社會在進步，教育事業也在不斷發展中，信息教育也是現在教育制度上普及的一方面。 教育是社會發展的先導，21世紀的教育必須能夠適應信息化社會的需求。本文是一篇教師發表評職論文范文，主要論述了高職院校與運營商合作建設校園網的探索與實踐。

　　摘要：本文以河南護理職業學院校園網建設為例，對高職院校和運營商合作建設校園網絡進行了方案探討，并分析了存在的問題，提出了傳統以太網和無源光網絡并存建設校園網的解決措施。

　　關鍵詞：校園網,運營商,以太網,光網絡

　　發達國家已清楚地認識到高速發展的信息技術和教育工作之間相互影響、相互促進的重要關系，并通過一系列舉措加快教育信息化建設進度，以求能夠滿足信息時代人才培養的需求。我國政府十分重視教育信息化建設，特別是在“面向21世紀教育振興行動計劃”中著重強調了：“利用信息技術推進教育改革，具備網絡化、智能化教學環境及教學、科研、管理、服務數字信息系統是建設一流大學的必要條件和重要標志”。很多高職院校都提出建設數字化校園，并且要高起點規劃、高標準設計，統籌兼顧、分布實施。在這種背景下河南護理職業學院結合學院具體情況，設計出了新校區網絡建設規劃方案。

　　一、方案概述

　　為充分發揮資源優勢，實現學院信息化建設，進而實現學院教育現代化，節省學院建設資金，網絡建設方案采取和運營商合作共建的方式。即由學院和運營商共同商討建設方案，根據商務談判協議，運營商負責建設學生宿舍網絡及其他內容，并與學院校園網無縫對接。

　　我院提出新校區網絡建設要滿足“高起點、面向未來、充分考慮教學、科研、管理”的內在需求，兼顧生活環境等配套因素，最大限度地實現資源共享，最終建成高起點、高質量、高水平、高度信息化、智能化的校區網絡。實現有線、無線、VPN用戶統一身份認證，全網部署IPv6，緊扣前沿技術脈搏，統一規劃高性能、高安全、帶寬透明管理的校園網邊界，關注安全熱點，消除安全盲點。

　　基于以上要求我校設計出了網絡拓撲，如圖1所示。經過設備招標，網絡設備由華三公司中標，將校園網絡分為教學辦公區域和宿舍區域，教學辦公區域采用傳統以太網方式建設，宿舍區域采用無源光網方式建設。教學辦公區域核心使用一臺H3C S10508-V交換機：無線AP采用H3C26201;銳捷的NPE50作為網絡出口。針對校園網內視頻流較多的情況，配置了網絡加速設備PowerCache-X5，在服務器區設置了Web防火墻，使用無源光網絡作為學生區接入設備，共有一套OLT和八套ONU組成，總體來說方案要考慮以下幾點：

　　(1)學生用戶訪問校園網資源不進行計費，為了實現該要求，需要對運營商網關進行下移，通過對網關的下移，可以方便地對訪問校內網流量以及互聯網流量進行分流，既不造成流量迂回對運營商城域網的影響，也更方便校園網資源的開放。

　　(2)為了更好地執行公安部下發的82號令要求，對學生上網行為進行審計，整個網絡需要有支持學生用戶上網行為審計功能。本方案配置了上網行為管理系統AC8300。

　　(3)高品質的網絡不僅需要網絡具備可擴展性，而且還需要很強的可用性。本期網絡建設項目不僅要考慮有線網的可用性，還要考慮無線網的可用性，目前無線網絡建設經常存在無線信號強，但是網絡可用性差的特點，因此需要在方案中特別的考慮。除此之外網絡還需具備可擴展性，包括帶寬的擴展、業務的擴展等等。

　　(4)業務可平滑向下一代網絡遷移，向IPv6遷移兼容現有組網環境，IPv6完全由分布式硬件完成，保護投資;業務可以隨時隨地使用，業務可以基于移動漫游環境，移動漫游環境無需管理者手工干預

