基于无线局域网技术的校园网设计方案

谢泽浩

（华北科技学院计算机学院，廊坊 065201）

0 引言

近年来，网络安全问题引起了社会各界的广泛关注，并成为众多学者探讨的焦点［1-3］。其中，安全内参网发布的2022网络攻击情况显示，全球重大网络安全事件频发，供应链攻击、勒索软件攻击、业务欺诈等网络犯罪威胁持续上升，为此提高校园网的网络可靠性和冗余性已经显得刻不容缓。

越来越多的学者开始围绕校园网设计方案问题展开研究，并涉及到了方方面面。 网络发展不是一个国家的趋势，而是一个世界的趋势，国外的网络发展速度更迅速，校园网搭建的相关研究和案例也有了很长的历史，尤其在欧美国家，在互联网发展上取得了关键性突破，积累了无数的案例经验［4］。从1994 年起，就已经有发达国家通过互联网进行教育，开发网上教育平台，从事网络教育等事业。在教育方面，国外积累了丰富的经验，对校园网的研究更加具有前瞻性，更加成熟［5］。2021 年相关研究表明，国外学者对于校外人士通过外网访问校内资源有相应的研究［6］。国内网络发展较迟，受我国传统教育观念的影响，网络教育的发展缓慢。而在2021 年，国内经济发展受到影响，网络教育走进了人们的视线，学生们开始通过网络直播上课，上班族开始通过网络办公来处理工作［7］。网络教育平台的出现为校园网构架提供了线索和方向。

本文旨在为应急管理大学模拟校园网络架构，从数据通信、网络安全等方面实现校园网络的搭建。新建校园网需要用光缆连接楼宇，需要覆盖全部教学楼、宿舍楼以及图书馆和体育馆，必须实现无线网络技术对校园的全覆盖，并且高校校园网将根据未来发展需求同步进行计划，需要在满足当前和未来需求的情况下具备一定的前瞻性。

1 现有网络存在的问题

应急管理大学是2023 年诞生的一所高校，由两所高校合并而来。合并初期就在建设一所国际一流的应急管理中心。旧校区华北科技学院随着校园建设的推进和校园信息化水平的提高，校园网性能方面的问题逐渐暴露出来，主要问题有：

（1）部分线路老化、破损，严重影响了校园网的稳定性和可靠性。使得内网速度下降，影响上网体验。

（2）宿舍区域网络线缆复杂。宿舍区域网络由三家运营商协作建设，同一宿舍楼存在多个运营商线路，管理复杂。

（3）无线网络覆盖不全。原有校园网只有宿舍区域存在网络覆盖，在食堂、教学楼、办公区等区域并无无线网络。随着学校发展，网上选课、课堂查询、在线办公、一卡通消费等网络教学需求需要随时随地接入校园网。

为了满足应急管理大学校园网的基本设施需要，必须对校园网进行升级维护，提高校园网带宽、扩展校园网的覆盖面，为学生提供一个良好的基础网络环境。

2 网络需求分析

通过调研分析，明确了华北科技学院和防灾科技学院的校园网拓扑结构图，确定了高校校园网的基本设定，同时也对本校园网的基本服务对象进行研究分析，服务对象部分是在校师生，部分是已经毕业的应急管理人才，还有一部分是校外的应急培训人士。

2.1 数据中心需求

应急管理大学校园网应该实现的基本功能包括：师生校务中心、图书馆相关功能、FTP服务器功能、校内培训服务器，等等。师生教务处是负责处理师生校务的网络办公地方，例如学生查询自己的成绩，老师录入学生的成绩，等等。图书馆需要接入校园网，方便校内外人士查看。FTP服务器常用于学生提交作业。

2.2 网络建设任务与性能需求

华北科技学院第六届教职工代表大会审议了学校行政工作报告，通报了高校建设总体方案要点，顺利完成各项议程，实现了预期目标。两所高校合并后，为了提高校园网的安全性和覆盖性，需要将防灾科技学院和华北科技学院的校园网进行重新规划，利用原来建筑大楼中存在的大量旧布线，采用无线覆盖的方法来接入校园网。

