校園網作為學校信息化建設的一個重要組成部分，已經成為教育界所矚目和共同關心的大事。由于校園網既有一般網絡的特點，又有其流媒體等高帶寬應用及QoS保證等非凡性，因此，選擇校園網建設設計方案時，首先應以保護投資、滿足信息量變化和不斷增長的需求為前提。
　　
　　結合近幾年校園網建設和治理的一些經驗，我們從技術角度談談建設校園網時應注重的幾個主要問題。由于大學校園網是校園網中規模及復雜性最高的類型，本文所提到的技術問題是以大學校園網為背景的。
　　
　　校園網設計的技術原則
　　
　　高性能
　　
　　校園網作為現代大學信息運行的承載平臺，涉及到眾多不同的應用及眾多用戶。眾多的用戶、不同類型的應用，包括一些實時性強的交互業務應用(如語音、圖像等)，勢必對校園網的性能提出更高的要求。加之大學校園網是現在國內并發用戶最多的園區網，因此，校園網設計時首先要考慮有足夠的骨干帶寬、合理的網絡拓撲結構、先進適用的技術，并努力實現網絡的無阻塞性，而不能使網絡成為業務應用的瓶頸。
　　
　　高可靠性
　　
　　網絡系統的穩定可靠是應用系統正常運行的要害保證。在網絡設計時，應選用高可靠性的網絡產品、合理的網絡架構，制訂可靠的網絡備份策略，保證網絡具有較好的故障自愈能力，以減少網絡中斷時間。
　　
　　從我們的經驗看，在網絡建成初期，用戶對網絡的態度是可有可無的，但在應用約一年時間以后，用戶對網絡就產生了依靠性，一旦網絡中斷，將會引起巨大的反應。從學校的角度講，此時再來考慮網絡的可靠性問題，無疑是一種投資浪費。
　　
　　安全性
　　
　　解決安全性問題，需制定統一的網絡安全策略和過濾機制，充分使用各種不同的網絡技術，如虛擬局域網絡(VLAN)、代理、防火墻等。從數據安全的角度講，還應將重要的數據服務器集中放置，構成服務器群，以方便采取朧┘斜；⒍災匾萁斜阜蕁?br>　　
　　可治理性
　　
　　校園網作為一種地理范圍分布較大的園區網(甚至是一種多個園區網連接而成的廣域網)，日常治理及維護的工作量較大。為了盡可能提高工作效率，減少網絡停頓時間，同時為未來網絡的發展打下基礎，必須使校園網具有良好的可治理性。選擇方案時應考慮以下幾個方面:
　　
　　◆ 對網絡實行集中監測、分權治理，并統一分配資源;
　　
　　◆ 選用先進的網絡治理平臺，可以集中對全網設備(路由器、以太網交換機等)實施具體到端口的治理能力，并可提供及時的故障報警和日志;
　　
　　◆ 選用的網絡設備及其他連接在網絡上的重要設備都應支持遠程治理;
　　
　　◆ 設計時需充分考慮運行維護的問題，非凡是建設工程結束時，應要求建設方提供足夠的設計及實施文檔。
　　
　　技術先進性
　　
　　先進合理的技術是投資保護的重要方面。網絡核心設備應考慮使用國內外主流廠家生產的設備，同時要把先進的技術與國際公認的標準結合起來，使網絡支持國際上通用的標準網絡協議。當然，要做到萬無一失是不可能的，但從校園網建設經驗看，需注重以下幾點:
　　
　　◆ 注重多傾聽第三方專家的意見，對由廠商自己介紹的先進技術必須加以確認;
　　
　　◆ 注重從使用的角度傾聽集成公司或其他用戶的意見;
　　
　　◆ 各主流廠商都有其優秀產品，要害看是否符合自己的實際需求，性價比是否合理等。
　　
　　從產品性能來說，國外主流產品目前在國內高校校園網中使用較多，人們的認同度較高。但國外產品價格較高，一般學校難以承受。國內產品相對于國外產品來說價格不高，非凡是低端產品性價比和穩定性較好，且售后服務響應時間較快，目前在校園網中使用也比較多。
　　
　　校園網建設的一般結構
　　
　　校園網網絡系統從設計上一般分為核心層、匯聚層和接入層三個部分;從功能上基本可分為網絡中心、教學子網、辦公子網、圖書館子網、宿舍區子網及后勤子網等。
　　
　　核心層
　　
　　核心層的功能主要是實現骨干網絡之間的優化傳輸，負責整個校園網的網內數據交換。網絡的功能控制最好盡量少在骨干層上實施。
　　
　　中心交換機應是路由交換機，支持主流的園區骨干技術，如1000Base-Sx/Lx/Zx/Tx等，同時計劃支持未來的骨干技術，如10G等，提供端到端的MultiCast等協議。現在Internet/Intranet的數據流量分布已由過去的“內部80%，外部20%”變為“外部80%，內部20%”，因此，中心交換機需具備較高的路由轉發速率，最好是線速的。中心交換機應具有很高的交換背板容量和包轉發率，如背板容量在100Gbps以上。
