無線校園網路設計與實現

A. 校園網基本網路搭建及網路安全設計分析

摘要：伴隨著Internet的日益普及，網路應用的蓬勃發展，網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊，網路中的敏感數據有可能泄露或被修改，保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建，通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。

關鍵詞：校園網；網路搭建；網路安全；設計。

以Internet為代表的信息化浪潮席捲全球，信息 網路技術 的應用日益普及和深入，伴隨著網路技術的高速發展，各種各樣的安全問題也相繼出現，校園網被「黑」或被病毒破壞的事件屢有發生，造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。

一、 基本網路的搭建。

由於校園網網路特性（數據流量大，穩定性強，經濟性和擴充性）和各個部門的要求（製作部門和辦公部門間的訪問控制），我們採用下列方案：

1. 網路拓撲結構選擇：網路採用星型拓撲結構（如圖1）。它是目前使用最多，最為普遍的區域網拓撲結構。節點具有高度的獨立性，並且適合在中央位置放置網路診斷設備。

2.組網技術選擇：目前，常用的主幹網的組網技術有快速乙太網（100Mbps）、FDDI、千兆乙太網（1000Mbps）和ATM（155Mbps/622Mbps）。快速乙太網是一種非常成熟的組網技術，它的造價很低，性能價格比很高；FDDI也是一種成熟的組網技術，但技術復雜、造價高，難以升級；ATM技術成熟，是多媒體應用系統的理想網路平台，但它的網路帶寬的實際利用率很低；目前千兆乙太網已成為一種成熟的組網技術，造價低於ATM網，它的有效帶寬比622Mbps的ATM還高。因此，個人推薦採用千兆乙太網為骨幹，快速乙太網交換到桌面組建計算機播控網路。

二、網路安全設計。

1.物理安全設計 為保證校園網信息網路系統的物理安全，除在網路規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面：對主機房及重要信息存儲、收發部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計，如信號線、電話線、空調、消防控制線，以及通風、波導，門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制，由於電纜傳輸輻射信息的不可避免性，現均採用光纜傳輸的方式，大多數均在Modem出來的設備用光電轉換介面，用光纜接出屏蔽室外進行傳輸。

2.網路共享資源和數據信息安全設計 針對這個問題，我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN（Virtual LocalArea Network）即虛擬區域網，是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。

IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

但由於它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中，即使是兩台計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發，從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的，它在乙太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍，並能夠形成虛擬工作組，動態管理網路。從目前來看，根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員，被設定的埠都在同一個廣播域中。例如，一個交換機的1，2，3，4，5埠被定義為虛擬網AAA，同一交換機的6，7，8埠組成虛擬網BBB。這樣做允許各埠之間的通訊，並允許共享型網路的升級。

但是，這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN，不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員，其配置過程簡單明了。

3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術，防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。

第一，防病毒技術。病毒伴隨著計算機系統一起發展了十幾年，目前其形態和入侵途徑已經發生了巨大的變化，幾乎每天都有新的病毒出現在INTERNET上，並且藉助INTERNET上的信息往來，尤其是EMAIL進行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。

為保護伺服器和網路中的工作站免受到計算機病毒的侵害，同時為了建立一個集中有效地病毒控制機制，天下論文網需要應用基於網路的防病毒技術。這些技術包括：基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如，我們准備在主機上統一安裝網路防病毒產品套間，並在計算機信息網路中設置防病毒中央控制台，從控制台給所有的網路用戶進行防病毒軟體的分發，從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後，不但可以做到主機防範病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統，從而保證計算機網路信息安全。形成的整體拓撲圖。

第二，防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備，專門用於TCP/IP體系的網路層提供鑒別，訪問控制，安全審計，網路地址轉換（NAT），IDS，，應用代理等功能，保護內部 區域網安全 接入INTERNET或者公共網路，解決內部計算機信息網路出入口的安全問題。

校園網的一些信息不能公布於眾，因此必須對這些信息進行嚴格的保護和保密，所以要加強外部人員對校園網網路的訪問管理，杜絕敏感信息的泄漏。通過防火牆，嚴格控制外來用戶對校園網網路的訪問，對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護，包括：過濾掉不安全的服務和非法訪問，控制對特殊站點的訪問，提供監視INTERNET安全和預警，系統認證，利用日誌功能進行訪問情況分析等。通過防火牆，基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問，保護重要主機上的數據，提高網路完全性。校園網網路結構分為各部門區域網（內部安全子網）和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。

內部安全子網連接整個內部使用的計算機，包括各個VLAN及內部伺服器，該網段對外部分開，禁止外部非法入侵和攻擊，並控制合法的對外訪問，實現內部子網的安全。共享安全子網連接對外提供的WEB，EMAIL，FTP等服務的計算機和伺服器，通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器，隱藏伺服器的其它服務，減少系統漏洞。

參考文獻：

[1]Andrew S. Tanenbaum. 計算機網路（第4版）[M].北京：清華大學出版社，2008.8.

[2]袁津生，吳硯農。 計算機網路安全基礎[M]. 北京：人民郵電出版社，2006.7.

[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.