经过调研发现，应急管理大学总体区域分为七个区域：学生公寓、北区、中区、图书馆、信息楼、崇实楼和南区；七大区域中又有下属楼栋。学生公寓包括桃李园1 号～4 号楼，学子苑1 号～5 号楼的AB 区。北区包括中燕公寓、宜居苑1号～4号楼、覆居苑1号～2号楼、公寓科办公和大学生生活服务中心。中区包括青年公寓、会议中心、求是楼、致远楼、博冠楼、安科楼、安居苑1 号～7 号楼，等等。图书馆包括六个电子阅览室。信息楼包括软件工程实验室、网络工程实验室、计算机组成原理实验室、基础实验室1号～6号等。

采用三层网络结构，接入层由各个楼栋的三层交换机负责，每个楼栋作为一个建筑群子系统功能，每个楼层都有一个适配间，作为水平布线子系统与楼栋总交换机对接。高校是新兴的大学，如果仅仅使用一个交换机（或者路由器），可能会因为核心层三台交换机设备的性能问题和可靠性问题，导致整个网络瘫痪，甚至校园网崩溃。所以最好的处理办法是采用多路由器冗余，将三个路由器的性能进行整合，采用VRRP和STP技术，将三个路由器冗余成一个大的整体路由器，有效提高核心层三台交换机的处理性能和应急性能，最重要的是提高校园网的安全性和可靠性。当核心层其中的一个路由器宕机时，STP协议会将宕机的路由器的身份自动切换到另一个备份路由器，从而使校园网可以继续安全稳定地运行，保证了高校校园网的可靠性。汇聚层的各个汇聚设备通过OSPF 协议进行互通。需要实现内外网访问，也就是需要在出口设备上配置好ACL 和Nat，高校需要为校外人士服务，所以校外人士也需要成功访问内网服务器，需要在出口设备上配置Nat server，在校师生绝大部分是手机连接校园网，所以我们需要配置WLAN、AC和AP，可以使学生无线设备接入校园网。

2.3 可扩展性需求

随着高校的完善，会有更多的应急管理设施的修建，将会引进越来越多先进的国际应急设备，校园网络的高扩展性，是高校必须解决的一个重大难题。

校园网络的可扩展性需求决定了高校校园网适应未来发展的能力［8］。校园网的可扩展性并没有一个固定的指标，我们需要着重考虑高校校园网规模的发展速度，也需要适应国家推动政策。校园网的可扩展性需求最终体现在网络拓扑结构，网络设备的选择和接入。

2.4 子功能需求

设计方案需要实现三个主要模块：电子信息教学、师生远程办公的内外网互联以及无线网络全覆盖。电子信息教学模块要求学生连入网络实验室、应急管理中心、高校图书馆等校园基础设施，方便校内外学员在线学习；师生远程办公的内外网互联就是为了满足高校师生的日常办公行为，例如成绩录入、个人信息检索、空教室查询等；无线网络全覆盖子功能满足师生网络访问需求，需要实现师生认证和审计等功能。

3 方案总体设计

3.1 拓扑结构设计

高校的校园网拓扑结构采用的是星型结构，优点是结构简单、建网容易、控制相对简单、可扩展性强、容易重新配置［9］。星型结构中所有的数据转发都需要通过核心层的三台交换机，所以导致核心层三台交换机的负载过高，核心层的可靠性需要得到保证［10］。缺点是中心设备负载过重，需要高冗余，高备份。

3.2 端口类型选择

（1）一般来说，在网络中的服务器，出口设备路由器，汇聚层交换机网络带宽较高，所以，在拓扑图配置中常常使用G、E 口来配置。在本示例中核心层三台交换机承受的工作负荷是最重的，所以交换机之间采用千兆口（G口）进行互连。

（2）千兆口的耗资大，如果所有的口都采用千兆口，这对学校来说是不现实的，是一种资源浪费，并且接入层和汇聚层的数据流通量达不到千兆，所以采用百兆口（E口）绰绰有余。

3.3 网络扩展端口

交换机的网络扩展主要体现在两个方面：一个是在汇聚层和PC 机的连接端口，汇聚层可能需要加入大量的PC 机，需要预留足够的汇聚层端口，防止端口不够。另一个是核心层加入另外的网络设备，例如新建中心以后需要重新向核心层中加交换机等设备，所以核心层的三台交换机上也需要预留一部分的端口。这一部分的端口也不要完全空留，可以先用端口绑定给其他设备使用，当后期加入新设备时，再将这个端口释放出来即可。

