校園網絡綜合組建方案

校園網絡綜合組建方案

相關搜索: 網絡綜合, 校園, 方案, 組建

紅帽子工程師
隨着網絡技術的發展和網絡產品價格不斷的下調，衆多高校都開始搭建網絡平臺，組建自己的校園網絡。一個校園網絡的組建並不是我們想象中用幾個交換機就能實現，它是一項龐大而又複雜的工程，它需要覆蓋整個校園，要將校園內的計算機、服務器和其他終端設備連接起來，實現校園內部數據的流通，實現校園網絡與互聯網絡的信息交流，並且它還要涉及到網絡的安全，涉及到網絡的管理。因此，一個校園網絡系統的組建需要從多方面進行考慮。

校園網組建分析

    校園在經歷一系列改革後，爲了進一步提升自身實力，很多高校都開始改建自己的校園，大量新教學樓拔地而其，在新建設的建築大樓中一般都布有網絡線，這給校園組網帶來了一定的方便。不過還有一部分老式的建築大樓並沒有佈網絡線，如果我們在這裏也使用有線網絡，不但會帶來佈線的麻煩，還會影響建築大樓的美觀。在一所校園內，總有一部分區域是有線網絡不能涉及的範圍，如果強行佈置有線網，後果非常嚴重。所以，在上面提到的這些地方需要佈置無線局域網，才能讓整個校園都被網絡覆蓋。當然我們也不能在一所高校內全部佈置無線局域網，畢竟無線局域網的數據傳輸速度較慢，並不適合一些高帶寬業務的處理。因此，一所校園的校園網應該是一個有線、無線網絡的有機結合。

校園網基本拓撲結構

    由於校園網絡的拓撲結構比較大，我們在這裏並沒有詳細勾勒出每個細節，只是把校園網絡的基本結構勾畫出來。下圖是一個校園網的基本網絡拓撲：


    拓撲圖中的路由器、防火牆和核心交換機構成了校園網的核心，也就是我們平常說的網絡中心，網絡中心性能的好與壞將直接影響整個校園網的性能，因此，網絡中心的組建將是整個校園網組建成敗的關鍵。 

路由器處在網絡中心的最頂層，它直接與互聯網連接，同時內連校園網中的防火牆，所以路由器在校園網中的作用非常重要。我們在選擇適合校園使用的路由器時，要根據校園網的規模來決定。例如路由器的帶機數量，路由器的性能等，這些都要根據校園網的規模來確定。至於路由器的功能，我們不用考慮太多，由於市場上的產品同質化嚴重，所以目前市場上的路由器大多都具有帶寬控制，MAC地址綁定，Qos機制等多種功能，我們只要將這些功能應用得當，就能最大限度利用路由器。在選擇路由器時，我們要考慮路由器的穩定性，對於路由器的穩定問題，是一個比較難回答的問題，我們只能瞭解其他用戶使用路由器之後的感受，不過建議大家選用大廠所生產的路由器，大廠生產的路由器雖然價格要貴一些，但穩定性能夠得到保障。最後我們要注意一點，學校採用的什麼網絡接入，現在很多校園都是專線接入，所以路由器要具備接入這種專線的能力。

    網絡中心的防火牆實在校園網中擔當網絡防黑的作用，雖然網絡中心的路由器也具有防火牆功能，不過路由器的防火牆功能一般都不夠強大，因此，校園網中使用防火牆還是有必要。校園網中的防火牆與普通防火牆有些不同，它不但要防止外來***的***，還要防止內部學生的惡作劇和限制學生訪問非法站點。防止外來******比較複雜，這需要管理員具有較高的專業知識，因爲一款防火牆不進行設置，是無法抵禦***的***。防止校園內學生的惡作劇和限制學生訪問非法站點相對來說要簡單一些，我們只要好好利用防火牆的MAC地址綁定功能，IP地址過濾，URL過濾等功能，就能爲校園網用戶提供一個安全的網絡環境。防火牆的性能與功能同樣重要，畢竟校園網用戶要訪問互聯網必需經過防火牆，如果防火牆性能比較差，將嚴重影響校園網性能。防火牆性能主要根據吞吐量，併發連接數來確定。我們在選擇校園防火牆時，最好選擇帶***功能的防火牆，現在很多高校都有自己的分校，要實現遠程分校的網絡訪問，採用***技術是最好的方式。

