高校校园网建设关键技术研究与应用.docx

高校校园网建设关键技术研究与应用 　　摘要：校园网已成为各高等院校建设和发展的一项重要基础设施，其建设规模和应用水平的高低已成为衡量高校教学、科研、管理和服务水平等综合实力的一个重要标志本文结合当前各高等院校校园网的现状，对校园网建设过程中应用的关键技术进行了分析与研究并在我校校园网的建设过程中，按照高效和实用的基本建设原则，对校园网建设过程中的关键技术进行了具体的应用　　关键词：校园网建设，关键技术，网络管理，网络安全校园网建设中的关键技术主要有逻辑网络设计、物理网络设计、综合布线技术、网络设备选型、订购和安装调试技术、网络系统测试技术、网络安全技术和网络管理技术等　　一、网络系统规划设计　　1.逻辑网络设计　　逻辑网络设计是由系统集成商的网络设计师完成，主要包括网络总体设计，即分析现有的网络体系结构，确定网络逻辑结构和物理结构；分层设计，即核心层、汇聚层、接入层的设计，以及Internet接入方案和广域网设计；网络IP地址规划和设计；选路和路由规划；选择技术和设备；其他功能设计，如聚合设计、冗余设计、安全设计等　　2.物理网络设计　　物理网络设计的主要任务有：结构化综合布线系统设计、网络机房系统设计和供电系统的设计等。

　　（1）结构化综合布线系统指建筑物或建筑群内所安装的传输线路这些传输线路将所有的语音设备、数据通信设备、图像处理与安全监视设备、交换设备和其他信息管理系统相连，并按照一定秩序和内部关系组合成整体　　（2）网络机房系统主要包括设备安装和机房环境等　　（3）供电系统主要考虑计算机网络系统中设备机房的电力负荷等级、供电系统的负荷大小、配电系统的设计、供电的方式、供电系统的安全、机房供电设计以及电源系统接地设计等　　二、综合布线技术　　综合布线工程由系统集成商完成，具体实施系统集成过程中的物理设计方案主要完成工作区子系统、水平子系统、垂直子系统、管理间子系统、设备间子系统、建筑群子系统的布线工作　　综合布线系统是模块化、灵活性极高的建筑物或建筑群内的信息传输系统，它既是智能化建筑系统和网络系统的重要底层硬件，又是建筑物内的“信息高速公路”　　综合布线系统主要以非屏蔽双绞线和光缆为传输介质，采用分层星型结构，它既能使语音、数据、图像、通信设备和交换设备与其它信息管理系统彼此相连，又能使这些设备与外部通信网络相连接　　三、网络管理技术　　网络管理主要是保证网络联系畅通和各设备正常运行，统计优化网络的使用性能，保证网络中重要数据的安全等。

网络管理的五个主要功能域为：配置管理，是管理所有的网络设备，随时掌握网络内任何设备的增减与变动，管理所有网络设备的设置参数；故障管理，为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在并进行恢复，包含所有节点动作状态、故障记录的追踪与检查，及平常对各种通讯协议的测试等；性能管理，主要是评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，可提供未来网络提升或更新规划的依据；安全管理，是为防范不被授权的用户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等；计费管理，了解网络使用时间，能针对各个局部网络做使用统计，即可作为使用网络计费的依据，也可作为日后网络升级或更新规划的参考　　四、网络安全技术　　网络安全首先要确定网络上有哪些网络资源，并分析它们可能存在的安全威胁，制订相应的安全性策略，安装、配置、管理各种安全产品与安全有关的产品和工具有防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、数据备份系统、网络管理和监测系统等网络系统安全是指网络系统中计算机硬件、软件的安全性，及信息在处理、存储、传输过程中的保密性、完整性和可控性，确保合法用户的服务和限制非授权用户的服务以及必要的防御攻击的措施。