B. 校園網的實施方案

前言：

近年來，隨著網路技術、INTERNET的發展和CERNET（中國教育科研網）的迅速壯大，全國已有四百多所高校建成校園網並接入CERNET。校園網的建設已成為高校實力與發展水平的標志。我院辦學的規模、層次正在迅速地擴大和提高，建設一個先進、實用的校園網，實現校內外信息的快速傳遞，使教學、科研、管理步入信息化、網路化，從而提高辦學水平和辦學效益已成為必然選擇。為此，學院決定投資建設校園網。

一：設計分析

二：設計原則

1、系統性。

校園網是一個復雜的系統，校園網建設無疑是一個復雜的系統工程。網路的規劃、設計、硬體建設、軟體建設以及網路的使用、擴充等均以系統的眼光來看等。任何一項工作都從全局、長遠的角度出發，體現整體最優性。

2、先進性、實用性。

校園網規劃、設計盡可能地採用先進技術，同時也要兼顧技術的成熟性和實用性。計算機網路技術的發展一日千里，不考慮技術的先進性，無疑會形成建成不久即面臨淘汰的局面。而一味追求先進，不考慮技術的成熟性，將存在巨大的風險。因為先進性是以大量的資金投入為代價的。另一方面，一味追求先進，以至脫離自己的實際需求，也是沒有實際意義的。

3、開放性、發展性。

系統的規劃、設計應採用開放技術、開放結構、開放系統組件和開放用戶介面，有良好的兼容性，以利於網路的維護、擴展、升級及與外界的溝通。既要滿足現在和未來五年的用戶需求，又要考慮將來向更為先進的技術實現低成本平滑地升級過渡。

4、安全性。

系統具有多層次的安全控制手段，完善的安全管理體系，防止受到黑客攻擊和破壞。

5、易用性、可靠性。

系統要求設計簡單，層次清晰，軟、硬體設備性能優良，功能完善，運行穩定、可靠，易於維護。

6、經濟性。

系統設計和資金投向合理，體現良好的性能價格比。力爭少花錢，多辦事。

7、統一規劃，分步實施。

學校經費十分有限，一次性拿出大筆資金使網路建設一步到位是不現實的，也沒有這個必要。因為網路建設本身不僅是硬體建設，更重要的是軟體建設和實際應用，而軟體建設和實際應用需要逐步地依據需求的增長來完成悔州。另一方面，整個網路系統也必須隨著網路技術的發展不斷地擴展和升級，需要連續的資金投入。但有些關鍵性的基礎設施必須一步到位，如綜合布線系統、主要網路設備、伺服器及操作系統軟體等。

三：方案

校園網網路主要包括校園辦公系統、校園內部主頁、內部電子郵件、多媒體教室、電子圖書御擾館系統、內部信息服務系統等；

1、概述

上圖是聯想校園網的拓撲圖，在系統中，整個網路由網路中心、辦公子網、多媒體教室、圖書館子網等組成，其中網路中心是整個網路的主幹系統，是網路的總節點，其餘各子網是功能子網，建立相應的網路環境，適應多種應用。

網路中心構成總節點，各個子網的中心作為二級節點。網路中心使用聯想智能型模塊化交換機，為了滿足高速度、高性能的要求，二級節點採用交換結構，二級交換機再連接到下級交換機或集線器，子網中的工作站、伺服器就連接到這些交換機或集線器上。

2、網路中心

網路中心形成了主幹網，是整個校園網的總節點，並提供連接廣域網和撥入服務。（實現校-校通的功能）在主幹網系統採用乙太網結構。

採用這一方式有如下幾個主要優點：

?千兆交換式乙太網可以為每個埠提供IG的帶寬，完全可以滿足用戶對速度的需要；

?經濟使用，具有較高的性價比；

?千兆乙太網已經獲得廣泛支持；

?從現有的傳統乙太網可以平滑地過渡到千兆乙太網，不需要掌握新的配置、管理等技術；

?千兆乙太網技術具有良好的互操作性，並具有向後兼容性。

在方案中，中心機房放置著中心交換機、伺服器群、路由器、機架MODEM等網路設備，這些設備以中心交換機作為中心，以星形拓樸結構通過雙絞電纜線連接在一起。網路中心與子網的連接鎮前旦，是通過根據與子網的距離，通過光纖和雙絞電纜線將中心交換機和子網的交換機或集線器連接起來。

3、外部連接介面

整個校園網與外部的連接介面可以分成兩個：

?一個是連接到廣域網Internet（國際互連網）。

?一個是作為服務中心，接收外部用戶通過撥號接入校園網（實現校-校通）。

在連接到廣域網時，可以採用聯想路由器，聯想路由器具有一到兩個廣域網介面、一個區域網介面、一具備份口、一個控制口，可以PPP、幀中繼、X25、HCLC、撥號等協議。廣域網介面可以使用DDN或幀中繼連接到廣域網，備份介面可以作為備份線路，當專線出現故障時，可以使用ISDN/MODEM撥號連接到廣域網。備份介面也可以直接撥號連接到廣域網，作為連接廣域網的基本埠。

為了將校園網給遠程用戶，例如學生、教師在家裡訪問校園網，網路中心必須提供遠程撥號服務。在這個服務中，可以使用聯想遠程訪問路由器或者336NMS機架MODEM。聯想路由器具有8個非同步埠，可以連接多達8個ISDN或MODEM作為應答設備，遠程用戶通過MODEM/ISDN撥號連接這些設備，就可以登錄、進入校園網。336NMS機架MODEM提供多達16路撥入埠，可以同時接收16個遠程用戶的撥號接入，與伺服器配合提供遠程撥號服務。

