社會在進(jìn)步，教育事業(yè)也在不斷發(fā)展中，信息教育也是現(xiàn)在教育制度上普及的一方面。 教育是社會發(fā)展的先導(dǎo)，21世紀(jì)的教育必須能夠適應(yīng)信息化社會的需求。本文是一篇教師發(fā)表評職論文范文，主要論述了高職院校與運營商合作建設(shè)校園網(wǎng)的探索與實踐。

　　摘要：本文以河南護(hù)理職業(yè)學(xué)院校園網(wǎng)建設(shè)為例，對高職院校和運營商合作建設(shè)校園網(wǎng)絡(luò)進(jìn)行了方案探討，并分析了存在的問題，提出了傳統(tǒng)以太網(wǎng)和無源光網(wǎng)絡(luò)并存建設(shè)校園網(wǎng)的解決措施。

　　關(guān)鍵詞：校園網(wǎng),運營商,以太網(wǎng),光網(wǎng)絡(luò)

　　發(fā)達(dá)國家已清楚地認(rèn)識到高速發(fā)展的信息技術(shù)和教育工作之間相互影響、相互促進(jìn)的重要關(guān)系，并通過一系列舉措加快教育信息化建設(shè)進(jìn)度，以求能夠滿足信息時代人才培養(yǎng)的需求。我國政府十分重視教育信息化建設(shè)，特別是在“面向21世紀(jì)教育振興行動計劃”中著重強調(diào)了：“利用信息技術(shù)推進(jìn)教育改革，具備網(wǎng)絡(luò)化、智能化教學(xué)環(huán)境及教學(xué)、科研、管理、服務(wù)數(shù)字信息系統(tǒng)是建設(shè)一流大學(xué)的必要條件和重要標(biāo)志”。很多高職院校都提出建設(shè)數(shù)字化校園，并且要高起點規(guī)劃、高標(biāo)準(zhǔn)設(shè)計，統(tǒng)籌兼顧、分布實施。在這種背景下河南護(hù)理職業(yè)學(xué)院結(jié)合學(xué)院具體情況，設(shè)計出了新校區(qū)網(wǎng)絡(luò)建設(shè)規(guī)劃方案。

　　一、方案概述

　　為充分發(fā)揮資源優(yōu)勢，實現(xiàn)學(xué)院信息化建設(shè)，進(jìn)而實現(xiàn)學(xué)院教育現(xiàn)代化，節(jié)省學(xué)院建設(shè)資金，網(wǎng)絡(luò)建設(shè)方案采取和運營商合作共建的方式。即由學(xué)院和運營商共同商討建設(shè)方案，根據(jù)商務(wù)談判協(xié)議，運營商負(fù)責(zé)建設(shè)學(xué)生宿舍網(wǎng)絡(luò)及其他內(nèi)容，并與學(xué)院校園網(wǎng)無縫對接。

　　我院提出新校區(qū)網(wǎng)絡(luò)建設(shè)要滿足“高起點、面向未來、充分考慮教學(xué)、科研、管理”的內(nèi)在需求，兼顧生活環(huán)境等配套因素，最大限度地實現(xiàn)資源共享，最終建成高起點、高質(zhì)量、高水平、高度信息化、智能化的校區(qū)網(wǎng)絡(luò)。實現(xiàn)有線、無線、VPN用戶統(tǒng)一身份認(rèn)證，全網(wǎng)部署IPv6，緊扣前沿技術(shù)脈搏，統(tǒng)一規(guī)劃高性能、高安全、帶寬透明管理的校園網(wǎng)邊界，關(guān)注安全熱點，消除安全盲點。

　　基于以上要求我校設(shè)計出了網(wǎng)絡(luò)拓?fù)�，如圖1所示。經(jīng)過設(shè)備招標(biāo)，網(wǎng)絡(luò)設(shè)備由華三公司中標(biāo)，將校園網(wǎng)絡(luò)分為教學(xué)辦公區(qū)域和宿舍區(qū)域，教學(xué)辦公區(qū)域采用傳統(tǒng)以太網(wǎng)方式建設(shè)，宿舍區(qū)域采用無源光網(wǎng)方式建設(shè)。教學(xué)辦公區(qū)域核心使用一臺H3C S10508-V交換機：無線AP采用H3C26201;銳捷的NPE50作為網(wǎng)絡(luò)出口。針對校園網(wǎng)內(nèi)視頻流較多的情況，配置了網(wǎng)絡(luò)加速設(shè)備PowerCache-X5，在服務(wù)器區(qū)設(shè)置了Web防火墻，使用無源光網(wǎng)絡(luò)作為學(xué)生區(qū)接入設(shè)備，共有一套OLT和八套ONU組成，總體來說方案要考慮以下幾點：

