桂林电子科技大学北海校区校园网的改造与建设

摘　要：根据实际需要，对桂林电子科技大学北海校区的校园网的改造提出建设性方案，使之能够满足现在及未来几年内学校校园网络的需求，更好地为学校服务。

关键词：校园网；改造；网络建设
1. 北海校区网络的现状及问题
1.1北海校区分为东、西校区，东校区包含有1至5号教学楼，一栋旧教工楼、学生食堂及两栋学生公寓楼。西校区包含有6至10号教学楼，一栋综合服务楼、一栋学生食堂、一栋新教工楼及3、4、5号学生公寓楼。其中，1、2、5、6、7、8、9、10号楼为普通教学楼，3、4号楼为实训楼，建有多间计算机多媒体教室。由于北海校区没有专门的办公楼，各行政单位及系部的办公地点分别设在各教学楼内。目前网络结构如图所示：
                  北海校区网络现状拓扑图

网络连接情况说明如下：
　　（1） 东校区的旧教工楼使用一台SOHO型磊科路由器占用单独一个公网IP地址连接到internet，同时北海校区的网站服务器连接在此路由器上。
　　（2） 1、2号教学楼用一台SOHO型艾泰路由器占用一个公网IP地址连接到internet，同时教务系统服务器的一个网卡接口连接到此网络。
　　（3） 3、4、5、6、7、8、9、10号教学楼及西校区的食堂、综合服务楼、新教工楼使用一台H3C MSR20-10的路由器占用单独一个公网IP地址连接到internet，同时教务系统服务器的另外一张网卡接口连接到此网络。
　　（4） 财务服务器单独占用一个公网IP地址直接连接到internet。
　　（5） 学生公寓网络直接连接到电信网络，与校内任何网络无关联。
　　（6） 所有楼层内都使用H3C的S2026二层交换机作为接入设备。
　　（7） 校园内的保卫监控系统使用专线的方式，东、西校区分开铺设。校园一卡通系统也是使用专线的方式连接。
1.2对当前网络存在的问题总结如下：
　　（1） 无任何规划，一直都是本着能用就将就用原则，网络几乎无任何分层，三层交换机和路由器在网络中的定位有问题，网络存在环路危险。
　　（2） 使用多个路由器，存在多个外网IP地址做NAT，浪费宝贵的IP资源，管理混乱，上网行为可控性差，设备性能各异，上网速度不稳定。
　　（3）学生宿舍访问校园网内资源需要走外网线路，速度慢同时占用北海校区有限的外网带宽。
　　（4） 后勤部的校园网一卡通系统的建设使用专用光纤线路连接，造成资源的浪费。
2. 北海校区校园网的业务需求
　　需求分析是建设校园网必须要考虑的第一步，是整个校园网成功改造的基础。建设目标是利用各种先进成熟的网络技术和通信技术，采用统一的TCP/IP网络协议，改造成为一个可实现各种综合网络应用的安全、便捷、高速的计算机网络系统，将整个校区的办公、教学、实验、科研、保卫、后勤的计算机及相关设备通过校园网络连接起来，并与本部的尧山校区、东、西连接起来，以实现广泛的资源共享和数据共享、提供统一身份认证、电子邮件等服务。具体业务需求为：
　　2.1高速的互联网接入服务
　　校园网的基本需求，就是为学院全体师生员工提供Internet接入服务。对于互联网接入，除了考虑满足出口带宽需求外，还要降低接入Internet的成本。
　　2.2 便捷的网络管理功能
　　由于互联网是一把双刃剑，而学校是一个教书育人的地方。这就要求我们尽可能的发挥互联网的积极作用，消除它的消极作用。因此，必须对整个网络的应用起到监督控制作用。
　　2.3丰富的网络服务
　　在校园网中，提供，学生继续使用拨号的方 式直接连接到电信网络。
　　（3）监控服务器群：为了保障校园安全，校区保卫部门在校园里安装了很多网络监控摄像头，所有的监控数据通过校园网光纤传输到监控服务器群，由专用服务器进行录像监控，解决单独铺设监控专线而造成资源极大浪费问题。
