【IT168 专稿】该学校是丰台区内一所较大规模的学校。学校分为小学部和中学部。小学一部和小学二部离学校本部（中学部）物理上有一段距离，所以在构建校园网时难度较大，需要将学校划分成三个相对独立而又有联系的网络。全校共286名教师和近3000名学生，在计算机配置方面有四个机房近200台机器，加上电子阅览室、电子备课室和各个办公室的70台计算机，一共拥有262台高配置的电脑设备。

网络拓扑结构图（点击看大图）

    1、中心机房网络结构：

     由于学校规模较大如果中学、小学各自管理自己的中心机房在人力上存在很大的浪费，再加上小学部网络管理员的水平有限，所以将全学校的核心设备放置在中学部的中心机房由中学部网络管理员统一管理。核心设备方面学校采用的是华为的5516多层交换机，为了提高功能特意增加了四个模快。

    SLOT1连接服务器群；SLOT2连接中学部各个设备；SLOT3的两个端口一个通过光猫连接到小学一部，另一个端口通过光猫连接到小学二部；SLOT4是这个学校的网络出口，通过光猫连接至丰台信息中心的骨干设备CISCO6509，这种网络出口方式就是我们最常见的租用网通传输线路连接区信息中心的方式，该方法有以下几个优点：

    （1）接入速度快：由于采用的是光纤专线接入所以在速度上比一般的ADSL等拨号方式要快很多。

    （2）管理方便：通过这种方式进行接入只需要在交换机上配置缺省静态路由即可，而不需要繁琐的动态路由协议配置，而且不用设置更多的路由策略即可保证校园网的正常通讯。

    （3）资源共享方便：这个方式直接将学校网络接入北京市教育网，所以访问内网资源的速度非常快，这点在学校提供WWW网站等服务时最为明显。

    （4）安全可靠：由于北京市信息中心在市网络出口安装了强大的防火墙，而且各个区的出口也做了相当可靠的防病毒防黑客措施，所以学校可以不花一分钱享受专业防火墙的功能，拦截大部分病毒和黑客的入侵。

    小学一部、二部网络结构：

    从图1中我们可以看到该学校有两个小学部，网络结构基本相似。由于整个学校的网络出口位于中学部的中心机房而且小学部离中学部的物理距离较远，因此在实际应用中采用光纤方式连接小学部的CISCO3500中心交换机和整个学校的核心设备华为5516多层交换机，设备两边均安装光猫进行连接。

    另外在小学部CISCO3500交换机下又接有几台CISCO2900交换机用于下行连接，教学楼每层配置一个交换机连接该层所有布线结点。交换机间采取的是级连方式而没有用堆叠方式进行互连，而且由于端口数量的不足也没有采取链路聚会的方式进行网络线路的备份。

    中学部网络结构：

    中学部的设备档次和小学部基本相似，只是在数量上较多。通过CISCO3500连接学校中心设备5516交换机，并通过多台CISCO2900交换机与3500进行互连，互连方式仍然是最为常见的级连。由于学校中学部有四个机房，所以专门拿出一台2900连接这四个机房。

    在机房的管理上为了提高安全性和可管理性采用的是代理服务器的方式，也就是将学生机用CISCO2900交换机互连，交换机的UPLINK端口连接专门的教师机，在教师机上安装代理服务器软件SYGATE或直接使用远程路由拨号访问组件进行路由配置。

    这样这台教师机担当的就是代理服务器的角色，可以通过在教师机上进行配置随时阻止学生机对外网的访问以及对学生浏览的内容进行最有效过滤。

    服务器群：

    为了加快学校内部及整个教育网对该校服务器的访问速度，学校将服务器放到了专门的服务器群机房中，并直接连接到核心设备华为5516上。服务器方面有WWW服务提供学校网站访问；MAIL服务为学校提供邮件服务，邮件软件采用的是微软出品的EXCHANGE SERVER；另外还安装了专门的资源库服务器，一方面便于收集学校内部老师的优秀课件资源，实现资源的再利用，另一方面可将本校的资源与其他学校甚至其他区县进行共享，为北京市整个资源库的建设提供有力保障。

    为了保证服务器的正常运转防止因停电造成死机数据丢失的问题学校还配置了专门的UPS提供充足的电力，在数据备份方面学校购买了清华诚志的NAS设备来保存珍贵的数据。

    网络优化与管理：

    任何网络都需要不断的监视控制与维护，学校的校园网也不例外，如果建立之后不进行优化和管理的话整个网络的速度将会越来越慢，当病毒发作时还会造成意想不到的恶劣后果。该校建立校园网后还在以下几个方面进行了网络优化与病毒防范：

    （1）由于学校核心设备是三层交换机不是路由器无法通过NAT做地址映射，所以在5516交换机出口上配置了详细的防病毒控制列表，把常用端口都封掉（例如黑客常用的ICMP flood、ip option、ddos等）。

    （2）在服务器上安装了防病毒软件并将不用的端口进行了封锁，也就是说对于WWW服务器只对外宣告80端口，这样就大大降低了黑客的攻击机率。另外将服务器上没用的共享全部删除（包括管理共享C$，D$等），将服务器的密码设置得更加强大，并将administrator用户改名降低权限，将WINDOWS自带的UPDATE功能启用，保证补丁的及时更新。除此之外学校责任到人，要求网络管理员定期通过扫描器扫描服务器上的漏洞信息，发现漏洞及时弥补。

    （3）对5516交换机的各个端口实施了划分VLAN的工作，将中学部和服务器群划分为VLAN10，将小学一部划为VLAN20，学校二部划分为VLAN30，并在分支交换机上进行了VLAN的再划分。通过划分VLAN有效的分割了广播域，将无效的广播数据包限制在一个个小子网内，另外通过划分VLAN还可以防止小学部计算机与中学部办公室计算机的互访，在一定程度上提高了网络的安全。当然对于一些希望能够互访的网段只需要在5516设备上增加相应的路由即可。

    （4）为了保证机房学生的健康上网在各个机房的代理服务器上安装网络净化器、网络警察110等屏蔽软件对非法网站及内容进行过滤。

    （5）在服务器和5516交换机上启用了SNMP协议并修改了默认的社区名，将一台单独的服务器配置为流量监控服务器，并通过流量监控软件定期绘制出图形化的网络流量图方便网络管理员查询，从而确保在第一时间发现网络故障。

    该校网络结构的优缺点：

    这个学校在网络防护方面走在了全市的前面，很多方法值得我们学习。特别是对于病毒及黑客的攻击方面做得很好，在2004年冲击波和震荡波流行的日子里该学校的网络没有出现任何感染病毒的现象。

    任何网络都存在不足，该学校的网络结构上也是如此，例如在防黑方面由于学校资金有限没有配置专门的硬件防火墙，当然如果实在没有经费也可以用一台装有LINUX的主机配置双网卡来实现简单的防火墙功能。

    另外由于病毒种类的层出不穷，仅仅通过限制病毒的常用端口是大大不够的，为了有效的防范未知病毒应该在核心设备上使用acl established命令切断病毒的主动连接。（不过实际中华为5516并不支持acl established命令需要更换核心设备）在交换机的互连方面如果能够采用堆叠方式则可以有效的提高网络互访速度。学校的邮件服务器也没有很好的投入使用，EXCHANGE SERVER在安装后基本没有再应用。