4 防火墙安全区域设计

DMZ 区域，英文翻译为“隔离区”，也称“非军事化区”。它的目的就是解决外网用户不能正常访问内网服务器的问题，专门设立的一个非信任区域与信任区域之间的区域［11］。DMZ区域位于内网和外网之间的局域网内。DMZ 区域用来放置公开的服务器设施，如Web 服务器、FTP 服务器等用来向外部提供教学服务的设备。另一方面，通过这样一个DMZ 区域，更加有效地保护了内部网络。高校的服务器不仅仅为师生提供，还为社会培训人士服务，所以将服务器放在DMZ区域合理。

Trust 区域，中文名为“安全区域”，Trust区域的安全等级是最高的，为85，一般用于内网口，所以设计中我们将所有的内网接口都放入Trust区域中。

UnTrust 区域，中文名为“危险区域”，安全等级最低，为5，一般都是外网接口，比如接入的是电信或者移动通信商等，UnTrust 区域不能访问Trust 区域，这说明外网不能访问内网，大大提高了内网的安全性。

需要注意的是，如果不做安全策略，区域之间默认deny，也就是说，只要没有安全策略，不同区域的任何数据都是不互通的。防火墙安全区域设计如图1所示。

图1 防火墙安全区域设计

5 冗余性设计

5.1 核心层

核心层交换机有三个，SW1、SW2 和SW3。我们采用的STP+VRRP 技术，将SW1 与SW3 实现主备备份，将SW2 与SW3 实现主备备份，其中SW1 和SW2 为主，SW3 为两者的备份。如图2所示。

图2 主备备份

图2 中北区汇聚层和中区汇聚层相互接入核心层的两个设备，核心层的两个设备使用VRRP技术冗余成一个设备，极大地提高了核心层的可靠性。

图3 核心层主备备份中SW2 和SW3 互为主备备份，其中SW2 为主，SW3 为备份，两台设备都开启STP 生成树技术，然后使用VRRP 技术，将图书馆、信息楼、崇实楼和南区的网关进行汇聚。这样，当核心层两个设备中任意一个设备发生故障时，不会引起校园网的瘫痪。

图3 核心层主备备份

5.2 无线局域网

在所有的无线覆盖网络中，不可能只有一个AP，如图4 所示，想要保证校园网全覆盖，至少要使用10 个左右的AP 才可以，这些AP 之间就是互相冗余备份的。在接下来的仿真性实验中需要注意到，我们配置的业务VLAN 并不是配置到AP 上的，而是配置到汇聚AP 的交换机上的，我们给AC配置好管理VLAN140，用这个管理VLAN 来管理我们的AP设备，在汇聚AP的交换机上配置好业务VLAN，这个VLAN 是由配置好所有的AP 共同维护的，也就是说所有的AP 都发射的是同一个WLAN，在校园不同地方都可以连接到这个WLAN 上。每一个Wi-Fi又有两个频段，一个是2.4 G 频段，一个是5G 频段，这些AP共同保证了校园网的冗余性。

图4 无线冗余

6 结语

本文对应急管理大学校园网设计方案进行了详细的描述。先后分析了校园网搭建历程，国内外的进展，然后进行了详细的需求分析。并对校园网设计的总体设计，包括方案图、逻辑网络设计、物理网络设计进行介绍。此外，详细介绍了高校网络拓扑设计的结构图，包括网络要求、设计思路、设计图和防火墙安全区域设计。

通过对华北科技学院和防灾科技学院的校园网进行考察，对高校的需求进行分析，对所需要的网络设备、网络性能进行分析，合理地处理两所学校的校园网关系，对较先进的校园网的主干进行保留，将另一所学校的接入层和汇聚层作为枝干保留，充分考虑两所学校的实际情况，使用华为路由技术、数据通信技术、计算机网络原理技术、网络安全技术，按照设计好的总体拓扑图架构进行配置。最终在模拟器上实现高校的校园网配置。配置好的校园网应该包括基本的应急管理中心，应该有基本的网络教学服务，应该保障校园网与公网进行互联，应该保障校外人士可以正常使用高校对外提供的基本服务，应该保障学校师生可以正常通过学校机房，或者学校图书馆进行校园网访问。