　　1．2 需求功能
　　校内计算机要连入校园网，并且可以有条件、有管理地访问internet，共享网上的信息和资源；不仅要具有网络的一般功能（如e-mail、ftp、bbs、搜索引擎等功能），还要有满足中职学校教学需要的功能（如视频点播voc、实时远程教学、网络学校、网络电话、网上考试等功能）。另外，还必须符合学生用户的特点，在管理和控制上表现出色，防止学生利用网络平台的缺陷从内部攻击校园网或者利用各种手段逃避运营管理。
　　
　　2 结构设计
　　
　　网络的拓扑结构如下图所示：
　　
　　
　　3 实现方案
　　
　　校园网采用了标准的“万兆核心、千兆汇聚、百兆到桌面”的设计原则。为了方便管理，所有交换机统一采用神州数码品牌，网络核心层采用一台万兆核心路由交换机dcrs-7616，将来随着网络规模的扩大，可采用两台万兆核心路由交换机双星型连接。汇聚层交换机采用dcrs-5512g，根据地理位置和信息点密集程度，教学楼、实习车间和食堂共用一台汇聚交换机，图书馆和办公楼共用一台汇聚交换机，学生宿舍采用两台台汇聚交换机，总共采用五台汇聚交换机，接入交换机采用dcs-3526。

　　在核心层，依靠dcrs-7616高达768gbps的背板交换能力和476mbpsl2/l3全线速包转发率，确保核心层的网络性能。同时，全冗余配置、可自愈系统设计、丰富的qos策略及用户vlan、多策略vlan和acl访问控制等保障了核心网络的应用要求和安全可靠的要求。
　　在汇聚层，通过交换能力达36gbps的dcrs-5512g分担核心交换机的压力，同时拥有丰富的qos策略、可多元绑定的安全策略和支持snmp、cli、web、rmon等多种网络管理的特性，确保了汇聚层的性能与安全稳定。
　　在接入层，具有丰富灵活的接口，支持801.x认证部门级接入交换机dcs-3526，实现安全接入。三个层次的交换机通过计费服务器中的认证计费系统dcbi-2000和网络管理系统linkmanager3.0相互配合，实现对校园网的认证管理。这种分布式设计由内而外杜绝了安全隐患，确保了网络的高性能、无阻塞和高稳定性。
　　本方案具有如下特点：
　　（1）从性能上来看，在核心层采用万兆技术，解决了网络的带宽问题,网络带宽将是现在和今后一段时间的优势所在，用户可以在网络上实施很多应用，如流媒体、批量数据的传输等。同时本网络采用三层网络结构，汇聚层用dcrs-5512进行汇聚交换，减轻了核心交换机的压力,同时保证了网络的高速、畅通。接入交换机dcs-3526支持多种流量管理技术和ieee802.1x技术，保证网络顺利实施视频、数据等功能。
　　 (2)从管理和维护来看,神州数码网络提供的认证计费系统dcbi-2000和网络管理系统linkmanager3.0都是采用全中文的操作界面，具备和适合学校应用的独特设计，可实现多种认证计费模型。而依靠linkmanager3.0强大的网络管理特性，可以实时监管校园网内各个角度的动态，通过管理策略自动对各类事件进行处理，防止学生访问非法网站和传播网络风暴，保证校园网的畅通。
　　
　　4 局域网ip地址的管理
　　
　　为了避免网内ip地址冲突，防止学生用户通过网络攻击校园网、逃避学校管理或者通过私设服务器逃避运营计费，必须对网内ip地址进行有效管理。具体方法有：
　　(1) 做好整个校园网终端用户计算机的命名和ip地址指定，根据用户的类别统一命名计算机，这样一看机器名，就知道是哪个部门哪台机器，方便管理，比如教务科1号机，我们就将其命名为“jiaowuke01”。同时统一规划、分配ip地址给每台终端机器，并建立ip地址分配登记表。如果学校申请的是b类ip地址，可以根据管理方便随意指定每个部门每台机的ip地址，如果学校申请的是c类ip地址，则要根据信息点的分布进行子网划分。
　　（2）统计每个终端机器网卡的mac地址，建立ip地址与mac地址对应表。win2k/xp用户在ms-dos方式下键入命令ipconfig/all，可以获得本机ip地址和mac地址，其中用16进制表示的12位数就是mac地址。我们可以将此方法公布一下，然后要求相关用户将本机mac地址抄录上报到网管中心，进行登记汇总。也可以用windows优化大师，点击“系统性能优化”→“系统安全优化”→“附加工具”→“ping”，可以成批扫出ip地址和对应mac地址。
　　（3）将ip地址与mac地址绑定。
　　这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网，可使用命令：
　　arp -s ip地址 mac地址
　　例：arp -s 192.168.1.168 00-00-e8-a2-3b-9b
　　就是将静态ip地址192.168.1.168与网卡地址00-00-e8-a2-3b-9b 的计算机绑定在一起了，即使别人盗用您的ip地址也无法通过代理服务器上网。
　　如果是通过路由器直接接入互联网，可以通过硬件防火墙来实现ip与mac地址的绑定，一般的硬件防火墙都具有这个功能。
　　到这里似乎可以大功告成了，但事情并不像我们想象的那么简单。花了相当多精力构筑起来的防线不用多久又发生ip冲突了。原来，有的终端用户通过修改注册表、下载专用小工具等方法，没费多少力气就更改了本机的mac地址，甚至于将本机的mac地址和ip地址改得和主服务器一模一样，搞得局域网内又鸡犬不宁。 为此必须采用基于交换机的mac地址与端口绑定，将mac地址与交换机的端口绑定。这样一来，终端用户如果擅自改动本机网卡的mac地址，该机器的网络访问将因其mac地址被交换机认定为非法而无法实现，自然也就不会对局域网造成干扰了。 绑定方法：登录进入交换机，输入管理口令进入配置模式，敲入命令：
　　(config)#mac_address_table permanent mac地址以太网端口号，这样逐一将每个端口与相应的mac地址绑定，保存并退出，就可以解决ip问题了。
　　
　　参考文献
　　［1］廖常武，汪刚 . 校园网组建［m］. 北京：清华大学出版社，2007.
　　［2］刘永华 . 局域网组建、管理与维护［m］. 北京：清华大学出版社，2006. 本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/239796.html