智慧校园网的设计与实现

目录TOC\o"1-3"\h\z\t"摘要,1"TOC\o"1-3"\h\z\t"摘要,1"摘要 页共55页引言随着时代的发展，校园生活越来越丰富多彩，师生互动方式也越来越多样便捷，这样一来，校园管理工作也越来越繁重复杂。智慧校园网的发展受到全社会的关注。2012年教育部出台《教育信息化十年发展规划（2011-2020）》，文中提出：到2020年形成与国家教育现代化发展目标相适应的教育信息化体系。教育信息化号召的是信息技术在教育教学中的普及和广泛应用，通过计算机技术、网络技术、通信技术、传感技术的发展，教育信息化已经发展到智慧校园建设的新阶段。智慧校园是通过物联网、云计算等技术整合校园资源，让广大师生通过环境的智能感知，网络的无缝连接和海量数据的共享来体验新的、完全不一样的校园网。第一章绪论1.1教育信息化概述1.1.1教育信息化的发展历程教育信息化刚开始是校园信息化管理，是学校开始尝试将计算应用到教学管理、科研、教务管理等方面，很多是基于单机版本或C/S架构的系统，没有整体规划和分布式实施建设原则，存在信息孤岛问题。教育信息化发展的第二个阶段是数字化校园，期间以构建教学、科研和校务管理应用系统为主，伴随B/S及门户技术的快速发展，学校建成了面向管理的应用系统。1.1.2教育信息化的现状目前，教育信息化处在一个尴尬的局面。第二代的数字化校园已经不能满足师生日益增长的需求。设备层面，在资金方面无法在校园内每个角落布置公用计算机，在技术方面也不能保证公用计算机的物理不受攻击和网络安全。在教学方式层面，停留在课堂的教与学上，缺乏吸引力，没有新意，不能很好的实现师生互动。在信息传播层面，信息存在于实物上，无法随时随地的获取和学习，消息考口口相传、张榜公布和校园网通知，信息传递存在滞后性，不能实时传递。缺乏统一规划，信息标准不一致。在信息系统层面，存在信息孤岛，各部门系统行对独立，没有交互共享。没有条件进行全校的信息查询分析从而影响决策。1.1.3教育信息化发展的前景教育信息化的下一阶段是信息化智慧校园，基于物联网、云计算等技术的智慧校园是开放的、智能的、具有前瞻性的、互惠合作的综合数据信息服务中心平台，教师、学生和管理者全面智能感知教学资源。通过网络的无缝连接、开放的学习环境和海量数据共享，实现教育资源的最大、有效利用，也让广大用户体验到一个便捷、高效、无处不在的智慧校园网。随着物联网和云计算技术的不断向前发展，智慧校园离我们也将越来越近。智慧校园是教育信息化发展的必然趋势。对于校园网来说，智慧校园是其的一次升级与变革。1.2题目研究背景和意义1.2.1课题研究背景随着网络技术的发展，尤其是物联网技术和云计算技术的出现，智慧校园进入了人们的视野，并逐渐成为国内外专家研究的热点，智慧校园也是教育部教育信息化现阶段的要求。时代发展，智慧校园的建设成为了考量一个学校教育现代化水平、综合管理水平和学术研究水平的参考指标，也是学校综合竞争力的体现。智慧校园的建设是以网络技术为基础，运用物联网技术和云计算技术，对校园内的教学、管理、科研和各种服务等信息进行采集整合，通过校园综合信息服务平台，为广大校园师生提供快捷、高效和全覆盖的网络服务。随着教育信息化的发展，单一的校园网模式不能满足师生的需求，校园网被赋予了更多的功能和内涵。一个技术先进、安全可靠、高效稳定、功能强大的智慧校园网络成为大家的期待。南华大学建校50余年，走过了一条极不平凡的道路，现在也在朝向建设成为国家一流大学的目标迈进。在学校发展的同时，也需要高新技术为学校发展助力，也需要高科技为学校的管理、教学、科研提供必要的支持。1.2.2课题的研究意义智慧校园网的设计与维护这一课题的研究，对学校而言，目前国内只有浙江大学和南京邮电大学在智慧校园建设方面有所建树。我校如果能够马上开展智慧校园的研究建设，就能在校园网方面走在其他院校的前面，也能为后面开展智慧校园研究建设的院校提供参考和技术指导。1.3本文研究内容和结构1.3.1本文研究内容通过对智慧校园的理解和研究，结合我校的具体情况，做出了智慧校园的具体的设计方案。