4、辦公子網

學校管理機構作為學校的中樞管理系統，協調、組織整個學校工作的正常運行，為了能適應管理機構的功能，辦公子網需要針對用戶的許可權，完成數據生成、修改、查詢，進行辦公自動化、人員資料管理、課程管理等方面的工作。

辦公子網與網路中心的信息通信比較多、每天要訪問大量的數據，還有音頻、視頻等方面的需求，可以採用聯想帶一個千兆光纖模塊的交換機，在有網路中心的中心交換機通信時有IG的帶寬，足以適應各種場合的應用。

聯想集線器可以進行堆疊，增加用戶數目，還可以使用光纖模塊，適合用在距離子網中心比較遠、需要使用光纖的科室。每個堆疊後的集線器構成子系統的節點，連接各PC、終端設備等，子系統內的設備可以直接進行通信，與其他部門的聯系需要通過二級交換機。

5、多媒體教學子網

在多媒體教學活動中，需要有大量的視頻、音頻數據進行傳輸，而基於共享工作方式的集線器，其有限帶寬、廣播式工作模式不利於這些信號的傳輸。所以推薦採用交換機用為主要設備，只有在個別用戶數目比較少、對信號質量要求不高時，採用集線器。

多媒體教室與網路中心的數據通信一般不多，但距離比較遠，可以根據教室的多少，增加二級交換機，各個教室採用埠數比較多的交換機。

6、圖書館子網

圖書館子網主要功能是在圖書館范圍內進行計算機文獻檢索、電子閱讀、計算機借還系統以及在校園網上進行文獻檢索等。由於圖書、文獻等多以文本的形式出現，數據量不大，可以採用集線器作為節點。

圖書館子網中需要存儲大量數據，所以要設置專用的資料庫伺服器作為數據存儲、管理系統，數據存放在光碟塔、硬碟陣列等系統中，支持圖書館子網和校園網用戶的訪問和查詢。圖書館子網與網路中心採用100M帶寬的交換機。

四：設備選擇

綜合布線系統：選擇AVAYA品牌，非屏蔽產品。超五類雙絞線、室外六芯多模光纖、高帶寬、穩定、擴展性好。優秀的傳輸性能指標，以及非常少的誤碼率，非常好的性價比。

計算機網路系統：選擇國產港灣網路產品產品，具有業界領先的、卓越的產品性能。

公共廣播系統：選用我公司專門為學校用戶設計的中央控制主機，系統價格和性能適合本工程應用。其中背景音響系統部分裝置可以和消防報警系統合用，消防報警可以強切廣播。

安防監控系統：選用杭州錫安數碼科技有限公司開發的數碼影像網路監視系統。

有線電視接收系統：衛星前端設備選擇美國PBI的先進產品和高性價比的國產工業級產品，具備很好的穩定性。對於閉路電視雙向控制系統，我們建議採用更先進的、性價比更高的基於IP網路技術的CiscoIP/TV來代替原先傳統的主控器/分控器模式。

大屏顯示系統：在不同的區域選擇不同規格的LED雙基色大屏系統。

有些沒的自己加下。。。。。。

C. 需要一個無線校園網路規劃和設計的參考方案~~用Cisco Packet Tracer做的~~最好是IP有分配~~也可以用OPNET

無線校園網建設方案

現狀

隨著信息時代的到來，各個學校意識到校內網路建設的重要性，只有實現高度的信息共享，建設完善的校園網路平台，才能夠發展成為一所現代化的學校。現在學校辦學條件的日趨完善，近年來實現了與Internet互聯，同時建成了校園網路，實現校內外信息的共享、傳遞，而網路信息的普及，以及計算機硬體設備價格的下降，越來越多的學生擁有了筆記本電腦，因此學生要求在校園內實現移動上網的呼聲越來越高，而校內的教學樓和宿舍樓因建成時間較早，沒有網路綜合布線設計，類似的原因制約了學校現代化辦學的指導思想，伴隨著IEEE802.11標準的出台，解決這一矛盾在無線技術發展成熟的今天已不是問題，同時，無線區域網(WLAN)還擁有傳統網路所不能比擬的擴容性和移動性，在校園內採用無線區域網技術實施校園網路工程，可適應在校學生移動性強、數量大等特點，最大限度地滿足學生上網需求，並且對於創建較早的學校來說，年代較久的教學樓不宜拉網布線，理想的解決方案就是布署無線區域網。

需求

在校園無線網路建設需求中，主要存在四種典型的應用：

l實現以地區教育局為中心的整個地區教育系統的無線網路連接;

l校園內的戶外公共區域覆蓋;

l局部開放的室內大環境，如典型公共教室、圖書閱覽室等無線覆蓋;

l用戶數量不多但分布較散的樓宇，如教學辦公樓、宿舍等的無線網路覆

應用方案

室內覆蓋：

在室內根據覆蓋需要，放置若干個無線區域網訪問點，用戶在移動時，系統會自動漫遊，在不同的訪問點之間進行信號的切換。這些訪問點連接到各樓的校園骨幹網。也就是將多個AP形成的各自的無線信號覆蓋區域進行交叉覆蓋，各覆蓋區域之間無縫連接。所有AP通過雙絞線與有線骨幹網路相連，形成以有線網路為基礎，無線覆蓋為延伸的大面積服務區域。所有無線終端通過就近的AP接入網路，訪問整個網路資源。

