校园网升级改造实战

2016-11-26

网络安全和信息化 2016年1期

校园网改造之前在地理分布上有两个网络，即网络中心所在的教学楼网络和教师的办公楼网络。教学楼每个楼层的楼层交换机先直连到本楼的汇聚交换机，然后再接到网络中心的核心千兆二层交换机上，办公楼的楼层交换机先汇聚到办公楼汇聚交换机上，然后通过光纤接到教学楼的核心交换机上（如图1）。

存在问题

原来的校园网络拓扑结构存在以下几个明显问题：

1.教学楼和办公楼的两个物理网络并没有在逻辑上分开，虽然上级分配了两个网段，但因为没有路由器或三层交换机，所以在校内不可能严格分开两个网段，这直接导致了校内IP地址冲突问题严重。

2.学校的网络设备较低级，最好的核心千兆以太网交换机仅为非网管的Netcore NSD 1324D二层交换机，不支持VLAN划分，这就形成了所有的校内设备都位于一个广播域内，一旦产生广播风暴，对整个网络的性能影响极大。

图1 原网络拓扑图

3.网络扩展困难，因为没法细化网段，随着学校上网节点的增加，进一步增大了IP地址冲突和网络风暴问题。

4.机房的控制问题，两个机房均是教师机和其他学生机都连到机房交换机上，但实际使用中往往会产生两种需求：一是教师机需要和学生机连到同一个网络，因为要使用屏幕广播软件进行演示教学；二是教师机需要随时连接因特网，但学生机只有需要的时候才能连接上网。原始的网络拓扑结构导致了要么教师和学生都能上网，要么都不能上，无法进行按需控制。

改造后情况

后来，学校购置了高性能多层交换机RG-S5750-24GT作为核心交换机，一台DELL服务器提供WWW和FTP等服务，两台流媒体服务器作监控用，另外，新翻修了老办公楼改为实训楼，需要接入校园网（如图2）。

图2 改造后的网络拓扑图

改进的地方与解决方案

1.由于升级了交换机，教育局进一步下放了两个网段的划分权限。原本设置在教育局的两个网段的网关，现在转移到我校自己的核心交换机上，网络结构更加灵活、便利。

2.利用三层交换机的VLAN划分及路由功能，根据实际需要，在核心交换机上，我们主要划分了七个VLAN。

3.对机房网络的改进。为实现对学生上网的有效控制，机房1里的教师机改为直接连到汇聚交换机上，而机房1交换机负责学生机的网络连接，实际使用中，若将机房1交换机与汇聚交换机相连（连接图2中①处，断开③处），则实现了局域网的广播教学，但学生机无法连上因特网，而若将机房1交换机直接与核心交换机相连（连接图2中③处，断开①处），则可实现学生机的上网。此方案的配置要点：

1）教师机只有一个网卡，因此要给教师机的网卡配置双网段地址（VLAN 10和VLAN 20），就可实现教师机总是可以通过VLAN 10的IP地址上网，同时，当与机房1的交换机连接时，又可通过教师机端程序控制学生机（VLAN 20的IP地址）。

2）此设计要防止网络环路问题，要确保机房1交换机同一时刻只能连接汇聚交换机或者核心交换机，而不能同时相连，即图2中①和③不能同时相连。

3）为加强对学生机上网的集中控制，可采用在三层交换机上进行MAC地址绑定，从而实现机房1的学生机只能通过VLAN 20接口（即连接图2的③处）上网，即使学生私自改动IP地址为教师机所在的VLAN 10地址段也不能通过接入VLAN 10网络上网（图2的①处）。

4）这种拓扑结构最终控制权回到了网络中心的核心交换机上（学生机若要上网，只能直连核心交换机），因为学生机并不需要总是连接因特网，实际操作中，可以要求教师在上机前到网络中心申请学生机连接公网，下课后断开学生网络的方式来加强管理与控制，同时也能有效防止环路。

5）对于机房2的改进（如图2），与机房1类同，但也要确保图2中的②和④两处线路不能同时连接，以防环路。

4.单独划分一个VLAN 40给监控网络，VLAN 50给办公网络，VLAN 60给web服务器（配置双网卡、双网线连接、双网段IP，分别对应内网网段和外网网段，如图2），VLAN 70用于向上连接教育局网络。这样就实现了几个相对独立网络之间的隔离。

5.由于当初老办公楼建设时对网络布线方面考虑不足，各个房间都没有网络信息模块插座，为了美观与方便，决定采用无线网络的方式连到校园网中，而新老办公楼之间的距离较近（100米以内），因此直接用双绞线从新办公楼的信息插座通过地下线缆敷设连接到了老办公楼的主无线路由器上，然后在每个楼层放置2台无线路由器，并进行无线路由器之间的桥接，同时给楼内的台式机配备了USB无线网卡，从而实现了实训楼低成本、美观地接入校园网。