本文将在这几个方面阐述智慧校园：以当前学校的现状，分析学校对校园网的需求：设计智慧校园的网络拓扑结构；设计模拟智慧校园的骨干网络；设计智慧校园的总体设计架构；阐述智慧校园的各个系统模块；分析智慧校园的安全与维护所要考虑的方面。本文的组织结构第一章绪论：阐述了教育信息化的历程和发展的方向，介绍了本课题的研究背景、意义和本文的内容概要和组织结构。第二章智慧校园网的拓扑结构及相关技术：设计出了本次智慧校园的网络拓扑机构，并简要介绍了以太环网、生成树技术、IPSecVPN、物联网技术和云计算技术。第三章智慧校园的骨干网设计：通过模拟器设计出本次智慧校园的骨干网并配置成功，简述了校本部和分校区的网络互联和通信交流问题。第四章智慧校园的设计架构：简述基于SOA的设计架构的各个层面，包括基础层，应用支撑平台，业务层和门户层。第五章智慧校园的安全与维护：分析智慧校园的安全形势和保障安全的方法，阐述智慧校园的维护的相关内容。第二章智慧校园网及相关技术2.1智慧校园的概念及特性智慧校园是以物联网为基础的智慧化的校园工作、学习、和生活一体化环境，以各种应用系统为载体，将教学、科研、管理和校园生活进行充分融合，为学校提供一个无处不在的网络学习、融合创新的网络科研、透明高效的校务治理、丰富多彩的校园文化、方便周到的校园生活。智慧校园的特性包括环境全面感知：智慧校园中的全面感知包括两个方面，一是传感器可以随时随地感知、捕获和传递有关人、设备、资源的信息;二是对学习者个体特征(学习偏好、认知特征、注意状态、学习风格等)和学习情景(学习时间、学习空间、学习伙伴、学习活动等)的感知、捕获和传递。网络的无缝互通：基于网络和通信技术，特别是移动互联网技术，智慧校园支持所有软件系统和硬件设备的连接，信息感知后可迅速、实时的传递，这是所有用户按照全新的方式协作学习、协同工作的基础。海量数据支撑：依据数据挖掘和建模技术，智慧校园可以在“海量”校园数据的基础上构建模型，建立预测方法，对新到的信息进行趋势分析、展望和预测;同时智慧校园可综合各方面的数据、信息、规则等内容，通过智能推理，做出快速反应、主动应对，更多地体现智能、聪慧的特点。开放学习环境：教育的核心理念是创新能力的培养，校园面临要从“封闭”走向“开放”的诉求。智慧校园支持拓展资源环境，让学生冲破教科书的限制;支持拓展时间环境，让学习从课上拓展到课下;支持拓展空间环境，让有效学习在真实情境和虚拟情境能得以发生。师生个性服务：智慧校园环境及其功能均以个性服务为理念，各种关键技术的应用均以有效解决师生在校园生活、学习、工作中的诸多实际需求为目的，并成为现实中不可或缺的组成部分。2.2智慧校园网的拓扑结构设计本次对智慧校园网的设计主体结构采用以太环网光纤传输，在核心区域采用冗余设计，在食堂、宿舍、教学楼道路、和体育场等地安置智能感知设备，采用智能感知技术对信息进行采集，通过RFID技术对信息传输，统一进行处理。对分校区和附属医院采用VPN加密传输。网络拓扑图如图：图2.1图2.SEQTable\*ARABIC1网络拓扑图2.3以太环网随着网络技术迅猛发展和教育信息化的不断向前推进，高校校园网络建设也在不断地完善、更新。学校对校园网的可靠性的要求也越来越高。如果采用传统的星型网络拓扑结构或树状网络拓扑结构，核心层的交换机就是整个网络可靠性的瓶颈问题，一旦核心交换机发生故障，全校的网络服务就会停止。在智慧校园的设计和建设过程中，我们需要高可靠性的网络。以太环网相较于其他网络拓扑结构有快速故障恢复能力，保证网络服务不间断。采用冗余链路设计，当主链路出现故障时可以通过备用链路继续工作。以太环网由单环或多换组成，常用于高可靠网络设计。智慧校园网是学校的全面信息服务平台，对可靠性要求可想而知，所以运用以太环网技术很有必要。在核心层的设计中采用三台三层交换机，用光纤连接，形成以太环网，提高了核心层的可靠性和冗余程度。如图：图2.2图2.2核心层以太环网设计以太网缺乏对环网的保护机制，不能保证网络的可靠性。所以就需要一种以太环网保护技术。目前，针对以太环网主要有基于IETFBFC3619的EAPS保护技术和基于IEEE802.17标准的BPR弹性分组环技术。BPR标准实现成本高，而且比较封闭。本次智慧校园的设计，我们采用EAPS技术保护以太环网。