簡單的校園網設計方案8頁

1、l 引言l 隨著網絡技術的發(fā)展和網絡產品價格不斷的下調， 眾多高校都開始搭建網絡平臺， 組建 自己的校園網絡。 一個校園網絡的組建并不是我們想象中用幾個交換機就能實現， 它是一項 龐大而又復雜的工程，它需要覆蓋整個校園，要將校園內的計算機、服務器和其他終端設備 連接起來，實現校園內部數據的流通，實現校園網絡與互聯網絡的信息交流，并且它還要涉 及到網絡的安全，涉及到網絡的管理。因此，一個校園網絡系統(tǒng)的組建需要從多方面進行考 慮。 l 校園網組建分析l 校園在經歷一系列改革后，為了進一步提升自身實力，很多高校都開始改建自己的校園， 大量新教學樓拔地而其， 在新建設的建筑大樓中一般都布有網絡線， 這

2、給校園組網帶來了一 定的方便。 不過還有一部分老式的建筑大樓并沒有布網絡線， 如果我們在這里也使用有線網 絡，不但會帶來布線的麻煩，還會影響建筑大樓的美觀。在一所校園內，總有一部分區(qū)域是 有線網絡不能涉及的范圍，如果強行布置有線網，后果非常嚴重。所以，在上面提到的這些 地方需要布置無線局域網， 才能讓整個校園都被網絡覆蓋。 當然我們也不能在一所高校內全 部布置無線局域網， 畢竟無線局域網的數據傳輸速度較慢， 并不適合一些高帶寬業(yè)務的處理。 因此，一所校園的校園網應該是一個有線、無線網絡的有機結合。l 校園網基本拓撲結構l 由于校園網絡的拓撲結構比較大，我們在這里并沒有詳細勾勒出每個細節(jié)，只是把

3、校園 網絡的基本結構勾畫出來。下圖是一個校園網的基本網絡拓撲：路由u 拓撲圖中的路由器、防火墻和核心交換機構成了校園網的核心，也就是我們平常說的網 絡中心，網絡中心性能的好與壞將直接影響整個校園網的性能，因此，網絡中心的組建將是 整個校園網組建成敗的關鍵。u 路由器處在網絡中心的最頂層，它直接與互聯網連接，同時內連校園網中的防火墻，所以路 由器在校園網中的作用非常重要。 我們在選擇適合校園使用的路由器時， 要根據校園網的規(guī)模來決定。例如路由器的帶機數量，路由器的性能等，這些都要根據校園網的規(guī)模來確定。 至于路由器的功能，我們不用考慮太多，由于市場上的產品同質化嚴重，所以目前市場上的 路由器大多

4、都具有帶寬控制，MAC 地址綁定，Qos 機制等多種功能，我們只要將這些功能 應用得當，就能最大限度利用路由器。在選擇路由器時，我們要考慮路由器的穩(wěn)定性，對于 路由器的穩(wěn)定問題， 是一個比較難回答的問題， 我們只能了解其他用戶使用路由器之后的感 受，不過建議大家選用大廠所生產的路由器，大廠生產的路由器雖然價格要貴一些，但穩(wěn)定 性能夠得到保障。最后我們要注意一點，學校采用的什么網絡接入，現在很多校園都是專線 接入，所以路由器要具備接入這種專線的能力。u 網絡中心的防火墻實在校園網中擔當網絡防黑的作用，雖然網絡中心的路由器也具有防 火墻功能，不過路由器的防火墻功能一般都不夠強大，因此，校園網中使用

5、防火墻還是有必要的。校園網中的防火墻與普通防火墻有些不同，它不但要防止外來黑客的攻擊，還要防止內 部學生的惡作劇和限制學生訪問非法站點。 防止外來黑客攻擊比較復雜， 這需要管理員具有 較高的專業(yè)知識，因為一款防火墻不進行設置，是無法抵御黑客的攻擊。防止校園內學生的 惡作劇和限制學生訪問非法站點相對來說要簡單一些， 我們只要好好利用防火墻的 MAC 地 址綁定功能，IP 地址過濾，URL 過濾等功能，就能為校園網用戶提供一個安全的網絡環(huán)境。 防火墻的性能與功能同樣重要， 畢竟校園網用戶要訪問互聯網必需經過防火墻， 如果防火墻 性能比較差，將嚴重影響校園網性能。防火墻性能主要根據吞吐量，并發(fā)連接數

