(大连海事大学 信息处，辽宁 大连 116026)

随着网络信息技术的飞速发展，全国高校已经步入了信息化时代。网络图书馆、网络办公、教务管理等日常园区网络应用已经成为高校正常运作的必要工作流程，网络已经渗透到校园每一个角落，极大地提高了学校教学、科研及管理效率。高校园区网的建设，目的是为学校的教学、科研和管理提供高效实用的计算机网络环境，是一件涉及学校各部门的综合性事务。从最初的网络需求提出，到园区网方案设计与实施，以至最后的网络应用管理环节，无不需要严格的论证。其中，网络结构拓扑、网络设备选择和网络安全控制是在园区网的规划与构建中应着重注意的三个方面。

一、网络结构拓扑

目前普遍采用的网络拓扑[1]为星型网络结构，如图1所示。由核心路由器辐射四周楼宇，这样的拓扑结构清晰明了，主次分明。在实际的网络构建中，楼宇之间由光缆连接，每条线路需要两条光缆(一条单模光缆、一条多模光缆)进行双路冗余备份，以增加网络的可扩展性与稳定性。这样的拓扑结构，一则可以考虑到日后网络业务的拓展，例如校园内部署IP监控摄像头、一卡通等网络业务都要基于光缆的连通；二则双链路在网络传输选择上有主次之分，很大程度上保障了网络通信的稳定性。

虽然星形拓扑结构具有控制简单、故障诊断和隔离容易、方便服务等优势，但其缺点不容小视。一是光缆铺设长度和安装工作量可观；二是中央节点的负担较重，容易形成瓶颈。这些问题在网络构建前期都需要经过反复评估。

二、网络设备选择

1.扩展性

网络设备的可扩展性决定了网络系统适应高校未来发展的能力，也决定了网络系统对投资的保护能力。网络系统只因为改变了一些应用功能模块就无法适应，需要重新淘汰一部分原有设备，甚至需要全面改变原有园区网的拓扑结构，其损失之大是一般高校都无法承受的，也是不允许的。

图1 星形网络拓扑结构

当前大多高校使用万兆板卡的核心网络设备，已经充分满足了园区网内部各种应用。然而随着在线高清视频、网络下载点播等高带宽网络应用的流行，十万兆接口速率的核心网络设备以及对网络组播的支持是避免网络带宽瓶颈的选择；还有汇聚层网络设备的选择要注意是否要选择支持光纤的千兆交换机，尽管目前用处不大，不过可能在很短的一段时间后就要用到高性能的光纤连接，如与服务器、数据存储系统等的连接，而且还要估算一下需要多少个这样的端口，要冗余多少个光纤端口；网络设备的硬件、软件升级，接口、插槽预留等，都是需要考虑到未来扩展性的重要方面。同时，网络设备必须支持IPv6协议，因为v6时代已经到来。

2.稳定性

网络稳定性的作用是不言而喻的，没有人能够忍受断断续续的网络通信。在园区网的工作环境中，遭遇网络病毒袭击总是不可避免的，无论是个人电脑还是网络工作站感染了网络病毒，那么它就不能正常上网访问。在接入网络设备[2]选型方面，要考虑防arp欺骗、mac地址过滤以及绑定等功能。对感染病毒的电脑进行及时过滤隔离，避免影响其他网络用户的正常应用；对特定IP地址进行特定分配，保证特定地址的特殊权限。此外，网络用户随意改变IP地址，网络中容易出现IP地址冲突现象，同样会引发网络中断。这样就要求，汇聚设备支持动态主机分配协议(dynamic host configuration protocol)，并且能够检测IP地址冲突。在自动获取IP地址的同时，能够检测到未被占用的地址，以进行实时获取。以上都是在网络链路中，充分保障了网络稳定性。

三、网络安全控制

1.访问控制策略

访问控制是网络安全防范和保护的主要策略,它也是维护网络系统安全、保护网络资源的重要手段。首先，进行入网访问控制，即第一层访问控制。用户的入网访问控制需要用户名的识别与验证、用户口令的识别与验证。其次，进行网络权限控制，即针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问特定资源。最后，进行网络出口安全控制[3]。可以在出口位置添加防火墙，控制内部用户的对外访问，并开启防病毒功能以保证内部用户的对外访问不受病毒侵害；开启源地址转换的对外访问方式，充分保障园区网用户的安全性；同时部署出口流量日志分析系统，采用对园区网所有流入、流出数据进行日志记录，最好定期为网络和安全管理人员提供相应的报表，保证系统日后审计和维护查询。

2.网络功能划分

根据不同的网络应用、不同的部门、不同的用户采取不同网段划分方法。对于工作站区域，最好分配一段实地址，以保证同时面向校内外用户提供服务访问；对于办公部门区域，既要保证各职能部门内部网络互联互访，又要保证跨部门间的网络逻辑分离。例如财务处内部员工间可以相互访问、共享资源，同时禁止其他部门访问；对于学生公寓区域，要对宿舍不同楼层划分不同网络地址段，限制不同网段之间互访，以控制网络病毒及异常广播数据包的影响范围。这样方便确定地址出处，增强安全性管理。

3.网络用户培训

通常网络用户是网络内部潜在的最大不稳定因素。园区网组建后，首先要对网管人员、硬件软件维护技术人员等进行专业培训。如果网管人员和硬件软件维护技术人员的技术不过硬，甚至误操作，将可能导致整个校园网络瘫痪，造成的损失将无法估量。其次要对全校师生进行网络基础知识培训，例如电脑密码设置、常用办公软件使用、杀毒软件定期升级查毒等。如果使用网络的人员对电脑操作不熟练，那么即使是组建了好的校园网络，也会由于使用问题而造成园区网不能正常运行或不能发挥最佳的运行效果。可以通过在高校中积极开展网络知识系列讲座的方式，激发学生学习网络知识的兴趣，促进校园网的健康应用。最后要加强园区网络文化建设。网络应用是全方位的工作，没有校园文化氛围，网络应用就很难搞好。培养信息网络意识，营造校园网络文化，倡导“科学网络、文明网络”是推进网络应用建设工作的调控手段。同时为加强高校信息化管理而进行相应的制度和法治建设,也是整个信息化网络建设和应用的一项重要的制度性保障工作。

四、结 语

高校园区网是建构在多媒体技术和现代网络技术之上的为教学、科研、管理服务并与因特网连接的校园内局域网络环境，是一种教育科研网络。作为一项庞大的系统工程，高校园区网工程事关学校的发展大计，必须慎重考虑。近年来，国内不少高校为建设园区网，不顾自身需求和经济实力而一掷千金的事例屡见不鲜。究其原因，多数为对园区网工程的具体事项了解不够，缺少详尽的规划与构建方案。这就要求高校在园区网的规划与构建上，自始至终要以“需求”为根本，围绕着建网原则以及园区网的拓扑结构，使高校的网络建设方案经过逐步分析、规划而成为层次分明、具体周到的方案，使人们容易理解，从而很明了、很轻松地实施。

[1]侯 勇.网络拓扑结构简论[J].商业时代，2008(10)：81.

[2]申 燕.网络交换机原理及选择[J].长沙通信职业技术学院学报，2006(1)：58-61.

[3]贺登科，杜 江.基于局域网的网络访问控制方法研究[J].重庆邮电大学学报：自然科学版，2007(增刊)：121-124.