校园网改造方案.docVIP

校园网改造方案 　　摘 要：我校与xx学校合并后，随着招生人数增多，办学规模扩大，分校区对主校区需要实现校内OA资源访问等情况，都给现有的校园网络带来了前所未有的压力。作为我校网络中心的技术负责人，选择PPPOE与VPN技术实现校内资源访问、分校区对主校区基于公网的安全接入，以及增加OA模块实现两校区资源数字化共享等一系列改造，以满足当前校园信息化的办公需求。 　　关键词：校园网；PPPOE技术；VPN技术 　　中图分类号：TP393 　　1 学校网络现状 　　我校在扩招与合并之前，学校的互联网入口在校友楼的2层网络中心，校内分两个局域网，一个是专门考勤的局域网，主要是师生考勤，饭堂刷卡与超市消费的专网。另一个是校园办公的局域网，平时主要是提供办公室对外办公、特定专业教室教师上课获取互联网资源（如：电子商务、计算机网络、多媒体动漫等），校内教师宿舍上网以及学校视频监控承载网络。网络结构简单，在师生规模较小的情况下，基本满足需求。可随着两校合并后，主校区办学规模的扩展，专业科目增加、师生人数增多以及越来越多专业从粉笔黑板教学模式渐渐演变为电脑多媒体教学，需要对每个教室安装网络接入，可随之而来的问题也相继产生，由于管理人员不足，部分学生在教室私自加装无线路由、无线交换机，形成IP地址冲突、ARP病毒感染、各种各样的木马传播至整个网络，严重影响校园网的正常运作。为了增加安全性，必须对网络接入进行身份验证，隔绝非法用户获取校园网络资源，同时，为了满足分校区对主校区OA办公系统的访问，在资金有限的情况下，如何实现安全远程接入服务。服务器设备方面，我校使用腾达OA办公系统，是一台老款塔式服务器，只提供校内信息公告，校内邮箱服务与校内新闻三个模块，而合并后为了两个校区的信息得到共享，提高信息化进程，实现数字化办公，我校希望通过OA系统实现两校区网上公文审批与学生信息注册。为解决上述问题，需要对结构单一、设备陈旧的校园网进行改造。 　　2 校园网分析与技术探讨 　　2.1 以太网上的点对点协议（Point-to-Point Protocol over Ethernet 简称PPPoE） 　　以太网上的点对点协议是将点对点协议（PPP）封装在以太网（Ethernet）中的一种网络隧道协议。由于集成了PPP协议，所以实现了传统以太网不能提供的身份验证、加密、计费与控制等功能。极高的性价比使PPPoE在现实中得到广泛采用。PPPoE协议的工作流程包含发现和会话两个阶段，发现阶段是无状态的，目的是获得PPPoE终结端的以太网MAC地址，并建立一个唯一的PPPoE SESSION-ID。发现阶段结束后，就进入标准的PPP会话阶段。 　　发现阶段：由于传统的PPP连接是创建在串行链路或拨号时创建的ATM虚电路连接上的，所有的PPP帧都可以确保通过电缆到达对端。以太网是多路访问链路，为实现每一个节点相互访问，以太帧包含目的节点的物理地址（MAC地址），因此，为了在以太网上创建连接而交换PPP控制报文之前，两个端点都必须知道对端的MAC地址，这样才可以在控制报文中携带MAC地址。PPPoE发现阶段做的就是这件事。 　　PPP会话阶段：用户主机与接入服务器根据在发现阶段所协商的PPP会话连接参数进行PPP会话。一旦PPPoE会话开始，PPP数据就可以以任何其他的PPP封装形式发送。所有的以太网帧都是单播的，身份验证是发生在会话阶段的，PPPoE会话的SESSION-ID一定不能改变，并且必须是发现阶段分配的值。PPPoE还有一个PADT分组，它可以在会话建立后的任何时候发送，来终止PPPoE会话，也就是会话释放。它可以由主机或者接入服务器发送。当对方接收到一个PADT分组，就不再允许使用这个会话来发送PPP业务。PADT分组不需要任何标签，其CODE字段值为0×a7，SESSION-ID字段值为需要终止的PPP会话的会话标识号码。在发送或接收PADT后，即使正常的PPP终止分组也不必发送。PPP对端应该使用PPP协议自身来终止PPPoE会话，但是当PPP不能使用时，可以使用PADT。 　　2.2 虚拟专用网络（Virtual Private Network ，简称VPN） 　　虚拟专用网络是公用网络上建立虚拟专用网络的技术。之所以称为虚拟专网，主要是VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是承载于公用网络运营商所提供的网络之上，如Internet、ATM（异步传输模式〉、Frame Relay （帧中继）等逻辑网络之上。且实现隧道技术、加密技术、密钥交换技术和身份验证技术的专用网络。 　　虚拟专用网络的优势： 　　（1）较低的使用成本――通过公用网络建立VPN，可以大量节省为租用专线所需的通信费用