　　
　　核心層設備將占投資的主要部分。
　　
　　匯聚層
　　
　　匯聚層主要負責連接接入層接點和核心層中心，匯聚各區域數據流量，必要時，作為網絡冗余連接使用。同時，匯聚交換機還負責本區域內的數據交換。
　　
　　匯聚交換機一般與中心交換機同類型，仍需要較高的性能和比較豐富的功能，但吞吐量較低。

　　
　　接入層
　　
　　接入層在整個網絡中接入交換機的數量最多，具有即插即用的特性。對此類交換機的要求，一是價格合理;二是可治理性好，易于使用和維護;三是有足夠的吞吐量;四是穩定性好，能夠在比較惡劣的環境下穩定工作。
　　
　　網絡治理中心建設
　　
　　網絡治理中心負責全網內外的數據交換，是整個網絡的重中之重。網絡硬件主要由中心交換機、服務器群、Internet接入路由器、防火墻、遠程訪問服務器、WEB緩存等組成;軟件主要包括網絡及防火墻、服務器數據庫治理軟件、網絡操作系統、應用軟件等。網絡中心建設時應從以下幾方面考慮:
　　
　　服務器群
　　
　　服務器群作為網絡的數據存儲中心，是全網的重要保護部分。校園網絡服務器平臺可以分為兩大類:普通的Internet應用和業務應用。
　　
　　◆ 普通的Internet應用主要包括:網頁瀏覽、電子郵件、域名解析(DNS)、文件傳輸(FTP)、遠程登錄(Telnet)、新聞服務(News Group)、信息查詢(Archie、Gopher、WAIS等)。此類應用對網絡的QoS要求較低，對帶寬的要求也不高。
　　
　　◆ 業務應用主要包括:辦公自動化(如Lotus Notes)、遠程教育、數字圖書館、虛擬專網(VPN)、協同工作(包括協同設計和協同實驗)、視頻廣播及點播、電視會議、遠端儀器操作及遠程醫療等。此類應用對網絡的QoS要求較高，對帶寬的要求比較高。
　　
　　Internet接入路由器
　　
　　Internet接入路由器主要作用是將內部網絡與外部網絡連接起來，同時也可以附加使用一些基于3層或4層的過濾策略及NAT等。考慮到Internet接入逐步走入寬帶化，因此不要選用包轉發速率較低的低端邊緣路由器。
　　
　　防火墻和入侵檢測
　　
　　作為保證網絡安全的重要措施，防火墻可以控制一些對網絡的非法訪問，它在網絡中起著對網絡的保護作用，假如配套使用入侵檢測設備，將有助于提高網絡安全控制。
　　
　　冗余部件支持
　　
　　如電源、交換矩陣、風扇等部件還應有冗余支持。
　　
　　其他注重事項
　　
　　建設機房時，應做好防雷、防靜電、防塵，恒溫、恒濕等。
　　
　　安全性設計與VLAN的應用
　　
　　從系統安全性來說，一般將校園網系統分為:用戶接入系統(按用戶分為校內、國內和國際三種訪問權限)、公共服務器系統(如郵件服務器)和外部網絡(如Internet)。通過相應的物理連接規劃和VLAN劃分，將這些系統互相隔離，構成不同的通訊控制區。這些通訊控制區之間通過交換機的路由選擇功能進行通訊。
　　
　　實施中，將網絡按照安全性要求分為多個虛擬局域網絡，即用戶接入系統VLAN(如對每種不同訪問權限用戶設置一個虛擬局域網絡)、公用服務系統VLAN和外部網絡連接VLAN(如Internet)，使每類用戶在各自的一個虛擬局域網絡內。缺省的情況下，各個虛擬局域網絡之間不能互通，從數據鏈路層上構成多個邏輯網絡，由虛網實現禁止部門間的通訊和應用之間的互相訪問。同時，通過ip地址的規劃和路由協議的控制，限制各IP子網之間的訪問，通過IP包過濾作進一步的安全性控制，也可控制IP地址的盜用。
　　
　　設計中可以綜合采用OSI模型2至4層的各種安全技術，為校園網提供多方面的安全性保證。
　　
　　校園網中的QoS
　　
　　在校園網中，涉及QoS的一個重要應用是多媒體廣播。對于多媒體服務而言，MultiCast是一個重要的協議，它將多媒體組播占用的網絡帶寬降到最低，從而部分地保證服務質量。建設中，需要注重確保主干交換機及涉及多媒體應用的接入交換機支持MultiCast的傳送。
　　
　　總之，建設好一個校園網僅僅是為學校的“信息化”和“網絡化”建設搭建起了一個基礎平臺，走出了網絡建設的第一步，而要害問題是如何治理和維護好校園網，確保網絡應用的順利實施。