方案採用高靈敏度的Orinda無線AP設備，配合吸頂天線，以一個AP配合一個天線，或一個AP配合多個天線，以保障高質量的無線信號能夠覆蓋更遠的距離，同時增強設備在干擾較大的頻率環境中使用的能力，從而完成室內區域的完全覆蓋要求。

側面圖俯視圖

室外覆蓋：

室外區域覆蓋一般包涵，體育場，校內花園，中心廣場，教學樓，實驗樓樓宇間等。根據需覆蓋的室外區域的實際情況，選擇不同。

(1)設備的選擇：AP、全向天線、定向天線。

(2)室外考慮因素：環境、天氣。

設計建立多個無線覆蓋點，均採用Orinda電信級室外型AP2411E0，根據客戶要求每個覆蓋點覆蓋范圍半徑達到200米，信號強度在70dbm，速率達到54mbps，採用重疊交叉無線覆蓋的方式，完成區域的無縫無線覆蓋。配合室外大夾角定向天線或高增益全向天線，成功實現系統設計目標。使用戶在區域內任何角落都可以通過無線訪問校園網路。

室外覆蓋示意圖

D. 校園網路監控系統的設計與實現_簡單的校園網路設計和實現

摘 要： 在校園網路的具體應用中，監控系統提供主要的技術支撐。監控系統是任務調度、資源分配、性能調節的基礎，其具有較強的數據監測能力和數據分析能力，為中間層的中間件、系統組件等提供基礎數據信息。針對大學校園網的監控需求開展研究，設計和實現校園網網路監控系統，系統設計可以動態設置多層虛擬監控域，並對網路的監控區域進行分區監控。
關鍵詞： 校園網路：監控系統；管理；設計
在校園網路的應用范圍里，其自身具有較多的特點，如校園網的速度快、規模大，難於管理；計算機系統管理也相對復雜，涉及的層面較多；用戶群體包括學生、老師等，尤其是學生群體具有一定的活躍性，在管理過程中必須予以相應的監控和管理；校園的網路環境必須具有開放性，這就給網路管理增加了難度；在管理費用上，由於學校的主要投入都應用於教學和師資建設，因此在這方面的管理資金有限；在網路中的盜版資源泛濫，難於統一和整合，也給整個校園網帶來了諸多安全隱患等等。
基於以上問題，我們需要建立先進、科學的校園網路監控系統，保證系統可擴展性、安全性的同時，接受計算機高速發展以及計算機數量呈幾何數字增長所帶來的嚴峻挑戰。本文的研究首先詳細分析了校園網路的特點，同時剖析了目前網路監控系統的科研現狀，並給出了層歲腔次分域監控系統的系統設計。本文最後通過實驗方法，對監控系統的有效性進行理論驗證，並給出系統的總體評價。
1 相關研究
1.1 校園網網路的特點
校園網網路的特點主要包沖雀圓括：網路資源具有集中性的特點，但在地理位置上卻具有一定的分布格局；校園網的網路所覆蓋地理范圍相對較大，網路部署規模具有多性；校園網具有多級管理域，且用於大型科學計算的計算需求很多；一般校園網都是建立在CERNET平台上，網速快，可校外網的網速大多受到一定的約束；在邏輯結構設計方面，其結構雖然不十分復雜，可在設計過程中需要注意其異構性、動態性的特點。
1.2 校園網網路監控系統
目前，基於校園網網路監控體系結構GMA（Grid Monitoring）
在很多網格監控系統已經作為一種業內標准被廣泛採用。GMA網路監控體系結構主要建立在「生產者消費者」模型的基礎之上，通過此模型為網路提供一種網路監控系統能夠實現互操作的系統體系架構，同時還可以給出系統的整體解決方案。在基於GMA的系統框架里，監控系統方案主要分為兩個發展方向：即基於關系網格監控結構的R-GMA（Relative-Grid Monit
oring）以及基於層次結構的GLOBUS MDS。目前，在國內的很多相關研究，科研成果主要有GMA-C監控系統、GRIDMON監控系統等。這些監控系統均實現了樹狀結構的網路監控系統，在基於LDAP目錄服務的框架內，將系統的動態信息、靜態信息統一整合到LDAP目錄中，並通過中間件技術解決校園網的介面問題，通過組件技術解決校園網路的網路安全問題。
採用集中式的存檔管理是監控系統自身的特點，校園網中的節點數目相對較少，而將大量的監控數據信息暫存在數量相對較少數節點上，其必然降低了各個節點的網路傳輸性能和系統吞吐量。而且，現有的成型的監控系統中不具備可視化的操作界面，校園網路十分復雜，管理任務艱巨，因此完全不能滿足校園網路的管理的基本需求，不能實現校園網路的人性化管理。基於校園網路環境的背景復雜，監控系統缺乏針對校園網路的通用監控平台來保證散塌網路管理的正常運行。
2 校園網監控系統的設計與實現
2.1 監控系統的總體架構
在地理上與組織上，校園網網路資源普遍具有分布性和動態分布的特點。網路的「動態」和「分布」不等同於網路的無序劃分，實際上很多網格資源都能夠進行劃分，劃分後形成多個資源域，將每一個資源域進行獨立劃分後，由同一個組織管理網路資源組成，也可以有地理上相近的組織管理資源組成。一般情況下，在校園網路里，一個資源域由某一個實驗室的監控設備構成，通過實驗室集中對網路進行維護與管理。