网络安全在OSI模型中各层的功能如下：　　1.物理层实施内、外网络的物理隔离，安全级别为最高　　2.数据链路层使用信道或数据加密技术来传输信息，安全级别为较高　　3.网络层使用防火墙技术来隔离内、外网络，使用包过滤技术跟踪和隔离入侵者，安全级别为中等　　4.应用层通过用户身份认证来授予用户对资源的访问权，还可采用网络版杀毒软件，安全级别较低　　五、校园网关键技术应用　　1.核心层网络设计　　核心层是网络的核心，核心层设备应该具有高性能的传输功能和高可靠性、可管理性以及高带宽等性能，以达到网络的设计要求大连大学的核心层网络结构采用环状结构，即核心主干交换机与主干交换机互连成环形结构环形结构可以使线路负载均衡，当任何两台交换机之间千兆链路连接出现故障，则可自动切换到另一回路上去，从而满足整个系统的安全可靠性最后实现以图书馆、南区中心宿舍、北区中心宿舍内网络中心的三台千兆AVAYAP880交换机为中心，采用4～16芯的多模／单模光缆为传输介质，分别连接到全校的办公楼、教学楼、专家楼、南北区学生宿舍等60余座楼宇，形成了校园网的主干光缆通道，并且为所有的主干光缆都设计了线路冗余大连大学校园网结构拓扑如图1所示。

　　　　在网络出口上，我们的路由器选择合适的链路接入方式连接Internet，考虑线路的备份要求，我们采用租用DDN专线与中国教育科研计算机网互联，同时我们还使用专用线路与中国网通、中国电信等运营商互联，确保出口接入冗余设计和网络畅通　　2.汇聚层和接入层网络设计　　校园网汇聚层和接入层网络设备用来实现与核心层设备千兆上联，并与用户终端设备连接根据校园网用户的特点，要求实现高端口密度，每个端口价格相对要低网络的安全控制也主要由汇聚层和接入层网络设备来实现　　汇聚层交换机我们选用AVAYAP330系列该交换机支持千兆上联、堆叠和快速以太网，同时提供48个100M快速以太网端口　　接入层交换机采用支持千兆上联和快速以太网的210台AVAYAP120堆叠式交换机，网络设备的带宽为100M到桌面，完全可以满足用户的要求　　3.综合布线系统　　（1）工作区子系统由终端设备连接到信息插座的连线组成，它包括装配软线、连接器和连接所需的扩展软线，不包括终端设备信息插座可以安放在墙壁上、地面上或桌面上，一般要求采用标准的RJ45插头/插座一个工作区面积大小一般为8～10平方米，可根据实际工作区大小确定信息点数。

从RJ45插座到用户终端设备之间的连线使用双绞线，长度一般不要超过10米　　（2）水平子系统指楼层范围内的信息传输介质（4对UTP或光缆及其相关部件）它是实现信息插座和管理子系统间连接的桥梁水平布线子系统设计范围较分散，遍及整个楼宇的每一层用线必须走线槽或在天花板吊顶内布线为了满足高速数据、语音传输及视频（如可视）的需求，以及考虑未来的发展，水平子系统我们选用AVAYA公司的超5类4对非屏蔽双绞线　　（3）垂直主干线子系统又称主干线子系统或垂直竖井系统，是布线系统的垂直走线部分它将整幢楼主配线架与各楼层配线架相连，是一幢多层建筑各楼层之间垂直铺设的骨干馈线电缆或光纤本系统中主要采用大对数双绞线电缆，并铺设在弱电竖井内而对于动物中心等个别低层或单层建筑，则直接通过主配线架连接至工作区　　（4）设备间子系统又叫机房子系统，是在每一幢大楼的适当地点设置进出线设备、网络互连设备的场所通过设备间子系统可以完成各楼层配线子系统之间通信线路的调配、连接和测试，可以与本建筑物外的公用通信网连接本系统中网络主设备间设置在学校中心区图书馆4层主机房作为网络管理中心和总配线间，放置了网络主机柜、网络交换机、服务器、路由器、存储设备及UPS等。

