校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)服務(wù)平臺(tái)。隨著信息技術(shù)的快速發(fā)展，當(dāng)今的校園網(wǎng)功能已經(jīng)不再局限于只向師生提供網(wǎng)絡(luò)接入服務(wù)，許多弱電工程項(xiàng)目也融入到校園網(wǎng)建設(shè)當(dāng)中。南京信息職業(yè)技術(shù)學(xué)院校園信息化建設(shè)主要包括：

　　1、校園樓宇房間內(nèi)部提供電話(huà)和計(jì)算機(jī)網(wǎng)絡(luò)接入業(yè)務(wù)，會(huì)議室與賓館區(qū)域增加電視業(yè)務(wù)。

　　2、公共場(chǎng)所覆蓋校園無(wú)線(xiàn)網(wǎng)。

　　3、視頻監(jiān)控校園全覆蓋。

　　基于EPON技術(shù)的校園網(wǎng)建設(shè)與改造方案，通過(guò)PPPOE協(xié)議對(duì)上網(wǎng)用戶(hù)進(jìn)行認(rèn)證與計(jì)費(fèi)，該方案不僅解決了校園信息資源共享中的安全問(wèn)題，而且通過(guò)與中國(guó)電信合作共建的方式，實(shí)現(xiàn)電話(huà)、計(jì)算機(jī)網(wǎng)絡(luò)與電視業(yè)務(wù)的融合。

　　方案設(shè)計(jì)

　　1、樓宇內(nèi)部采用綜合化布線(xiàn)方案。

　　在綜合布線(xiàn)系統(tǒng)中，信息插座和管理子系統(tǒng)(即中間配線(xiàn)架)之間的連接實(shí)現(xiàn)是水平子系統(tǒng)的功能，水平干線(xiàn)的設(shè)計(jì)包括水平子系統(tǒng)的傳輸介質(zhì)與部件集成。選擇水平子系統(tǒng)的線(xiàn)纜，要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類(lèi)型、容量、帶寬和傳輸速率來(lái)確定。從系統(tǒng)的兼容性和信息點(diǎn)的靈活互換性角度出發(fā)，水平子系統(tǒng)考慮采用同一種布線(xiàn)材料。超五類(lèi)雙絞線(xiàn)用于語(yǔ)音傳輸和最高傳輸速率為1000Mbps的數(shù)據(jù)傳輸，因?yàn)殡娫?huà)和網(wǎng)絡(luò)接口都執(zhí)行RJ標(biāo)準(zhǔn)(RegisteredJack：注冊(cè)插孔，是美國(guó)電子工業(yè)協(xié)會(huì)和電信工業(yè)協(xié)會(huì)確立的一種以太網(wǎng)連接器的接口標(biāo)準(zhǔn))，設(shè)計(jì)語(yǔ)音(電話(huà))信息點(diǎn)與數(shù)據(jù)信息點(diǎn)均采用非屏蔽超五類(lèi)雙絞線(xiàn)，從而方便樓宇內(nèi)部語(yǔ)音與數(shù)據(jù)端口功能的靈活切換。

　　2、與中國(guó)電信合作共同建設(shè)，校園網(wǎng)寬帶接入采用EPON鏈路與PPPOE認(rèn)證相結(jié)合。

　　傳統(tǒng)交換式局域網(wǎng)采用三層模型架構(gòu)。在校園網(wǎng)改造過(guò)程中，利用原有校園網(wǎng)構(gòu)建校園業(yè)務(wù)網(wǎng)，主要提供認(rèn)證計(jì)費(fèi)服務(wù)數(shù)據(jù)庫(kù)、服務(wù)器與存儲(chǔ)、聯(lián)網(wǎng)打印機(jī)資源和校園IP視頻監(jiān)控資源等。

　　EPON(以太網(wǎng)無(wú)源光網(wǎng)絡(luò))是一種新型的光纖接入網(wǎng)技術(shù)，其典型的拓?fù)浣Y(jié)構(gòu)為樹(shù)型，它采用點(diǎn)到多點(diǎn)結(jié)構(gòu)、無(wú)源光纖傳輸，在以太網(wǎng)之上提供多種業(yè)務(wù)。在物理層采用了PON(無(wú)源光網(wǎng)絡(luò))技術(shù)，在數(shù)據(jù)鏈路層使用以太網(wǎng)協(xié)議，利用PON的拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)了以太網(wǎng)的接入。因此，它綜合了PON技術(shù)和以太網(wǎng)技術(shù)的優(yōu)點(diǎn)：低成本、高帶寬、擴(kuò)展性強(qiáng)、靈活快速的服務(wù)重組、與現(xiàn)有以太網(wǎng)的兼容性和方便的管理等特性，是目前以太網(wǎng)最佳的組網(wǎng)方式。