EAPS是给以太环网提供快速保护的二层环路协议。每一个环都是由一个主节点和多个备用节点组成。环路正常时，主节点也会周期性的发送报文到备用节点，以检测环路的完整性。通过EAPS让以太环网具备强大的网络故障自愈能力。2.4生成树技术在网络设计中环路冗余是必要的，但环路和冗余设计会带来网络风暴、重复帧拷贝和MAC地址表表项不稳定等问题，为了防止这些问题，我们再设计中采用生成树协议。生成树协议通过阻塞某些端口来保证了在网络拓扑中没有环路，从而避免浪费网络资源，实现负载均衡。生成树协议的发展历经STP、RSTP和MSTP三个阶段。STP和RSTP只能实现冗余而不能实现负载均衡，而且收敛时间是以秒为单位，长达50秒的收敛、切换时间不能满足智慧校园网络对可靠性和实时性的要求。MSTP相较于前面两种协议优势明显。它能实现负载均衡并且把收敛时间提高到了毫秒级，极大程度上方便了智慧校园网的实时性传输。2.5IPSecVPN在智慧校园的设计中，还要考虑分校区和附属医院的网络连接，在校本部、分校区和附属医院的远程连接中，采用IPSecVPN技术。IPSecVPN是使用IPSec协议实现远程加密接入的VPN技术。如图：图2.3图2.3校本部和分校区的连接IPSecVPN分三种应用场景：站点到站点、端到端和端到站点。本次智慧校园的设计为实现校本部、分校区和附属医院的连接，选用站点到站点的应用场景。如图：图2.4图2.4站点到站点IPSec有两种截然不同工作模式：传输模式和隧道模式。隧道模式是用整个数据包来计算数据包的附加报头，并且加密，附加报头和加密后的报文封装在新的IP数据包里。传输模式是用传输层的数据计算数据报文的附加报头，附加报头和加密后的传输层数据放置在原报文的尾部。本次智慧校园网的设计采用传输模式。2.6物联网技术物联网技术在智慧校园的建设中扮演重要的角色，利用各种感知设备、信息传感设备，实时采集各种需要的信息，实现人和人、人和物、物和物的互联通信。在智慧校园中，通过温度传感器、二维码、RFID读写器、摄像头和湿度传感器等智能感知设备识别物体，采集信息。通过无线通信技术，将识别到的信号与远程目标之间建立连接。在校园内，不管是谁都能通过这些分布于全校范围内的智能感知设备获取到校园网的资源和服务。2.6.1物联网的关键技术RFID技术由标签、读取器和天线组成。标签是通过耦合元件组成标签，不同的标签有着不同的、唯一的编码，在智能感知设备上附着标签；读取器是读取智能设备的标签信息；天线是传输智能设备和信息服务中心的信息。传感技术即是能将感受到的信息按照特定的规律转换成需要的信号的元件。智能感知技术，包括生物特征感知设备，物理（光、湿度、温度）、化学（污染物）感知设备和电磁感知设备。智能嵌入技术是把软件集成到系统中，其具有代码规模小、反应速度快和自动化程度高的特点，适合智能感知设备快速感知环境变化，并快速做出反应。还有一个优点功耗小，适合智能感知设备多点、面广的特征。2.6.2物联网的网络层次物联网技术的实现可以分为3层：感知层、网络层和应用层。感知层是通过各种智能感知设备、生物信息提取设备对信息进行识别和采集。网络层包括了互联网、电信通信网和专网，是将各种不同架构的网络的信息进行传输的技术。应用层是将汇聚到一起的信息进行过滤、验证、处理，再将信息传送回客户端。物联网技术是实现智慧校园的根基，只有通过物联网将校园中的各个元件连接起来，广大师生才能方便、快捷的体验到无处不在的校园服务。2.7云计算技术2.7.1云计算概述云计算技术是利用互联网提供动态扩展的虚拟化资源。云计算是以用户需求为中心，通过网络为客户提供存储功能，云计算具有云平台和云服务两个层面的功能。云平台是提供可扩展的网络资源的网络平台。云服务则是基础的存储设备。在智慧校园的设计过程中主要利用云计算技术中的云存储技术，通过利用集群软件、分布式文件系统还用网格计算技术将校园网络中的多种不同存储设备联合起来，共同工作，协同完成数据存储和对外的业务访问。2.7.2云存储的架构云存储的架构从下到上一次为存储层，基础管理层，应用接口层和访问控制层组成。存储层是由物理的存储设备组成的存储网络，在存储设备上运用虚拟化技术管理实际的存储设备，从而为用户提供存储服务。