　　(1)學(xué)生用戶訪問校園網(wǎng)資源不進(jìn)行計費，為了實現(xiàn)該要求，需要對運營商網(wǎng)關(guān)進(jìn)行下移，通過對網(wǎng)關(guān)的下移，可以方便地對訪問校內(nèi)網(wǎng)流量以及互聯(lián)網(wǎng)流量進(jìn)行分流，既不造成流量迂回對運營商城域網(wǎng)的影響，也更方便校園網(wǎng)資源的開放。

　　(2)為了更好地執(zhí)行公安部下發(fā)的82號令要求，對學(xué)生上網(wǎng)行為進(jìn)行審計，整個網(wǎng)絡(luò)需要有支持學(xué)生用戶上網(wǎng)行為審計功能。本方案配置了上網(wǎng)行為管理系統(tǒng)AC8300。

　　(3)高品質(zhì)的網(wǎng)絡(luò)不僅需要網(wǎng)絡(luò)具備可擴展性，而且還需要很強的可用性。本期網(wǎng)絡(luò)建設(shè)項目不僅要考慮有線網(wǎng)的可用性，還要考慮無線網(wǎng)的可用性，目前無線網(wǎng)絡(luò)建設(shè)經(jīng)常存在無線信號強，但是網(wǎng)絡(luò)可用性差的特點，因此需要在方案中特別的考慮。除此之外網(wǎng)絡(luò)還需具備可擴展性，包括帶寬的擴展、業(yè)務(wù)的擴展等等。

　　(4)業(yè)務(wù)可平滑向下一代網(wǎng)絡(luò)遷移，向IPv6遷移兼容現(xiàn)有組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護(hù)投資;業(yè)務(wù)可以隨時隨地使用，業(yè)務(wù)可以基于移動漫游環(huán)境，移動漫游環(huán)境無需管理者手工干預(yù)

　　(5)出口具備抵御攻擊，非法業(yè)務(wù)的隔離、控制，在線主動抵御等能力;核心網(wǎng)絡(luò)自身集成安全防御能力，縮小攻擊、病毒在校園內(nèi)的影響范圍：用戶接入網(wǎng)絡(luò)屏蔽用戶非法操作，隔離網(wǎng)絡(luò)攻擊。

　　二、問題探究

　　經(jīng)過招標(biāo)建設(shè)，我院網(wǎng)絡(luò)核心使用一臺H3CS10508-V交換機，教學(xué)辦公區(qū)域采用有線無線全覆蓋方式，整網(wǎng)采取萬兆主干、千兆到桌面方式建設(shè)。學(xué)生宿舍區(qū)域使用無源光網(wǎng)絡(luò)作為接入設(shè)備，共有一套OLT和八套ONU組成。為了保證學(xué)生區(qū)域的使用安全，全套光網(wǎng)絡(luò)使用每用戶每VLAN的方式，進(jìn)行二層隔離。每個從光網(wǎng)絡(luò)上行到核心交換機的報文均有兩層標(biāo)簽的封裝。

　　根據(jù)數(shù)字化校園建設(shè)整體要求和信息化教學(xué)的整體規(guī)劃，我院校園網(wǎng)內(nèi)部有豐富的教學(xué)資源可供訪問，故希望將學(xué)生宿舍互聯(lián)網(wǎng)的訪問需求和內(nèi)網(wǎng)的訪問需求分開處理。即有關(guān)于互聯(lián)網(wǎng)的訪問直接經(jīng)由運營商出口進(jìn)行訪問，需求由運營商負(fù)責(zé)收費，提供訪問出口;內(nèi)網(wǎng)的訪問需求通過核心交換進(jìn)行，只要是在校學(xué)生都能夠無償訪問。