　　圖1 EPON鏈路與PPPOE認(rèn)證拓?fù)浣Y(jié)構(gòu)

　　圖1是設(shè)計(jì)的校園網(wǎng)新的拓?fù)浣Y(jié)構(gòu)圖，其中，EPON鏈路主要由OLT(光線(xiàn)路終端)、POS(無(wú)源分光器)和ONU(光網(wǎng)絡(luò)單元)和組成。

　　OLT放在中心機(jī)房，是EPON整個(gè)鏈路的控制中心，OLT一方面承載各種業(yè)務(wù)的信號(hào)在局端進(jìn)行匯聚，按照一定的信號(hào)格式送入接入網(wǎng)，以便向終端用戶(hù)傳輸，另一方面將來(lái)自終端用戶(hù)的信號(hào)按業(yè)務(wù)類(lèi)型分別送入各種業(yè)務(wù)網(wǎng)中。POS(無(wú)源光纖分支器)，是一個(gè)連接OLT和ONU的無(wú)源設(shè)備，它的功能是分發(fā)下行數(shù)據(jù)和集中上行數(shù)據(jù)。

　　POS的部署相當(dāng)靈活，由于是無(wú)源操作，幾乎可以適應(yīng)于所有環(huán)境，一般一個(gè)POS的分線(xiàn)率為8和16，并可以進(jìn)行多級(jí)連接。

　　ONU(光網(wǎng)絡(luò)單元)位于遠(yuǎn)端接入側(cè)，EPON中的ONU采用以太網(wǎng)協(xié)議，在通信過(guò)程中不需要進(jìn)行協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)ONU對(duì)用戶(hù)數(shù)據(jù)的透明傳送，保障從OLT到ONU之間高速的數(shù)據(jù)轉(zhuǎn)發(fā)[3]。校園網(wǎng)采用EPON網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)：

　　⑴在原有交換式三層結(jié)構(gòu)網(wǎng)絡(luò)基礎(chǔ)上易于升級(jí)改造。在南京信息職業(yè)技術(shù)學(xué)院學(xué)生宿舍原先沒(méi)有布置局域網(wǎng)的情況下，設(shè)計(jì)直接建設(shè)EPON網(wǎng)絡(luò)；在辦公、教學(xué)等原先已經(jīng)按照三層結(jié)構(gòu)布置局域網(wǎng)的情況下，原有接入層交換機(jī)可以繼續(xù)使用。

　?、葡鄬?duì)成本低，維護(hù)簡(jiǎn)單，容易擴(kuò)展，易于升級(jí)。從OLT端到ONU端之間僅有光纖、POS等光無(wú)源器件，無(wú)需租用機(jī)房、無(wú)需配備電源、無(wú)需有源設(shè)備維護(hù)人員，可有效節(jié)省建設(shè)和運(yùn)營(yíng)維護(hù)成本。采用單纖波分復(fù)用技術(shù)(下行1490nm，上行1310nm)，僅需一根主干光纖和一個(gè)OLT。

　?、悄軌蛱峁┍容^高的帶寬。EPON目前可以提供上下行對(duì)稱(chēng)的1.25Gb/s帶寬，并且隨著以太網(wǎng)技術(shù)的發(fā)展可以升級(jí)到10Gb/s。

　　⑷服務(wù)范圍大。EPON作為一種點(diǎn)到多點(diǎn)網(wǎng)絡(luò)，以一種扇形的結(jié)構(gòu)節(jié)省有限的光纜資源，能夠服務(wù)大量用戶(hù)。

　　PPPOE(基于以太網(wǎng)的點(diǎn)到點(diǎn)連接協(xié)議)，可以使以太網(wǎng)主機(jī)通過(guò)一個(gè)簡(jiǎn)單的橋接設(shè)備連接到一個(gè)遠(yuǎn)端的接入集中器上。

　　通過(guò)PPPOE協(xié)議，遠(yuǎn)端接入設(shè)備能夠?qū)崿F(xiàn)對(duì)每個(gè)接入用戶(hù)的控制和計(jì)費(fèi)。PPPOE由BRAS(寬帶接入服務(wù)器)配合Radius(遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證系統(tǒng))服務(wù)器實(shí)現(xiàn)對(duì)用戶(hù)的認(rèn)證、計(jì)費(fèi)。