基础管理层是基于集群软件，分布式文件系统和网格计算技术为用户提供功能强大、方便快捷的数据访问功能。应用接口层是为不同的应用系统提供不同的接口，通过不同服务，便于用户快速的获得所需的服务。访问控制层是每一位访问者都必须经过统一的身份认证平台登录这个云存储系统，体验云存储所带来的服务。第三章智慧校园骨干网的设计3.1骨干网的总体结构由于选用的模拟软件不能全面的模拟智慧校园的全部功能，只能模拟出智慧校园骨干网的设计部分。如图3.1图3.1骨干网拓扑结构在模拟器中让router0模拟Internet，其他3个路由代表校本部、附属医院和分校区的边界路由器。在IP地址的分配划分上，校本部的外网网段是/22,内网网段是/19。分校区的外网网段是/22,内网网段是/19。在模拟器中每个校区划分了16个子网。校本部的子网有：/23/23。分校区的子网有：/23/23。公网网段划分，如表3.1所示表3.1公网网段划分校本部/22分校区/22内网网段的划分，如表3.2所示表3.2内网网段划分校本部/19分校区/19校本部子网划分，如表3.3所示表3.3校本部子网划分教学楼s1/23办公楼s1/23教学楼s2/23宿舍区s2/23教学楼s3/23操场、食堂/23宿舍区s1/23办公楼s2/23图书馆/23综合信息服务中心/23分校区子网划分，如表3.4表3.4分校区子网划分教学区1/23教学区2/23办公区1/23宿舍区1/233.2校本部主要节点的设计本节阐述了校本部边界路由器、3台核心交换机和汇聚层的相关设计思路。通过边界路由器获取来自Internet和虚拟专用网(vpn)的信息。用3台三层交换机实现智慧校园网的安全冗余和负载均衡。3.2.1校本部边界路由器设计概述校本部的边界路由器承担着校本部对外交流的转发任务和接收内、外网对校本部的访问任务。对于校本部与分校区、附属医院的交流起着至关重要的作用。在内部的交流中采用IPSecvpn技术，对向分校区和附属医院分别设置不同的加密通道。在设置过程中要注意所采用的密钥交换策略、加密算法、认证方式和加密图与对端相同。cryptoisakmppolicy22//校本部再创建优先级为22的密钥交换策略。cryptoisakmpkey789789address//配置与对等体的共享密钥（校本部到分校区的共享密钥）。cryptoipsectransform-setset2esp-3des//配置ipsec的交换集set2，加密方式是3des。cryptomapmap122ipsec-isakmp//创建优先级为22的加密图，加密图是map1采用访问控制列表来控制向分校区的通道，确定哪些信息要通过IPSec加密通道，哪些信息不用加密。access-list103permitip5555访问外网时，不用经过IPSecvpn通道，但内网地址需要经过地址转换才能访问外网，采用动态nat转换技术，建立名为luolu的地址池。ipnatpoolluolu45netmask再通过访问控制列表来控制需要转换ip的信息。access-list101denyip5555access-list101permitip55any将上述的访问控制列表应用到地址池luolu中，即可完成对内网用户访问Internet时的ip地址转换。采用RIP动态路由协议对外转发校本部内网的信息，接收来自其他地方的访问信息。3.2.2校本部核心交换机设计概述对于三台核心交换机的设计，首先要考虑的是它的路由转发功能，开启路由转发才能实现边界路由器和内网中设备的互通交流（iprouting）；其次，核心交换机是整个智慧校园网的关键部位，通过三台核心交换机可以实现冗余，保证在遇到突发情况时，校园网依旧可以提供服务；最后，在校园中分部很多建筑物，划定的不同区域优先使用不同的核心交换机，实现负载均衡。对于不同的vlan在三台核心交换机上设置优先级。在核心1交换机上设置：spanning-treevlan2-4priority4096//设置vlan2-4的优先级为4096，即核心1为vlan2-4的根网桥。