　　（4）一卡通服务器群：一卡通系统项目实现了使用一张校园卡即可在校内所有应用点包括食堂就餐、超市购物、开水房打水、洗澡、机房上机、会议签到、图书馆阅览室出入、办公楼出入以及校门出入等方面的应用。一卡通服务器群存储了校园内师生员工一卡通卡的各种信息，为一卡通的顺利开展提供服务。
　　（5）数据中心：主要包含里校园网内提供资源的各类服务器，包括FTP服务器、教学系统服务器、图书馆服务器等，所有服务器均采用千兆接入到网络中心核心交换机。
　　（6）DMZ区: 通过部署了防火墙，在内部网络和外部网络之间建立一个一堵屏障，保障内网数据的安全，在防火墙上建立一个DMZ区，与外网关联业务的服务器都可以放在DMZ区，Internet上的用户只能到达DMZ区相应的服务器，并且内部网络到Internet上的连接，是通过NAT地址翻译的方式进行，可以充分隐藏和保护内部网络和DMZ区设备。主要防护需要对外提供服务的服务器，如web服务器、E_mail服务器等，所有服务器均采用千兆接入到网络中心防火墙DMZ口。
　　（7）建立VPN：要实现北海校区与本部的网络连通，如果采用租用运营商专线的方式实现，费用则很贵，而采用VPN，则可以方便廉价地把北海校区和本部的网络连接起来，用户从北海校区访问本部校园网，或者从本部校园网访问北海校区的资源，都是透明的。另一方面，学校购买了一些数据库，像万方、维普数据库等，校内IP访问的时候可以免费从数据库里查询下载论文，在校外的时候就不可以，为了让北海校区的老师和学生也可以方便使用校内资源，通过开设VPN连接，可以像在本部校内一样访问，同时还可以访问仅能在校内才能授权访问的服务器资源。
5. 设备的选型
　　设备的选型是网络设计当中非常关键的部分，严格的选型可以达到最佳的效果，及系统相对独立，升级简便，组网方式灵活，以保护现有投资和未来的发展。所以为了满足学校目前的需求，立足长远发展，网络设备的选型必须依据提出的需求来选型。
　　根据知名品牌主流产品性能、功能和技术，以及现有网络的接入层设备采用H3C的S2026二层交换机，结合实际情况，改造网络方案中的接入路由和核心交换机以及汇聚交换机、防火墙均采用H3C系列产品。
　　（1）接入路由器：采用一台H3C MSR 50路由器以实现校园网与internet的链接，MSR 50路由器支持丰富的安全接入技术，可以帮助跨越Internet构建高性能虚拟专用网络（VPN），实现各类关键业务通过广域网高速机密的传送。
　　（2）核心交换机：选用H3C S7500E作为核心网络交换机，H3C S7500E系列产品是高端多业务路由交换机，融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术。
　　（3）汇聚交换机：选用H3C S5000P，根据电脑数量部署如下：1、2号教学楼汇聚到一台，3号教学楼、旧教工楼和东区食堂汇聚到一台，4号教学楼由于电脑数量较多汇聚到一台，5号教学楼汇聚到一台，6、7、8、9、10号教学楼汇聚到一台，新教工楼和西区食堂及综合服务楼汇聚到一台。H3C S5000P系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。
　　（4）防火墙：选用H3C SecPath F1000，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全。
　　总结：从北海校区的业务需求、管理需求、安全需求和校园网络规模等各个方面对校园网建设需求进行分析，提出了整改方案。以改变目前北海校区网络的乱、多、杂、性能低下、谁用谁建等混乱情况，实现真正意义上的校园网建设，改造的总投入不到25万元人民币。　　
参考文献：
[1]黄人薇 时东晓 《广州城市职业学院校园网的建设规划》；
[2]Diane Teare/蒂尔（Teare D.）《CCDA 自学指南:设计Cisco互连网络解决方案(DESGN)》人民邮电出版社 2010年7月。