　　使用PPPOE協(xié)議，BRAS設(shè)備必須位于用戶(hù)子網(wǎng)中或同一個(gè)VLAN(虛擬局域網(wǎng))中，以確保二層廣播能夠正確使用，在圖2中BRAS作為RadiusClient位于OLT與核心路由設(shè)備之間，到用戶(hù)之間是純二層鏈路。Radius服務(wù)器位于校園業(yè)務(wù)網(wǎng)中，設(shè)計(jì)校園每個(gè)用戶(hù)有一個(gè)上網(wǎng)用戶(hù)名，用戶(hù)名后面可以跟不同域名，同一個(gè)用戶(hù)名加上不同域名構(gòu)成賬號(hào)(用戶(hù)名@域名)進(jìn)行認(rèn)證，認(rèn)證通過(guò)后根據(jù)域名采用虛擬路由技術(shù)進(jìn)行不同的網(wǎng)絡(luò)路由。

　　采用PPPOE認(rèn)證，由于網(wǎng)絡(luò)接入設(shè)備只有在認(rèn)證通過(guò)以后才能上網(wǎng)，AP(無(wú)線(xiàn)接入點(diǎn))未經(jīng)認(rèn)證與無(wú)線(xiàn)控制器之間數(shù)據(jù)不能交互，設(shè)計(jì)在認(rèn)證計(jì)費(fèi)系統(tǒng)中設(shè)置，將所有AP設(shè)備設(shè)置為“直通”即免登錄的聯(lián)網(wǎng)方式。采用PPPOE方式認(rèn)證的優(yōu)點(diǎn)：

　?、庞行Э刂凭W(wǎng)絡(luò)廣播風(fēng)暴：PPPOE上網(wǎng)方式由于采用二層認(rèn)證，所有鏈路設(shè)備都工作在二層，故不存在網(wǎng)絡(luò)第三層廣播風(fēng)暴的問(wèn)題。

　?、朴行Х乐笰RP攻擊行為。ARP攻擊一直是高校傳統(tǒng)局域網(wǎng)的安全威脅，通過(guò)采用PPPOE認(rèn)證上網(wǎng)模式，在用戶(hù)認(rèn)證過(guò)程中上網(wǎng)主機(jī)獲取BRAS服務(wù)器(網(wǎng)關(guān))MAC地址不再使用ARP協(xié)議，而是通過(guò)在認(rèn)證發(fā)現(xiàn)階段的PADI報(bào)文和PADO報(bào)文的交換獲得MAC地址(物理地址)，從而杜絕ARP攻擊行為的發(fā)生。

　?、欠乐笽P地址沖突。PPPOE接入方采用動(dòng)態(tài)分配IP地址，不存在用戶(hù)自行更改IP地址而產(chǎn)生地址沖突的問(wèn)題。

　　⑷支持QOS(服務(wù)質(zhì)量)，方便管理。采用PPPOE接入方式支持QOS業(yè)務(wù)，對(duì)不同的上網(wǎng)用戶(hù)進(jìn)行不同的流量控制和計(jì)費(fèi)策略，能夠?qū)崿F(xiàn)基于時(shí)間或流量的上網(wǎng)計(jì)費(fèi)以及基于帳號(hào)的用戶(hù)管理。

　?、捎行У刈柚共《韭雍途W(wǎng)絡(luò)盜號(hào)的安全威脅。PPPOE協(xié)議是把PPP(點(diǎn)對(duì)點(diǎn))協(xié)議移植到以太網(wǎng)上應(yīng)用的一種協(xié)議，用戶(hù)之間在邏輯上互不相通，這種點(diǎn)對(duì)點(diǎn)通信可有效防范網(wǎng)上病毒、木馬和蠕蟲(chóng)感染其它用戶(hù)的機(jī)器。此外，網(wǎng)絡(luò)監(jiān)聽(tīng)軟件通常是利用以太網(wǎng)的廣播特性或ARP協(xié)議來(lái)實(shí)現(xiàn)監(jiān)聽(tīng)，而采用PPPOE認(rèn)證接入方式，網(wǎng)絡(luò)用戶(hù)間通信是點(diǎn)對(duì)點(diǎn)通信，不適合監(jiān)聽(tīng)軟件的工作環(huán)境。