　　(5)出口具備抵御攻擊，非法業務的隔離、控制，在線主動抵御等能力;核心網絡自身集成安全防御能力，縮小攻擊、病毒在校園內的影響范圍：用戶接入網絡屏蔽用戶非法操作，隔離網絡攻擊。

　　二、問題探究

　　經過招標建設，我院網絡核心使用一臺H3CS10508-V交換機，教學辦公區域采用有線無線全覆蓋方式，整網采取萬兆主干、千兆到桌面方式建設。學生宿舍區域使用無源光網絡作為接入設備，共有一套OLT和八套ONU組成。為了保證學生區域的使用安全，全套光網絡使用每用戶每VLAN的方式，進行二層隔離。每個從光網絡上行到核心交換機的報文均有兩層標簽的封裝。

　　根據數字化校園建設整體要求和信息化教學的整體規劃，我院校園網內部有豐富的教學資源可供訪問，故希望將學生宿舍互聯網的訪問需求和內網的訪問需求分開處理。即有關于互聯網的訪問直接經由運營商出口進行訪問，需求由運營商負責收費，提供訪問出口;內網的訪問需求通過核心交換進行，只要是在校學生都能夠無償訪問。

　　原計劃通過核心交換機的DHCP功能為所有上網用戶分配IP地址，此時可以訪問內網同時通過訪問策略，限制訪問外網;而后希望上外網的用戶，付費上網，通過PPPoE的方式獲取地址，基于PPPoE方式獲取的IP地址，優先級會高于DHCP方式獲取的地址，那么此時客戶就可以直接訪問外網，不能夠訪問內網，若想要重新訪問內網，則需要將PPPoE連接斷開。不希望上外網的客戶，則可以使用DHCP方式獲取的地址直接訪問內網。

　　由于兩層標簽的存在，以太網交換機通常不能夠對其進行處理，最多只能夠將流量放行，保持兩層標簽的形式。這意味著核心交換機不能夠為客戶端提供DHCP服務。上述的解決方案完全不能夠實現，需要將方案進行改進或變更。

　　三、解決方法

　　要解決上述問題并保障校園網絡用戶的正常訪問，有如下幾種方式：

　　1.無源光網絡不使用兩層標簽

　　理論上，無源光網絡可以不配置兩層標簽，這并不困難。原本需要兩層標簽的主要原因是為了網絡傳輸和二層終結的方便。若是配置OLT設備，讓用戶流量只帶有一層標簽上行到核心交換機，則可以實現核心交換機對客戶端通過DHCP的方式分配地址這一操作。要求OLT設備配置多個用戶在一個VLAN中，比如，6000用戶，可以分為30個VLAN，每VLAN有200用戶�；�于高校學生上網統計，同時在線的用戶數量通常都不到一半。如無源光網絡采用一層標簽，將可以實現核心交換機處理內網的訪問需求，實現最初的設想，讓不同訪問需求的客戶獲取不同地址，按需收費。訪問步驟為： 　　(1)當宿舍區用戶開機時，核心交換機會給所有用戶DHCP 一個校內網地址，用戶通過校內網地址訪問校內資源。

　　(2)當用戶需要上網時，通過PPPoE認證由運營商BAS會下發一個公網地址給宿舍區用戶終端，這個時候之前獲取的DHCP校內網地址和PPPoE的公網地址是并存的，但是PPPoE的地址優先級比DHCP的校內網地址優先級高，所以用戶可以通過BAS認證之后訪問外網而不能夠訪問校內資源。