在校園網路監控系統的設計中，按照監控目標所屬的不同資源域的不同，節點中數據的暫存和整個網路的監控對象，按自上而下的方式被劃分成若干區域，通過對這些區域進行集中、統一的管理，可以實現整個校園網的網路監控。監控系統的整體結構的劃分也對應這種模式，將其劃分成若干個可自治的本地資源域（LRD），每個資源域中配置有監控設備，由本地資料庫、監控代理SMA（Sub Monitor Agent）和RAM（Resource Adaptor Middleware）三者構成。
在地理上或組織上層面，多層虛擬監控域包含了所有的資源域，且通過監控管理，可以對VMR監控范圍進行調節。其中，S-VMR（即中心監控域）主要負責存儲校園網全局網路數據，並對這些數據進行監控；而Portal主要負責從S-VMR中提取數據，並以圖表形式進行顯示後集中在客戶端中進行發布；Unregister Agent（UA）和Register Agent（RA）同全局LDAP伺服器按需求不同劃定不同的監控范圍，並交互實現VMR的注冊操作和注銷操作。
2.2 模塊設計與實現
2.2.1 RAM設計
系統的RAM主要對信息收集處理模塊和資源組管理模塊（ICH和RGM）進行統一封裝操作，並採用不同的策略和實現機制進行監控系統的模塊化設計，以實現系統中間件的策略管理，保證系統的可擴展性和可移植性。
其中ICH（IMORMATION Collection Handling）模塊主要實現網路傳輸數據的收集和處理，針對的目標是集群內的所有管理主機節點的粒度相對較細的數據。通過Socket傳輸模式，將監控信息定時、快速地傳送給RGM（Resource Group Management），接受信息後對請求進行處理操作。
監控過程主要通過子進程實現，而子進程一般通過守護進程派生出來。校園網網路資源信息的類型有諸多種類，針對獲取方式的不同，信息採集採用get Message()方法，而系統的子進程採用get Process()方法，對不同的集群提供的一整套統一的外部介面，通過對介面的調用實現監控信息的集中調用和數據的集中管理。在安裝LSF以及安裝DHPQ集群系統的計算機資源中，通過其提供的外部介面命令可以獲取主機運行狀態、主機數目等系統信息參數。
2.2.2 域監控器Monitor的設計
域監控器Monitor的設計主要在LDAP中展開。首先，監控系統在第一時間獲取校園網網路環境中監控域主機的網路地址（IP地址），並通過定時傳輸的方式，由Monitor域監控器向靜態Agent組件等中間件發送監控請求，請求對監控節點數據進行監控；其次，進行具體操作，如VMR注冊、VMR注銷，網路資源信息的獲取等，所有操作均通過Agent組件動態調用的方式實現監控數據的處理。域監控器設計的開發平台採用IBM Aglet，基於Java語言的進行程序設計，本系統中設計和實現了多種Agent，可以實現不同的校園網路的監控需求。如下表1所示。
系統設計需提供了容錯保障機制，保障機制主要分為資料庫連接故障處理以及集群故障的處理，通過設置故障標志位（SQLLS Wrong，XXLS Wrong）的方式進行故障的排錯操作。
3 系統總體測評
本文設計的校園網網路監控系統其系統目標是實現校園網網路資源的動態、科學管理，並對節點的數據進行分布式監控。系統的監控性能和監控指標均較高，其具有以下3大特色：
1）本監控系統對「域數據」公告服務進行統一的維護和管理，滿足監控系統的低侵擾性原則，同時減了受控資源的額外開銷。
2）設計過程中引入分層監控模型，將網路中各個計算節點進行分區域監控，並通過可變粒度劃分建立與之對應的樹狀關系的VMR邏輯結構，通過LDAP提供的目錄層次服務，實現局部監控與全局監控的物理隔離，有利於增強網路監控信息的管理，同時方便對監控服務進行擴展。
3）系統引入了動態Agent技術，設計實現了多種Agent，其可以對局部監控范圍方便、靈活地進行動態更改，並可以自定義VMR。有效過濾校園網中的數據信息，並提供多種定製服務管理。
參考文獻：
[1]豐燕華，構建實時的校園網路監控系統，提升主動網路管理能力[J].農業網路信息，2006.
[2]沈繼濤、張君陽、胡海濤，校園機房網路監控系統的設計與實現[J].數字技術與應用，2012（3）.
作者簡介：
林景升，沈陽理工大學計算機科學與技術專業畢業，遼寧職業學院信息中心技術人員，多年從網路管理與運維、系統監控管理等工作，有較強的專業實踐能力。