　　原計劃通過核心交換機的DHCP功能為所有上網(wǎng)用戶分配IP地址，此時可以訪問內(nèi)網(wǎng)同時通過訪問策略，限制訪問外網(wǎng);而后希望上外網(wǎng)的用戶，付費上網(wǎng)，通過PPPoE的方式獲取地址，基于PPPoE方式獲取的IP地址，優(yōu)先級會高于DHCP方式獲取的地址，那么此時客戶就可以直接訪問外網(wǎng)，不能夠訪問內(nèi)網(wǎng)，若想要重新訪問內(nèi)網(wǎng)，則需要將PPPoE連接斷開。不希望上外網(wǎng)的客戶，則可以使用DHCP方式獲取的地址直接訪問內(nèi)網(wǎng)。

　　由于兩層標(biāo)簽的存在，以太網(wǎng)交換機通常不能夠?qū)ζ溥M(jìn)行處理，最多只能夠?qū)⒘髁糠判校�保持兩層�?biāo)簽的形式。這意味著核心交換機不能夠為客戶端提供DHCP服務(wù)。上述的解決方案完全不能夠?qū)崿F(xiàn)，需要將方案進(jìn)行改進(jìn)或變更。

　　三、解決方法

　　要解決上述問題并保障校園網(wǎng)絡(luò)用戶的正常訪問，有如下幾種方式：

　　1.無源光網(wǎng)絡(luò)不使用兩層標(biāo)簽

　　理論上，無源光網(wǎng)絡(luò)可以不配置兩層標(biāo)簽，這并不困難。原本需要兩層標(biāo)簽的主要原因是為了網(wǎng)絡(luò)傳輸和二層終結(jié)的方便。若是配置OLT設(shè)備，讓用戶流量只帶有一層標(biāo)簽上行到核心交換機，則可以實現(xiàn)核心交換機對客戶端通過DHCP的方式分配地址這一操作。要求OLT設(shè)備配置多個用戶在一個VLAN中，比如，6000用戶，可以分為30個VLAN，每VLAN有200用戶�；�于高校學(xué)生上網(wǎng)統(tǒng)計，同時在線的用戶數(shù)量通常都不到一半。如無源光網(wǎng)絡(luò)采用一層標(biāo)簽，將可以實現(xiàn)核心交換機處理內(nèi)網(wǎng)的訪問需求，實現(xiàn)最初的設(shè)想，讓不同訪問需求的客戶獲取不同地址，按需收費。訪問步驟為： 　　(1)當(dāng)宿舍區(qū)用戶開機時，核心交換機會給所有用戶DHCP 一個校內(nèi)網(wǎng)地址，用戶通過校內(nèi)網(wǎng)地址訪問校內(nèi)資源。

　　(2)當(dāng)用戶需要上網(wǎng)時，通過PPPoE認(rèn)證由運營商BAS會下發(fā)一個公網(wǎng)地址給宿舍區(qū)用戶終端，這個時候之前獲取的DHCP校內(nèi)網(wǎng)地址和PPPoE的公網(wǎng)地址是并存的，但是PPPoE的地址優(yōu)先級比DHCP的校內(nèi)網(wǎng)地址優(yōu)先級高，所以用戶可以通過BAS認(rèn)證之后訪問外網(wǎng)而不能夠訪問校內(nèi)資源。

　　(3)當(dāng)用戶再需要訪問校內(nèi)資源的時候，把運營商的PPPoE認(rèn)證下線，這個時候PPPoE地址消失，用戶終端只有一個DHCP的校內(nèi)網(wǎng)地址，正常訪問校內(nèi)資源。

　　這個方法的問題就是同一VLAN客戶端之間的二層網(wǎng)絡(luò)是不能夠互相隔離的，這樣會造成一定的安全隱患，同時對OLT設(shè)備的性能也提出了更高的要求。

　　2.將網(wǎng)關(guān)上移，使用運營商的BAS設(shè)備作為學(xué)生宿舍區(qū)域出口網(wǎng)關(guān)

　　如圖2所示，BAS設(shè)備可以分為認(rèn)證域和DHCP域，實際上BAS也是一個路由器，也可以提供DHCP服務(wù)。BAS是有能力終結(jié)兩層VLAN的標(biāo)簽。而后，按照原有的方案，所有上網(wǎng)的客戶都直接分配DHCP的IP地址，所有訪問互聯(lián)網(wǎng)絡(luò)的客戶仍然PPPoE撥號，直接獲取PPPoE的地址。訪問步驟為：

　　(1)宿舍區(qū)用戶在通過了運營商的BAS認(rèn)證之后獲取到PPPoE的公網(wǎng)地址。

　　(2)在運營商BAS上添加一條靜態(tài)路由，將目標(biāo)地址為校內(nèi)服務(wù)器的地址路由再迂回給核心交換機，讓核心交換機轉(zhuǎn)發(fā)至校內(nèi)服務(wù)器。