　　(3)當用戶再需要訪問校內資源的時候，把運營商的PPPoE認證下線，這個時候PPPoE地址消失，用戶終端只有一個DHCP的校內網地址，正常訪問校內資源。

　　這個方法的問題就是同一VLAN客戶端之間的二層網絡是不能夠互相隔離的，這樣會造成一定的安全隱患，同時對OLT設備的性能也提出了更高的要求。

　　2.將網關上移，使用運營商的BAS設備作為學生宿舍區域出口網關

　　如圖2所示，BAS設備可以分為認證域和DHCP域，實際上BAS也是一個路由器，也可以提供DHCP服務。BAS是有能力終結兩層VLAN的標簽。而后，按照原有的方案，所有上網的客戶都直接分配DHCP的IP地址，所有訪問互聯網絡的客戶仍然PPPoE撥號，直接獲取PPPoE的地址。訪問步驟為：

　　(1)宿舍區用戶在通過了運營商的BAS認證之后獲取到PPPoE的公網地址。

　　(2)在運營商BAS上添加一條靜態路由，將目標地址為校內服務器的地址路由再迂回給核心交換機，讓核心交換機轉發至校內服務器。

　　這樣宿舍區用戶在上公網的時候也能夠同時訪問校內資源。但是需要在運營商BAS上面添加靜態路由，而且鏈路迂回，訪問速度及效率上不如直接通過DHCP訪問快，這個方案最大的好處仍然是可以區分不同訪問需要的用戶，只訪問內網的用戶仍然不需要繳費。最大的問題就是，BAS能否直接作為用戶的網關?在運營商規范上是否允許?

　　3.所有用戶都進行認證

　　不論是否有訪問互聯網的需求，所有用戶都要求有運營商的賬號，才能夠上網。也就是說，打破原來訪問內網不計費的設想，只要接入網絡就要進行PPPoE撥號，撥號之后，能夠訪問內網，也能夠訪問外網。這樣所有問題都可以解決，核心交換機作為一個二層通道，直接將流量透傳到BARS設備。其網絡結構如圖3所示。

　　這個方案的好處就是能夠完美地解決地址分配和認證的問題，而且不需要對網絡設備進行大的更改。

　　最大的問題就是無論是訪問內網還是訪問外網學生都需要繳費，對學生是個負擔，也將使校園網絡不完整。

　　4.增加路由器，對兩層VLAN標簽進行處理

　　增加一個路由器，作為DHCP網關，使用路由器對兩層標簽進行處理，在帶有兩層標簽的報文上送到路由器的時候，進行解標簽的處理。在不帶標簽的流量送到路由器的時候，進行兩層VLAN標簽的封裝。兩層標簽被剝離之后，網絡中的其他設備均可以進行識別和處理。同時，需要增加核心交換機對二層標簽透傳的配置，保障流量能夠正常上行到路由器，其網絡結構如圖4所示。它的具體訪問步驟如下：

　　(1)設備接入到網絡中，通過DHCP廣播的方式，請求地址：

　　(2)路由器收到DHCP請求報文之后，在相應VLAN內，為設備分配地址，網關為路由器;

　　(3)如果采用PPPoE的撥號方式，客戶端會直接將報文發送到運營商BARS設備上，請求地址，在獲取到地址之后，虛擬撥號的地址優先級高于DHCP，故可以訪問公網，網關配置的是BARS的地址;

　　(4)如果希望回到內網，將PPPoE下線即可。

　　以上4種訪問方式，不管采用哪種方案都能夠解決問題，但同時也需要進行一些改變，但無論如何作為學院和運營商合作建設的一種嘗試，值得推廣。我院經過討論采取了第四種解決方案，且完美實現了校園網的整體規劃，達到了預期效果。

　　教師評職稱論文發表期刊推薦《黑河教育》雜志是由新聞出版總署批準，全國教育科學研究會主管，黑河日報社主辦。月刊，國內刊號：CN23-1121/G4、國際刊號：ISSN1002-1647。本刊為教育類核心期刊、中國ASPT來源期刊、中國期刊網來源期刊、中國核心期刊遴選來源期刊、中國學術期刊數據庫收錄期刊。本刊堅持以黨的十七大精神為指導，以反映國內外教育教學科研實踐的最新成果，服務于科教興國戰略。