   網絡中心的核心交換機也是根據校園規模來確定，現在高校的人數一般都比較多，計算機數量也比較多，爲了方便管理，這裏通常都是採用支持VLAN的三層路由交換機，VLAN功能可以幫助管理員管理校園網絡，防止廣播風暴發生。在一些中小型校園，採用千兆骨幹網的比較多，而一些大型校園則採用萬兆骨幹網，所以三層交換機也要根據採用什麼樣的骨幹網來確定選擇千兆或萬兆三層路由交換機。

     校園網絡中心的建立是爲了內部各個小型網絡的接入，所以，接入部分是整個校園網絡的基礎。校園網中的接入主要分爲兩部分，有線局域網的接入和無線局域網的接入。有線局域網主要是指那些已經布好網絡線的地方，例如各個系的機房，新修的一些計算機大樓，新修的一些學生宿舍等，這些都已經布好了網絡線，我們只需要選擇適合的交換機就能實現這部分有線網絡的接入。無線局域網的組建則針對一些老式的大樓，宿舍和大型會議室等，由於這些建築在以往沒有佈線或者不適合於佈線，但又需要網絡信號覆蓋，因此，我們需要在這部分組建無線局域網。

校園網有線部分

    我們所說的校園網有線部分是針對校園網中接入網絡中心的這一部分網絡，在前面我們已經提到這一部分由各個系的機房，新修的一些計算機大樓，新修的一些學生宿舍等組成，因此，這一部分所選用的網絡產品主要是交換機。 



  從上圖我們清楚的看到接入交換機與核心交換機的作用，其實接入交換機的選擇比較簡單，可根據每幢建築樓內需要的計算機節點數來選擇，也就是每幢樓的計算機數量決定選擇多少口的交換機，現在普通的交換機一般爲24口，也有48口交換機，如果一幢樓的計算機超過這個數量，要麼將交換機進行級聯，要麼採用可堆疊的交換機進行堆疊。採用交換機進行級聯肯定要造成網絡速度下降，但這種方式比較節約成本投入。採用堆疊交換機則不會對性能造成影響，但這種方式投入的成本比較高，所以用戶要根據自己具體情況來確定。交換機的性能在這裏也非常重要，它是網絡的基礎，它的性能直接影響用戶使用的網絡性能。交換機性能由交換容量和數據包轉發率來確定，這兩個的值越大越好，不過這兩個值越大價格也就越高，並且這兩個值過大，會造成網絡資源的浪費。最後我們需要注意，如果我們採用級聯方式組網，那麼這一層交換機最好採用帶流量控制等功能的交換機，讓管理員可對交換機進行管理。
在覈心交換機和匯聚交換機有個需要注意的連接問題，如果核心交換機與匯聚交換機連接距離超過100米，那麼採用雙絞線是無法實現它們之間的連接，只有使用光纖才能滿足需要。在這裏我們就需要考慮交換機的光纖接口問題，交換機通常是使用擴展模塊來實現光纖連接，但這種擴展模塊價格比較貴，如果在需要連接交換機的節點比較多的情況下，採用擴展模塊將增加成本投入。因此，我們在這裏可採用光纖收發器實現它們之間的連接，光纖收發器是連接光纖介質和雙絞線的網絡產品，它能實現光信號和電信號的互換，並且這種產品的價格遠遠低於交換機擴展模塊的價格，所以採用光纖收發器是一個低成本的解決方案。

校園網無線部分

    校園網的無線部分主要是針對一些老式的大樓，宿舍和大型會議室等不能佈線的地方而設計，這一部分的網絡產品主要以無線AP爲主。 


    在無線部分我們採用了多個無線AP來實現無線局域網的組建，上圖是校園網內無線局域網的基本拓撲圖，從這個拓撲結構中反映出無線局域網分爲兩層，一層是連接有線網絡的無線AP，另外一層是大樓內分佈的無線AP。這兩層的無線AP通過內部集成的橋接功能，實現它們的無線互連。連接有線網絡的這個無線AP我們最好安置在離需要組建無線局域網的大樓附近，並且中間最好沒有建築物阻擋，相隔距離也不要超過300米，這樣才能讓無線AP性能得到發揮，最大限度節約成本投入。而需要組建無線局域網的大樓內我們每一層樓佈置了一個無線AP，以目前無線AP的性能而言，基本上能夠將信號覆蓋到一層樓的每一個角落，這樣，一個無線局域網的基本結構就形成了。由於無線AP安置的地點一般都在高處，而且比較空曠，所以無線AP的防雷措施我們也要考慮。