其他楼体设备间子系统共60余个（每个楼体1个），设备间内安放了AVAYA交换机、标准网络机柜、AVAYA配线架、24口AVAYA光纤接线箱及各类线缆等　　（5）管理子系统设置在楼层配线间内，连接垂直子系统和各水平子系统，由各楼层配线架及相关交联、互联、跳线和插头以及各种颜色的标签等装置组成利用配线架的跳线功能，可使布线系统具有灵活性和多功能性在本系统中，我们都保留了足够的空间，以放置配线架和网络设备，在有ＨＵB、交换机的地方配有专用的稳压电源，并保持一定的温度、湿度等因各楼体的实际情况不同，有些楼体未配备管理子系统　　（6）建筑群子系统是建筑物之间相互连接所采用的通信电缆、光纤、微波等以及相连接的所有设备组成的通信线路，将一栋建筑的线缆延伸到建筑群内的其他建筑物的通信设备和设施图书馆、南区中心宿舍、北区中心宿舍内网络中心的三台千兆AVAYAP880交换机之间分别采用16芯单模光缆为传输介质，将三幢建筑物相连再以图书馆为中心，采用4～16芯的多模／单模光缆为传输介质，与行政、教学、办公楼体相连；以南区中心宿舍（南九宿舍）为中心，引出18条单模光纤分别与南区的18个宿舍楼相连；以北区中心宿舍（北三宿舍）为中心，引出13条单模光纤分别与北区的13个宿舍楼相连。

最后形成了校园网的主干光缆通道，并且为所有的主干光缆都设计了线路冗余　　4.网络应用系统　　网络应用和网络资源的建设是校园网络建设的主要部分建设校园网的主要目的是充分利用校内外的网络资源，并且建设自己丰富的网络应用大连大学校园网络自开始建设就提供了通过校园网访问Internet和校内网络资源的应用，并建立了学校自己的Web站点通过互联网广泛宣传大连大学的教学、科研和管理等工作同时建立了E-mail、FTP、DNS、用户账号管理、用户远程拨号、视频点播系统、课件点播及各部门的Web站点等服务　　随着校园网应用的加强，学校将建立自己的管理信息系统和办公自动化系统，实现校内办公的信息化和自动化同时图书馆的图书数据库等已经接入校园网，实现了在校园网所有的计算机上都能够进行图书、期刊等资料的检索和阅览　　5.网络安全系统　　随着互联网的发展，网络安全已经成为高等院校校园网应用中的一个重要问题大连大学校园网络在建设与应用过程中非常重视网络安全问题，并积极地采取了相应的安全措施　　（1）安装企业级应用防火墙在校园网的出口设立硬件防火墙，防止外网非法用户的访问和黑客的入侵将其安装在连接数据库服务器的交换机和中心路由交换机AVAYAP880之间。

对校园内部不同网络间的安全访问进行控制，还可以通过虚拟网的划分和AVAYAP580上的安全控制机制来实现同时将校园内部的相关服务器放置在防火墙内部，以确保校园网能够安全运行　　（2）配备IDS入侵检测系统IDS是用来检测针对计算机系统和网络系统，或者更广泛意义上信息系统的非法攻击的系统IDS已由最初的审计日志分析程序逐渐发展为具有更多系统检查功能的基于主机的入侵检测系统同时，随着计算机网络的发展，基于网络的入侵检测系统在近几年也得到了迅速的发展，它利用数据包嗅探器，截获数据并按照一定的规则进行分析，来检测网络中的恶意行为　　我校IDS的主要功能有：监测并分析用户和系统的活动、核查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为、操作系统日志管理、识别违反安全策略的用户活动等　　（3）VLAN的划分我们选用的AVAYA交换机提供了按照物理端口的MAC地址、IP地址、协议等多种方式划分VLAN（虚拟局域网）的功能利用VLAN技术，将由交换机连接成的物理网络划分成多个逻辑子网考虑到我校的IP地址的数。