E. 大學校園網設計方案_校園網建設規劃

校園網建設和規劃

校園網是為學校師生提供教學、科研和綜合信息服務的寬頻多媒體網路；是學校信息化教學環境的基礎設施和實現橋寬型各項管理的物質基礎；是建立遠程教育體系的基本保證；是提高全民素質的重要手段。可見，校園網的建設和應用是一項靈魂工程。教育信息化是我國國民經濟和社會信息化的重要組成部分，並已納入我國的"十五"計劃中。中等職業教育擔負著培養數以億計高素質勞動巧游者和技能型人才的重要使命，是我國經濟社會發展和人力資源強國建設的重要基礎。

近期國家教育督導團日前發布《國家教育督導報告：關注中等職業教育》。此次《報告》的發布旨在強化各級政府依法履行發展職業教育責任，落實教育規劃綱要要求，促進中等職業教育發展。教育部副部長劉利民就發布《報告》與部分省份分管負責同志約談，共商促進職業教育發展的思路。無疑地說明了中等職業教育信息化建設的緊迫性和重要性。

校園網建設規劃是一項技術性、系統性敏猜很強的工程。它由計算機網路系統、安防系統等組成。表面上看是一個綜合布線系統，已及覆蓋學校教學、管理等各個方面的應用軟體組成，同時還要考慮到技術的可行性、資金的可行性、拓展的可行性等諸多因素。下面就來談談校園網建設和規劃。

我校在整個信息化建設中，可大致分為七個大方面：

 校園網路硬體建設

 校園安防系統建設

 校園VOD視頻智能點播系統建設

 校園一卡通

 校園網路軟體建設

 校園網路安全建設

 校園智能照明控制系統建設

一、校園網路硬體建設

目前，就校園網網路建設中，採用先進的千兆乙太網及無線網路相結合的構架。千兆交換式乙太網是網路實施中最成熟的方式之一，具有結構簡單、投資較少、建設周期短、維護方便等特點，為大多數學校所採用。

隨著近幾年來，無線校園網路的建設浪潮在全球蔓延：美國、歐洲、日本、新加坡等國家紛紛建立起無線校園網路環境。我國的無線校園網路建設步伐也緊跟著技術的發展。上海中學、北京大學都是無線校園網路建設的典範。無線區域網以其靈活布設、高帶寬和無線接入的優勢，可以突破有線網路節點限制、實現多人同時上網的問題，大大地增加了校園網路信息點，方便在校師生獲取信息，進一步提升學校的信息化水平。此外，無線網路環境的引入，為嶄新的無線多媒體提供了應用平台，從而將教育信息化建設帶入一個嶄新的天地。

我校根據自身的實際情況，擬採用千兆乙太網和無線網路相結合

的網路架構，保證學校網路的穩定性、安全性、靈活性等。

通過網路的建設，可以實現：

 校園網路的快速接入，強大的核心交換機為整個校園網提供了一

顆乃至數顆強大的心臟。

 全面支持兼容教學管理、學生管理、行政管理、通用服務、互聯

網路和圖書館管理等分系統。

 通過高帶寬實現校園網多媒體計算機教學系統，為現代化教學提

供了一個新的平台。

 建立完善的校園網站，與Internet互連後，校園網用戶在許可權

允許的范圍內可以使用Internet上的Web訪問、Email收發、FTP、Telnet、BBS、新聞組、討論組、個人主頁等服務。

 校園網站連接Internet，用於宣傳學校形象、教學信息發布、

提供信息查詢等，以後可成為網上教學的渠道。

 無線網路與千兆乙太網絡環境互為補充，擴展網路使用范圍，取

消了傳統網路接入上的埠限制問題，為移動多媒體教學應用提供移動平台，進一步便於筆記本電腦用戶隨時隨地的使用網路。  支持個人數字助理(PDA)的網路應用，使得校園網路的應用更為

靈活多變。

 為外來的賓客提供便捷靈活的網路接入服務。

 學校管理人員可隨時隨地進行教學管理，教務管理等日常工作，

突破了傳統辦公管理模式。

 ……

二、校園安防系統建設

伴隨著平安重慶工作的不斷深入，「平安校園」作為「平安重慶」的重要組成部分。

如何利用校園安防系統來解決學校安全防衛工作的後顧之憂，來解決學校諸如畫面質量、成像效果、設備可靠性等疑慮。採用一套具有合理性、先進性、可操作性的系統是解決這一問題的根本手段。

為確保學校教育安全工作，我校擬採用百萬高清監控系統、周界報警、門禁系統等幾個子系統來對整個校園實現全方位防衛，同時可與110實現聯網，運用3G網路等技術手段來實現更為高效、快捷、靈活的管理應用。

百萬高清監控系統是業界目前一致認同的發展方向。百萬高清攝像機與模擬攝像機最大的差別在於畫質上的飛躍，使用者所得到的畫面更清晰、更流暢，從而在發生意外突發性事件（例如盜竊、打架、失火等）時，校園領導能夠迅速查知現場情況，從而快速進行全校人員安全疏散等工作，最大程度上保護學校安全。