spanning-treevlan5-7priority8192//设置vlan5-7的优先级为8192，即核心1为valn5-7的备用网桥。在核心2交换机上设置：spanning-treevlan4-7priority4096//设置vlan4-7的优先级为4096，即核心2为vlan4-7的根网桥。spanning-treevlan8-10priority16384//设置vlan8-10的优先级为16384，即核心2为valn8-10的备用网桥。在核心3交换机上设置：spanning-treevlan8-10priority4096//定义vlan8-10的优先级为4096，即核心3为valn8-10的根网桥。spanning-treevlan2-4priority16384//定义vlan2-3的优先级为16384，即核心3为valn2-4的备用网桥。在校本部分布着多座教学楼、办公楼、食堂、宿舍、操场还有综合信息服务平台，将汇聚层的设备接入到核心层，在通过划分vlan来确定不同区域的子网，在规划过程中考虑到全校的无线覆盖，需要在食堂、操场、教学楼、办公楼还有校园的主干道部署无线发射设备。3.3分校区主要节点的设计本节阐述了分校区边界路由器、2台核心交换机和汇聚层的相关设计。通过边界路由器获取来自Internet和虚拟专用网(vpn)的信息。用2台三层交换机实现分校区智慧校园网的安全冗余和负载均衡。3.3.1分校区边界路由器的设计分校区的边界路由器承担着分校区对外交流的转发任务和接收内、外网对校本部的访问任务。对于分校区与校本部的交流起着至关重要的作用。在内部的交流中采用IPSecvpn技术，对向校本部设置加密方式与校本部相同的加密通道。在设置过程中要注意所采用的密钥交换策略、加密算法、认证方式和加密图与校本部相同。cryptoisakmppolicy22//分校区再创建优先级为22的密钥交换策略。cryptoisakmpkey789789address//配置与对等体的共享密钥（分校区到校本部的共享密钥）。cryptoipsectransform-setset2esp-3des//配置ipsec的交换集set2，加密方式是3des。cryptomapmap122ipsec-isakmp//创建优先级为22的加密图，加密图是map1采用访问控制列表来控制向分校区的通道，确定哪些信息要通过IPSec加密通道，哪些信息不用加密。access-list103permitip5555分校区内网用户访问外网时，不用经过IPSecvpn通道，但内网地址需要经过地址转换才能访问外网，采用动态nat转换技术，建立名为luolu的地址池。ipnatpoolluolu45netmask再通过访问控制列表来控制需要转换ip的信息。access-list101denyip5555access-list101permitip55any将上述的访问控制列表应用到地址池luolu中，即可完成对内网用户访问Internet时的ip地址转换。采用RIP动态路由协议对外转发分校区内网的信息。3.3.2分校区核心交换机的设计对于2台核心交换机的设计，首先要考虑的是它的路由转发功能，开启路由转发才能实现边界路由器和内网中设备的互通交流（iprouting）；其次，核心交换机是整个分校区网络的关键部位，通过2台核心交换机可以实现冗余，保证在遇到突发情况时，校园网依旧可以提供服务；最后，在分校区的多座建筑物，划定的不同区域优先使用不同的核心交换机，实现负载均衡。分校区的2台核心交换机负责分校区内所有vlan的信息转发，同样不同的vlan在不同的核心交换机的优先级不同。在分校区s1核心交换机的设置：spanning-treevlan2-3priority4096//定义vlan2-3的优先级为4096，即分校区s1为valn2-3的主网桥。spanning-treevlan4-5priority16384//定义vlan4-5的优先级为16384，即分校区s1为valn4-5的备用网桥。在分校区s2核心交换机的设置：spanning-treevlan2-3priority16384//定义vlan2-3的优先级为16384，即分校区s2为valn2-3的备用网桥。