6、來確定。我 們在選擇校園防火墻時，最好選擇帶 VPN 功能的防火墻，現在很多高校都有自己的分校， 要實現遠程分校的網絡訪問，采用 VPN 技術是最好的方式。u 網絡中心的核心交換機也是根據校園規(guī)模來確定， 現在高校的人數一般都比較多， 計算機 數量也比較多，為了方便管理，這里通常都是采用支持 VLAN 的三層路由交換機，VLAN 功能可以幫助管理員管理校園網絡，防止廣播風暴發(fā)生。在一些中小型校園，采用千兆骨干 網的比較多， 而一些大型校園則采用萬兆骨干網， 所以三層交換機也要根據采用什么樣的骨 干網來確定選擇千兆或萬兆三層路由交換機。u 校園網絡中心的建立是為了內部各個小型網絡的接入，所以，接

7、入部分是整個校園網絡 的基礎。校園網中的接入主要分為兩部分，有線局域網的接入和無線局域網的接入。有線局 域網主要是指那些已經布好網絡線的地方，例如各個系的機房，新修的一些計算機大樓，新 修的一些學生宿舍等， 這些都已經布好了網絡線， 我們只需要選擇適合的交換機就能實現這 部分有線網絡的接入。無線局域網的組建則針對一些老式的大樓，宿舍和大型會議室等，由 于這些建筑在以往沒有布線或者不適合于布線，但又需要網絡信號覆蓋，因此，我們需要在 這部分組建無線局域網。l 校園網有線部分l 我們所說的校園網有線部分是針對校園網中接入網絡中心的這一部分網絡，在前面我們 已經提到這一部分由各個系的機房，新修的一些

8、計算機大樓，新修的一些學生宿舍等組成， 因此，這一部分所選用的網絡產品主要是交換機。u 從上圖我們清楚的看到接入交換機與核心交換機的作用，其實接入交換機的選擇比較簡 單， 可根據每幢建筑樓內需要的計算機節(jié)點數來選擇， 也就是每幢樓的計算機數量決定選擇 多少口的交換機，現在普通的交換機一般為 24 口，也有 48 口交換機，如果一幢樓的計算機 超過這個數量，要么將交換機進行級聯，要么采用可堆疊的交換機進行堆疊。采用交換機進 行級聯肯定要造成網絡速度下降， 但這種方式比較節(jié)約成本投入。 采用堆疊交換機則不會對 性能造成影響，但這種方式投入的成本比較高，所以用戶要根據自己具體情況來確定。交換機的性能

9、在這里也非常重要，它是網絡的基礎，它的性能直接影響用戶使用的網絡性能。交 換機性能由交換容量和數據包轉發(fā)率來確定， 這兩個的值越大越好， 不過這兩個值越大價格 也就越高，并且這兩個值過大，會造成網絡資源的浪費。最后我們需要注意，如果我們采用 級聯方式組網， 那么這一層交換機最好采用帶流量控制等功能的交換機， 讓管理員可對交換 機進行管理。u 在核心交換機和匯聚交換機有個需要注意的連接問題， 如果核心交換機與匯聚交換機連接距 離超過 100 米，那么采用雙絞線是無法實現它們之間的連接，只有使用光纖才能滿足需要。 在這里我們就需要考慮交換機的光纖接口問題，交換機通常是使用擴展模塊來實現光纖連 接，

10、但這種擴展模塊價格比較貴，如果在需要連接交換機的節(jié)點比較多的情況下，采用擴展 模塊將增加成本投入。因此，我們在這里可采用光纖收發(fā)器實現它們之間的連接，光纖收發(fā) 器是連接光纖介質和雙絞線的網絡產品， 它能實現光信號和電信號的互換， 并且這種產品的 價格遠遠低于交換機擴展模塊的價格，所以采用光纖收發(fā)器是一個低成本的解決方案。u 校園網無線部分u 校園網的無線部分主要是針對一些老式的大樓，宿舍和大型會議室等不能布線的地方而 設計，這一部分的網絡產品主要以無線 AP 為主。n 在無線部分我們采用了多個無線 AP 來實現無線局域網的組建， 上圖是校園網內無線局域 網的基本拓撲圖， 從這個拓撲結構中反映出