周界報警及門禁系統作為校園監控系統的重要組成部分，將能更好地做到對校園周界的防衛工作。

通過安防系統的建設，可以實現：

 實時監控：通過本系統能夠實時監控了解校園內所有情況及動態。

特別是園區的安全等重點防護點位，加強園區內部的安全監控，發揮高效的管理機制。

 安全管理：通過該系統的動態檢測錄像功能，把正常校園生活進

行全面管理，包括人員流動、財物監管等。

 遠程瀏覽：使用最簡便的通訊手段實現實時遠程視頻監控，讓每

一名管理者不管在本地教室，還是在旅途中，甚至全球任何一處有通訊的地方，都可以通過電腦、手機、PDA等來實現視頻監控。  校園周界入侵移動檢測：自動檢測進入校園周界的人、動物、汽

車等移動目標。對翻越、破壞等行為進行預警監測。

 解決在雪天，雨天，大風等惡劣天氣下無法監控報警的情況。  門禁系統實現學校各個區域的安全通行管理：對於學校不同的區

域，按許可權進行有效的通行管理，包括教學樓、宿舍樓、辦公樓、車庫等重點建築。

 徘徊檢測：在校園部分區域內，如重要實驗室、圍牆、財務室等

區域當有人徘徊一段時間後，系統將會自動識別並報警。同時在監視屏上自動彈出徘徊人及其運動軌跡。

 聯動報警：報警裝臵和視頻監控系統與110聯網，當發生偷盜、

搶劫、師生被侵害或重大自然災害性事故時，聯網學校可通過報警系統，以聲音提示和顏色顯示的方式予以報警。

 強大的系統兼容能力：充分利用已有資源進行下一步建，兼容多

家主流產品，從而實現在一個系統平台上實現統一集中管理。  ……

三、校園VOD視頻智能點播系統建設

校園網VOD視頻智能點播系統在現有校園網基礎上建立一種新的實時、交互的學習環境，在教學過程中可以實現隨時隨地點播教學課件完成教學，從而突破了傳統的集體教學的時間和空間的限制，實現了個性化教學，達到最佳的教學效果。這將會是傳統的校園教學模式的一次革命性的變革，真正實現了以素質教育為本的教育目標。

所謂VOD（VIDEO ON DEMAND）視頻點播系統,也稱互動式多媒體視頻點播業務，即通過高速上網技術連上各種寬頻多媒體伺服器進行網上教學、視頻會議等各種互動式活動；是集動態影視圖像、靜態圖片、聲音、文字等信息為一體的，為用戶提供實時、高質量、交互性服務的多媒體通信業務。VOD的本質是交互性，即信息的使用者根據自己的需求主動獲得多媒體信息，它區別於傳統信息發布的最大不同：一是主動性、二是選擇性。

系統通過專業的寬頻視音頻解決方案，優秀的視頻流技術，卓越的整體性能，分布式架構體系，支持視頻伺服器集群接入和負載均衡，輕松實現大流量視頻流並發點播。

通過此系統，我們可以輕松實現：

 互動式教學視頻點播，包括課件、教學視頻、娛樂等，自由截取

網路動態視頻流、前後拖動播放、停止、快進、快退。

 操作簡單、使用方便、功能強大的視音頻編輯工具系統。

 伺服器端實現零管理，數據可隨意備份，保證用戶數據安全；管

理員可在本地或異地進行系統維護和後台管理。

 在校園內不同的區域進行分區音、視頻管理，可與安防系統聯機

管理，根據許可權分級使用。

 實現在同一區域內，不同音、視頻的播放，用戶可根據語言、自

身喜好、專業需求等不同方式，進行互動點播。

 ……

四、校園一卡通

校園一卡通系統是一種非常有效的管理手段，它能將數量龐大、流動頻繁的師生群體科學地管理起來，它代表了當今校園信息化的發展趨勢，是學校現代化管理和校園數字化的重要標志。

校園一卡通系統是將採取銀行卡金融功能與非接觸式電子錢包、電子化校務管理相整合的方式，由指定銀行與貴校聯合發行校園銀行卡，師生們可以在各地銀行網點或自動終端實現存取款、消費、轉帳等金融功能；可以代替教職員工和學生等在校內的所有個人證件（如學生證、工作證、圖書證、醫療證、臨時證），應用於需要身份識別的各個MIS系統，也可以通過設在非接觸式IC晶元內的電子錢包實現餐飲、校內購物、上機上網、醫療等校內的各種消費。

校園一卡通系統將極大的提升學校在社會上形象，鼓舞廣大師生員工的士氣，提升師生、員工作為學校一員的榮譽感和自豪感。

通過校園一卡通，我們可以實現：

 資金自由流轉：實現校園卡上從銀行帳戶向校園卡帳戶的資金轉

入，實現銀行卡直接充值。解決學校資金管理問題

 IC卡多種情況應用，如食堂售餐管理、輔助教務/教學管理、學

籍管理、上機/上網管理、圖書借閱管理、考勤管理等

 IC卡POS機消費：可校內消費（如開水、飲水機、小賣部購物、

打字、復印、傳真、電話等）管理。要求各消費點必須設臵POS機，可實現聯網或離線消費。

 IC卡輔助校內醫療管理：用於校內醫療管理系統。將校園卡用於

師生在學校各校區的醫務所就診的身份憑證。

 IC卡輔助身份認證系統：可以在獨立式IC卡身份識別器上顯示

持卡人的身份信息，用於學校辨認人員身份，並且可以通過簡訊方式告之學生家長，學生到校時間、離校時間、在校情況等。  ……

五、校園網路軟體建設

穩定強健的硬體基礎，必須要與系統平台和應用軟體相配合，才能使校園網發揮應有的作用。因此，軟體規劃就必不可少。一個完善的軟體規劃可以減少事後不必要的重復工作。

 網路系統平台規劃：

目前網路操作系統主要有WINDOWS NT SERVER、WINDOWS 2003 SERVER、UNIX、LINUX等。WINDOWS系列具有操作界面友好，易於維