spanning-treevlan4-5priority4096//定义vlan4-5的优先级为16384，即分校区s2为valn4-5的主网桥。在分校区涉及到学生的学习和生活，有很多配套设施，将多种汇聚层的设备接入到核心层，在通过划分vlan来确定不同区域的子网，确保分校区的网络正常。3.4测试网络连通性对于智慧校园骨干网的连通性测试，分为这几个方面测试：内部连通性测试，访问外网测试，外部访问测试3.4.1内部连通性测试校本部的教学楼中的pc8访问学校服务器server0,结果如图：图3.2图3.2pc8pingserver0分校区教学区1中的pc4访问校本部的服务器server0，结果如图：图3.3图3.3pc4pingserver0校本部的宿舍区s2中的pc13访问新校区的教学区2中的pc5，结果如图：图3.4图3.4pc13pingpc5分校区的教学区1中的pc4与校本部的教学楼s2中的pc10互相通信，结果如图：图3.5图3.5pc4pingpc103.4.2访问外网测试校本部的办公楼s1的pc9访问外网pc15，如图：图3.6图3.6pc9pingpc15分校区的教学区1中的pc4访问外网pc15，如图：图3.7图3.7pc4pingpc153.4．3外网用户访问服务器外网用户pc15访问学校的服务器server0，如图:图3.8图3.8pc15pingserver03.4.4移动用户接入测试图书馆内的移动用户访问校本部的服务器，如图：图3.9图3.9移动设备1pingserver0食堂、操场的移动用户接入校园网测试，如图：图3.10图3.10移动设备2pingpc53.5vpn通道加密测试抓取校本部pc9访问分校区pc5的报文，查看如图：图3.11图3.11测试报文3.6双环故障测试分校区s1是教学区1的根网桥，分校区s2是教学区1的备用网桥，当与根网桥的链路出现故障时，教学区1中的pc4访问教学区2的pc5，就要启用备用网桥。如图：图3.12和图3.13图3.12主链路出现故障图3.13出故障时pc4访问pc5第四章智慧校园的设计架构4.1基于SOA设计的总体架构面向服务的体系结构（SOA)为智慧校园的设计提供了解决方案。基于SOA的智慧校园设计分为基础层、应用组件、业务层和门户层。如图：图4.1图4.1基于SOA的总体设计架构4.2基础层的设计基础层的设计与建设涉及到硬件的建设和底层服务器的搭建。硬件的建设有机房的设备安装，结构化综合布线以及智能感知设备和射频设备的安装和调试。底层服务器要搭建FTP服务器、DNS服务器、DHCP服务器和数据库服务器等。4.2.1结构化布线网络的结构化布线的要求是：实用性、开放性、灵活性、模块化、扩展性、经济性。结构化布线系统由工作区子系统，水平子系统，干线子系统，管理子系统，设备间子系统和建筑群主干子系统组成。如图：图4.2工作区子系统是终端设备连接到布线系统的子系统。包括跳线、信息插座等。插座高于地面30-50cm，每个工作区至少一个插座盒。水平子系统连接用户工作区和布线主干的子系统。在配线间到信息插座之间，多用双绞线和光缆。干线子系统连接各设备间的子系统，是结构化布线的骨干。通过配线竖井到个楼层。管理子系统在本次智慧校园网中分为教学区管理子系统、宿舍区管理子系统、办公区管理子系统和信息服务中心管理子系统。设备间子系统也就是机房内部的设备的安置和布线，着重考虑配电方面，尽量使用不间断电源。建筑群主干子系统是楼群间的通信传输，使用无线通信、地下管道或架空。图4.2结构化布线系统在传输介质选型方面，楼群之间选用多模光纤，室内布线采用双绞线。在校本部和分校区、附属医院之间选择单模光纤。4.2.2智能感知和射频设备的安装在智慧校园中智能感知设备和射频设备分部在校园的角角落落，在宿舍安置生物特征读取设备进行门禁。在教学楼、图书馆安置智能卡读卡器或生物特征读取器来进行借还书和考勤。在食堂、体育场设置无线网络接入，方便广大师生在就餐、娱乐之余进行网络业务的办理。在建筑物内和路灯杆安置光线、湿度、温度智能感知设备，以进行适时调节。在各个校门口、部分路灯杆设置二维码，扫描即可获取学校地图。