11、無線局域網分為兩層， 一層是連接有線網絡的無 線 AP，另外一層是大樓內分布的無線 AP。這兩層的無線 AP 通過內部集成的橋接功能，實 現它們的無線互連。 連接有線網絡的這個無線 AP 我們最好安置在離需要組建無線局域網的 大樓附近，并且中間最好沒有建筑物阻擋，相隔距離也不要超過 300 米，這樣才能讓無線 AP 性能得到發(fā)揮，最大限度節(jié)約成本投入。而需要組建無線局域網的大樓內我們每一層樓 布置了一個無線 AP，以目前無線 AP 的性能而言，基本上能夠將信號覆蓋到一層樓的每一 個角落，這樣，一個無線局域網的基本結構就形成了。由于無線 AP 安置的地點一般都在高 處，而且比較空曠，所以無線 A

12、P 的防雷措施我們也要考慮。n 在大型會議室內，由于室內空間比較大，沒有墻壁阻擋，在這里布置的無線 AP 不用像在 大樓中那樣用多個無線 AP 來實現無線網絡信號的覆蓋。 大型會議室組建無線局域網有一個 特點，在大型會議室周圍一般都有有線網絡的接入點，我們可使用網線實現接入點與無線 AP 的連接，然后將無線 AP 置于會議室內，就可將信號覆蓋到整個會議室內。在這里我們 要考慮一件事情，一個大型會議室內如果召開會議，其筆記本數量肯定不會少，而無線 AP 在通常情況下能夠連接 20 多臺無線接入終端，如果無線接入終端數量過多，將嚴重影響網 絡性能， 為了不影響網絡性能實現更多的無線接入終端接入無線

13、局域網中， 我們可在這里多 增加無線 AP。相信大家清楚，多個無線 AP 在同一個地方使用，信號覆蓋肯定會重疊，造 成對網絡性能的影響。要解決這一問題，就必需將無線 AP 上的頻段進行設置，無線 AP 一 般都提供了 11 個頻道，我們只要將會議室內的無線 AP 設置為各自不同的頻道，就不會造 成信號覆蓋重疊。至于無線 AP 的選擇，高校就要根據自己實際情況來決定了。目前市場上 的無線 AP 主要有基于 IEEE 802.11b、IEEE 802.11a 和 IEEE 802.11g 三種協議下的產品，它 們分別提供了不同的數據傳輸率，用戶可根據實際情況來選擇無線 AP。 當一個無線局域網組建

14、成功后， 大家最關心的還是無線局域網的安全問題。 這里所說的安全 不是指互聯網中黑客帶來的威脅， 而是無線局域網內數據傳輸的安全， 用戶接入訪問無線局 域網的安全。 無線局域網內數據是通過無線鏈路進行數據傳輸， 有一些非法用戶通過截獲無線鏈路中的數 據給無線局域網用戶帶來損失，要解決這一問題，我們就必需使用到無線 AP 中的 WEP 加 密功能，這項功能能夠對傳輸的數據進行加密，即使非法用戶獲得這些數據，也無法破譯， 所以我們組建無線局域網成功后必需將這項功能開啟。 用戶接入訪問安全是指一個無線局域網組建成功后，它的信號覆蓋面積大，有些非法用 戶在信號覆蓋范圍內通過無線網卡連接到無線局域網中。

15、 要解決這個問題， 必需使用到無線 AP 中的三項功能，MAC 地址綁定，DHCP 服務和認證功能。采用 MAC 地址綁定功能主要 是因為每一塊網卡只有全球唯一的一個 MAC 地址，通過設置 MAC 地址綁定功能后，其他 沒綁定 MAC 地址的終端就不能接入無線局域網；DHCP 主要是為網內用戶自動分配 IP 地 址，所有有些用戶就通過獲取 IP 地址進入無線局域網中，只要將 DHCP 功能關閉就能杜絕 這類事件的發(fā)生；目前，網絡中最常用的認證方式就是 802.1x 端口認證技術，我們可通過 這項功能限制非法用戶訪問無線局域網。 在大部分的無線 AP 中，提供了一種 SSID 功能，這項功能主要是用來區(qū)分不同的網絡， 實際上這就是無線局域網的名稱，一般同一廠家的無線 AP 都采用同一種 SSID，所以我們 在無線局域網組建成功后最好將 SSID 進行重新設置。通常情況