　　這樣宿舍區(qū)用戶在上公網(wǎng)的時候也能夠同時訪問校內(nèi)資源。但是需要在運營商BAS上面添加靜態(tài)路由，而且鏈路迂回，訪問速度及效率上不如直接通過DHCP訪問快，這個方案最大的好處仍然是可以區(qū)分不同訪問需要的用戶，只訪問內(nèi)網(wǎng)的用戶仍然不需要繳費。最大的問題就是，BAS能否直接作為用戶的網(wǎng)關(guān)?在運營商規(guī)范上是否允許?

　　3.所有用戶都進(jìn)行認(rèn)證

　　不論是否有訪問互聯(lián)網(wǎng)的需求，所有用戶都要求有運營商的賬號，才能夠上網(wǎng)。也就是說，打破原來訪問內(nèi)網(wǎng)不計費的設(shè)想，只要接入網(wǎng)絡(luò)就要進(jìn)行PPPoE撥號，撥號之后，能夠訪問內(nèi)網(wǎng)，也能夠訪問外網(wǎng)。這樣所有問題都可以解決，核心交換機作為一個二層通道，直接將流量透傳到BARS設(shè)備。其網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

　　這個方案的好處就是能夠完美地解決地址分配和認(rèn)證的問題，而且不需要對網(wǎng)絡(luò)設(shè)備進(jìn)行大的更改。

　　最大的問題就是無論是訪問內(nèi)網(wǎng)還是訪問外網(wǎng)學(xué)生都需要繳費，對學(xué)生是個負(fù)擔(dān)，也將使校園網(wǎng)絡(luò)不完整。

　　4.增加路由器，對兩層VLAN標(biāo)簽進(jìn)行處理

　　增加一個路由器，作為DHCP網(wǎng)關(guān)，使用路由器對兩層標(biāo)簽進(jìn)行處理，在帶有兩層標(biāo)簽的報文上送到路由器的時候，進(jìn)行解標(biāo)簽的處理。在不帶標(biāo)簽的流量送到路由器的時候，進(jìn)行兩層VLAN標(biāo)簽的封裝。兩層標(biāo)簽被剝離之后，網(wǎng)絡(luò)中的其他設(shè)備均可以進(jìn)行識別和處理。同時，需要增加核心交換機對二層標(biāo)簽透傳的配置，保障流量能夠正常上行到路由器，其網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示。它的具體訪問步驟如下：

　　(1)設(shè)備接入到網(wǎng)絡(luò)中，通過DHCP廣播的方式，請求地址：

　　(2)路由器收到DHCP請求報文之后，在相應(yīng)VLAN內(nèi)，為設(shè)備分配地址，網(wǎng)關(guān)為路由器;

　　(3)如果采用PPPoE的撥號方式，客戶端會直接將報文發(fā)送到運營商BARS設(shè)備上，請求地址，在獲取到地址之后，虛擬撥號的地址優(yōu)先級高于DHCP，故可以訪問公網(wǎng)，網(wǎng)關(guān)配置的是BARS的地址;

　　(4)如果希望回到內(nèi)網(wǎng)，將PPPoE下線即可。

　　以上4種訪問方式，不管采用哪種方案都能夠解決問題，但同時也需要進(jìn)行一些改變，但無論如何作為學(xué)院和運營商合作建設(shè)的一種嘗試，值得推廣。我院經(jīng)過討論采取了第四種解決方案，且完美實現(xiàn)了校園網(wǎng)的整體規(guī)劃，達(dá)到了預(yù)期效果。

　　教師評職稱論文發(fā)表期刊推薦《黑河教育》雜志是由新聞出版總署批準(zhǔn)，全國教育科學(xué)研究會主管，黑河日報社主辦。月刊，國內(nèi)刊號：CN23-1121/G4、國際刊號：ISSN1002-1647。本刊為教育類核心期刊、中國ASPT來源期刊、中國期刊網(wǎng)來源期刊、中國核心期刊遴選來源期刊、中國學(xué)術(shù)期刊數(shù)據(jù)庫收錄期刊。本刊堅持以黨的十七大精神為指導(dǎo)，以反映國內(nèi)外教育教學(xué)科研實踐的最新成果，服務(wù)于科教興國戰(zhàn)略。