文/庞镭

物联网是新一代信息技术的重要组成部分，也是高校信息化建设的重要内容。随着物联网技术的迅猛发展和在高校教学、安保、后勤等领域的广泛应用，传统的高校物联硬件配置发生了变化。智慧教室的教学终端，日常教学情况、四六级和研究生入学考试等全国性重大考试的考务监控，学生宿舍的限电设备、饮水开闭系统，办公楼宇网络打印机的不断增加，在方便教学、科研和学生生活的同时，由于大量物联设备的接入，给校园网的建设发展和维护管理带来了一定的挑战。

1 现状及存在的问题

当前，各个高校的校园网发展都已达到相应规模，无论有线、无线接入，都为师生提供了稳定、可靠、便捷的上网体验。在此基础上，根据功能和使用环境的不同，打印机、摄像头、限电设备、门禁等设备在初期接入时，没有系统规划，多是“有端口即接入”。随着多种设备数量的逐步增加，遍布学校各楼宇，导致物联设备IP地址和物理链路混乱，影响了整个校园网的标准化和规范化，亟需从管理和技术两个层面，给出合理可行的实施方案。

2 执行管理制度，规范物联设备的使用

2.1 入网前的论证

各类物联设备接入校园网之前，需要熟悉校园网当前拓扑、配置规范，确定拟接入的设备是否具有兼容性以及可扩展性，设备的接口、IP地址配置等是否能够与校园网兼容。

2.2 规范入网流程

管理层面对物联设备的接入进行约束，教育技术中心作为校园网的建设管理单位，需要严格执行校园物联设备接入规范以及物联设备运维管理制度。凡入网设备需提交《物联设备接入校园网申请表》，待中心运维人员现场查看、分配IP地址后，按照指定端口接入设备。

2.3 建立校园物联网运维管理制度

（1）建立物联设备归属部（处）专人负责制，定期巡检设备状态。

（2）建立物联设备增、删、改动态管理机制，设备的增加、减少、变更等信息需要实时更新，以便全校物联设备始终处于可控可管状态，杜绝“僵尸”设备占用资源的现象。

（3）建立物联设备IP地址分配管理制度。本着节约校园网固定IP地址的原则，规定首次获得固定IP地址设备的地址有效期为一年，由归属部门定期提交续期申请，确保物联设备所用IP地址的良性动态可持续使用。

3 强化技术手段，保证物联设备的使用

3.1 分配物联设备专用IP地址

在物联网发展的早期，由于设备数量少，校园网多采用在用户IP地址段预留个别地址用于物联设备。随着物联网规模的扩大，从扩展性和持续性的角度出发，需要重新规划校园网IP地址，在当前使用的地址基础上，以楼宇为单位，扩大每个楼宇IP地址的范围，例如，每个楼宇规划16个C类私网地址，其中一个C类地址专供物联设备使用，以便通过IP地址即可分辨网络设备下联的终端类别。

此外，对于功能各异的物联设备，采用不同的IP地址分配方式。网络打印机采用MAC地址、IP地址以及物理位置唯一对应的方式，分配固定IP地址。摄像头、学生宿舍限电终端采用手动配置IP地址的方式。

3.2 建立专用VLAN，划分专用物理端口

对于采用核心层、汇聚层、接入层三层结构的校园网，结合重新规划后的IP地址，在各楼宇汇聚交换机上声明物联网专属vlan，使其能够与各楼宇的用户vlan清晰区分开，并且根据设备属性和功能的不同，建立多个物联网专属vlan，例如：教室中控设备、视频监控设备、限电设备等，在vlan命名规则中加以区分，使运维人员通过识别vlan号即可迅速判断该vlan的特殊性。

专用vlan典型配置如下：

对于分布于各楼层弱电间内的接入交换机，规定每楼层最后一台接入交换机的最后5个端口用于物联设备的接入使用。在交换机配置上，将这5个端口划入物联vlan。一般来讲，校园网接入交换机按照标准化配置规范，对每个接入端口都配置有用于病毒防护的访问控制列表，同时开启端口隔离命令switchport protected。然而，对于物联端口，需要去掉ACL以及端口隔离命令方可正常使用。

物联端口的配置如下：

3.3 安全策略

交换机上的物联设备端口，配置访问控制列表，只允许管理服务器和运维人员访问。同时，物联设备端口不可访问外网，确保端口和整个网络的安全性。

4 结束语

通过制度管理和技术规范手段双管齐下，当前校园网内300多台物联设备，无论是物理链路还是IP地址分配，都遵循校园网标准、规范，物联设备实时处于可管可控状态，确保基于校园网的物联网发展和管理处于良好秩序中，能够更好地服务师生教学、科研和生活。