    在大型會議室內，由於室內空間比較大，沒有牆壁阻擋，在這裏佈置的無線AP不用像在大樓中那樣用多個無線AP來實現無線網絡信號的覆蓋。大型會議室組建無線局域網有一個特點，在大型會議室周圍一般都有有線網絡的接入點，我們可使用網線實現接入點與無線AP的連接，然後將無線AP置於會議室內，就可將信號覆蓋到整個會議室內。在這裏我們要考慮一件事情，一個大型會議室內如果召開會議，其筆記本數量肯定不會少，而無線AP在通常情況下能夠連接20多臺無線接入終端，如果無線接入終端數量過多，將嚴重影響網絡性能，爲了不影響網絡性能實現更多的無線接入終端接入無線局域網中，我們可在這裏多增加無線AP。相信大家清楚，多個無線AP在同一個地方使用，信號覆蓋肯定會重疊，造成對網絡性能的影響。要解決這一問題，就必需將無線AP上的頻段進行設置，無線AP一般都提供了11個頻道，我們只要將會議室內的無線AP設置爲各自不同的頻道，就不會造成信號覆蓋重疊。至於無線AP的選擇，高校就要根據自己實際情況來決定了。目前市場上的無線AP主要有基於IEEE 802.11b、IEEE 802.11a和IEEE 802.11g三種協議下的產品，它們分別提供了不同的數據傳輸率，用戶可根據實際情況來選擇無線AP。 
當一個無線局域網組建成功後，大家最關心的還是無線局域網的安全問題。這裏所說的安全不是指互聯網中***帶來的威脅，而是無線局域網內數據傳輸的安全，用戶接入訪問無線局域網的安全。
無線局域網內數據是通過無線鏈路進行數據傳輸，有一些非法用戶通過截獲無線鏈路中的數據給無線局域網用戶帶來損失，要解決這一問題，我們就必需使用到無線AP中的WEP加密功能，這項功能能夠對傳輸的數據進行加密，即使非法用戶獲得這些數據，也無法破譯，所以我們組建無線局域網成功後必需將這項功能開啓。

    用戶接入訪問安全是指一個無線局域網組建成功後，它的信號覆蓋面積大，有些非法用戶在信號覆蓋範圍內通過無線網卡連接到無線局域網中。要解決這個問題，必需使用到無線AP中的三項功能，MAC地址綁定，DHCP服務和認證功能。採用MAC地址綁定功能主要是因爲每一塊網卡只有全球唯一的一個MAC地址，通過設置MAC地址綁定功能後，其他沒綁定MAC地址的終端就不能接入無線局域網；DHCP主要是爲網內用戶自動分配IP地址，所有有些用戶就通過獲取IP地址進入無線局域網中，只要將DHCP功能關閉就能杜絕這類事件的發生；目前，網絡中最常用的認證方式就是802.1x端口認證技術，我們可通過這項功能限制非法用戶訪問無線局域網。

    在大部分的無線AP中，提供了一種SSID功能，這項功能主要是用來區分不同的網絡，實際上這就是無線局域網的名稱，一般同一廠家的無線AP都採用同一種SSID，所以我們在無線局域網組建成功後最好將SSID進行重新設置。通常情況下，無線AP都是將SSID進行廣播，爲了防止其他用戶搜索到SSID，我們最好將這項功能關閉，不過關閉之後對性能有影響，但無線局域網的安全卻得到了提高。

結束語

    上面是整個校園網的結構，實際上校園網是一個龐大而複雜的工程，要根據具體的環境來組建網絡，涉及的面也比較廣，上面這套方案只是針對大部分校園相同點而設計的，肯定在很多方面都有所不足，所以這只是一個基礎，如果要組建校園網還需要對各個地方進行改進，才能節省校園網絡成本，才能最大限度發揮出校園網的性能。