　　IPTV(交互式網(wǎng)絡(luò)電視)是一種集合寬帶有線(xiàn)電視網(wǎng)、互聯(lián)網(wǎng)、多媒體、通訊等多種技術(shù)于一體，面向家庭用戶(hù)提供的包括數(shù)字電視在內(nèi)的多種交互式服務(wù)，用戶(hù)在家中應(yīng)用IP機(jī)頂盒加普通電視機(jī)就可以享受到IPTV所提供的電視業(yè)務(wù)。與傳統(tǒng)的數(shù)字機(jī)頂盒相比，IP機(jī)頂盒實(shí)現(xiàn)了視頻、語(yǔ)音、數(shù)據(jù)三者的融合，即三網(wǎng)融合業(yè)務(wù)。

　　在會(huì)議室、賓館等區(qū)域，一個(gè)房間內(nèi)部至少有三個(gè)RJ-45端口，一個(gè)端口接電話(huà)，連接PSTN(公共交換電話(huà)網(wǎng))；一個(gè)端口用于用戶(hù)電腦連接，通過(guò)上網(wǎng)賬號(hào)用戶(hù)可以訪(fǎng)問(wèn)Internet或者校園業(yè)務(wù)網(wǎng)；還有一個(gè)端口連接機(jī)頂盒，機(jī)頂盒與電視機(jī)相連，用戶(hù)使用中國(guó)電信分配的賬號(hào)(用戶(hù)名@ITV)直接收看電視節(jié)目，IPTV的認(rèn)證計(jì)費(fèi)服務(wù)由中國(guó)電信管理。

　　IP監(jiān)控系統(tǒng)設(shè)計(jì)

　　IP監(jiān)控是以IP網(wǎng)絡(luò)攝像機(jī)及其編碼器為硬件核心設(shè)備，視頻信號(hào)從前端便被編碼壓縮，并以網(wǎng)絡(luò)為傳輸載體，基于TCP/IP協(xié)議，采用流媒體技術(shù)實(shí)現(xiàn)視頻數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，并通過(guò)網(wǎng)絡(luò)及軟件來(lái)實(shí)現(xiàn)對(duì)整個(gè)監(jiān)控系統(tǒng)的調(diào)用、存儲(chǔ)和控制等功能。IP監(jiān)控系統(tǒng)具有前端一體化、傳輸網(wǎng)絡(luò)化、處理數(shù)字化、管理智能化及系統(tǒng)集成化的特點(diǎn)，能夠滿(mǎn)足大容量、大跨度的應(yīng)用需求。

　　原有的校園網(wǎng)經(jīng)過(guò)改造后，運(yùn)用原有二層和三層交換設(shè)備組建的交換式局域網(wǎng)供IP監(jiān)控系統(tǒng)使用。設(shè)計(jì)將IP攝像機(jī)連接接入層交換機(jī)，視頻存儲(chǔ)設(shè)備直接連接核心交換，保障IP攝像機(jī)數(shù)據(jù)能夠快速、實(shí)時(shí)地傳輸?shù)酱鎯?chǔ)設(shè)備上。校園網(wǎng)安防管理人員通過(guò)EPON鏈路使用user@njcit類(lèi)型的上網(wǎng)賬號(hào)登陸，訪(fǎng)問(wèn)校園業(yè)務(wù)網(wǎng)的視頻監(jiān)控資源：可以直接根據(jù)IP視頻攝像機(jī)的IP地址訪(fǎng)問(wèn)指定攝像機(jī)的實(shí)時(shí)監(jiān)控視頻；也可以遠(yuǎn)程連接視頻存儲(chǔ)服務(wù)器查看之前的視頻內(nèi)容。

　　基于EPON與PPPOE技術(shù)的校園網(wǎng)改造項(xiàng)目方案設(shè)計(jì)與實(shí)施，保留了原有校園網(wǎng)主干設(shè)備與信息資源，解決了傳統(tǒng)交換式局域網(wǎng)存在的網(wǎng)絡(luò)安全威脅，在保障校園網(wǎng)安全的同時(shí)，實(shí)現(xiàn)了信息資源共享，通過(guò)與中國(guó)電信共同建設(shè)的模式，不僅減少了網(wǎng)絡(luò)建設(shè)與改造的開(kāi)支，而且實(shí)現(xiàn)了電話(huà)、計(jì)算機(jī)網(wǎng)絡(luò)與電視業(yè)務(wù)的融合。