護，應有軟體豐富的特點。但對於訪問量較大的伺服器來說，要求有較高配臵。UNIX平台具有優秀的網路性能，但一台配臵優良的UNIX伺服器價格驚人，軟體的安裝相對復雜，自從X-WINDOWS問世以來，它的可操作性有所改善。LINUX是網路操作系統中的新秀。與UNIX一樣，它的網路性能卓越，並且LINUX支持現今幾乎所有的連網技術（乙太網、高速乙太網、ATM、數據機、ISDN、令牌環）和網路協議（TCP/IP、PPP、SLIP等）。在相同的硬體上其性能已超過WINDOWS系列及其它的UNIX。同時LINUX以近乎免費的價格和高性能的應用體系已為大多數網站所採用。目前，有許多軟體開發商為其開發相應的應用軟體，其中包括基於WEB的校園網應用軟體。因此，它已成為基於WEB應用軟體的最理想的網路平台。

 應用平台規劃：

在應用平台規劃之前必須了解整個校園網要實現的功能。一個典型的校園網路應具有以下基本功能：

1. 校園WEB站點。其中應包括教育論壇（提供國家的教育方針、

政策，教學科研成果，研究性學習，並根據各自學校的教育教

學實踐創辦特色版面）、聊天室（提供學生、教師和家長之間

在線交流的空間）。

2. 校園電子郵件系統。方便學生、教師校內外的信息交流。

3. 電子圖書系統和電子閱覽室。

4. 教學課件庫。

5. OA辦公系統、日常行政管理系統、教師學生評估系統。

6. INTERNET介面。

六、校園網路安全建設

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行。校園網路特別是已與INTERNET相連的校園網路，對於網路的安全防範就顯得特別重要。因為一次的惡意破壞或管理人員的誤操作都會帶來巨大的損失。因此，一方面要加強管理人員及使用者的技術培訓及有關法律和道德教育，另一方面，要建立起一套有效的軟、硬體的監控、防護體系。學校可以採用高性能的防火牆軟、硬體。它應具有強大的包過濾功能、圖形化的配臵界面、建立URL的訪問限制、流量分析、實時入侵檢測、入侵告警及網路數據流量分析等功能。

七：校園智能照明控制系統建設

新校園的建設要適應網路時代的發展，應引入智能化的概念。在傳統的樓宇自控系統中，一般只包括了綜合布線、計算機網路、安防、消防、閉路電視監控等子系統。但近年來，隨著經濟的發展和科技的進步，人們對照明燈具節能和科學管理提出了更高的要求，使得照明控制在智能化領域的地位越來越重要。而在新校區的建設熱潮中，各

類院校和他們的建設者也意識到了智能照明的重要性。相對商業樓宇而言，校園里的大功率動力和製冷設備比重較少，照明燈具則相對比重更多。使用照明控制系統，更能體現其在節能與管理方面的優勢，提高學校的科學管理水平。

通過智能照明控制系統，我們可以看到與傳統照明系統的區別：  智能照明系統更能達到良好的節能效果，延長燈具壽命。

 智能照明控制系統可以根據不同場合、不同的人流量，進行時間

段、工作模式的細分，把不必要的照明關掉，在需要時自動開啟。  系統還能充分利用自然光，自動調節室內照度。控制系統實現了

不同工作場合的多種照明工作模式，在保證必要照明的同時，有效減少了燈具的工作時間，節省了不必要的能源開支。

 改善工作環境，提高工作效率：合理地選用光源、燈具及性能優

越的照明控制系統，提高照明質量，有效地控制各種照明場所的平均照度值，從而提高照度均勻性

 實現多種的照明效果：多種照明控制方式，可以使同一建築物具

備多種藝術效果，為建築增色不少。現代建築物中，照明不單純地為滿足人們視覺上的明暗效果，更應具備多種的控制方案，使建築物更加生動，藝術性更強，給人豐富的視覺效果和美感。  智能照明控制系統是以自動控制為主、人工控制為輔的系統。在

一般的情況下，不需要有人的參與，照明系統自動實現開關和調光功能。

 合理配臵照明系統，從長遠利益來看，既倡導了環保，又確實的

節約費用開支，還提升了學校的整體形象，實為一舉多得。

結束語

在我國學校日益加大信息化校園的建設步伐，許多先進的信息處理技術都被引入校園，它為數字化校園提供信息採集，涉及到校園生活的各個方面，使教育與信息技術真正地融合，逐步實現以人為本，從校園環境、資源到活動的全部數字化管理。本文通過以上對學校校園網的初步規劃，在總結多種校園網的建設方式的基礎上，提出了以千兆乙太網和無線網路為構架校園主幹網路的解決方案，更包含了安防、VOD點播、一卡通等子系統，必定能為學校的校園信息化建設畫上濃墨重彩的一筆，使學校成為更具影響力的名校之一。