在食堂、图书馆、停车场等地方进行实时的流量监控，并实时通报推送到用户的移动客户端。4.2.3DNS服务器的搭建DNS服务器是将域名映射成IP地址。本次dns服务器的搭建，我们选择在redhatlinux5.4操作系统下搭建，首先，检查是否安装bind域名服务器。如图：图4.3。图4.3检查brid安装包将named.conf文件备份，，如图：图4.4图4.4备份named.conf文件修改named.conf文件，建立正向解析域，如图：图4.5图4.5建立正向解析域建立正向解析区域文件，如图:图4.6图4.6建立正向区域文件在DNS客户机的配置文件resolv.conf中定义本地域名和域名服务器的IP，如图：图4.7图4.7resolv.conf文件启动named进程后，用nslookup由域名查询IP地址，如图：图4.8图4.8测试4.2.4FTP服务器的搭建FTP服务器即支持文件传输协议的服务器，它的作用是实现文件传输和文件共享。本次ftp服务器的搭建，选择在linux系统上。服务器的IP为17。1）查看是否安装了vsftpd安装包。如果没有则安装。[root@luo~]#rpm-qvsftpd[root@luo~]#yuminstallvsftpd查看vsftpd服务是否自启动，如图：图4.9。图4.9vsftpd服务是否自启动2）设置vsftpd服务在级别三和级别五中自启动。如图：图4.10图4.10vsftpd在3,5级别自启动3）启动vsftpd服务[root@luo~]#servicevsftpdstart4）测试vsftpd服务器，默认账号为ftp，密码ftp。如图：图4.11图4.11连接ftp服务器5）创建一个叫luoftp的账号。[root@luo~]#useradd-gftp-d/var/ftp/luoftp-s/sbin/nologinluoftp[root@luo~]#passwdluoftp图4.12测试6）使用luoftp账号进行上传，下载。上传，如图：4.13，图4.14。图4.13luoftp用户上传图4.14luoftp用户下载对于匿名用户，他在ftp服务器上只能下载文件，不能上传文件；匿名用户不用密码登陆ftp服务器下载服务器上的文件。如图：4.15，图4.16图4.15匿名用户登陆图4.16匿名用户下载文件4.2.5DHCP服务器的搭建DHCP服务器即动态主机配置协议，是为网络用户自动分配ip地址。本次智慧校园网设计中dhcp服务器采用linux操作系统下的dhcp服务器。1)检查系统有没有dhcp安装包。[root@luo~]#rpm-qdhcpdhcp-3.0.5-21.el52）系统中没有/etc/dhcpd.conf,需要把/usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample复制到/etc/dhcpd.conf下。修改/etc/dhcpd.conf文件[root@luo~]#vim/etc/dhcpd.confSubnet为客户端获得ip的网段，optionrouters为客户端的网关，optionsubnet-mask为网关的子网掩码，如图：4.17。图4.17配置文件Optiondomain-name为客户端指定dns服务器的名称，optiondomain-name-servers为客户端指定DNS服务器的ip。如图：图4.18图4.18指定ipHardware为指定的客户端的mac地址，fixed-address为客户端指定ip。如图：图4.19图4.19指定mac地址3）启动dhcp服务[root@luo~]#/etc/init.d/dhcpdstart4.2.6WEB服务器的搭建本次web服务器的搭建选择linux操作系统，当今使用最多的web服务器是Apache服务器,支持基于域名和基于ip的虚拟主机。Web服务器是为用户提供网络信息浏览的服务器。1）检查httpd安装包是否安装。[root@luo~]#rpm-qa|grephttpdhttpd-2.2.3-31.el52）在/var/www/html/下创建两个用户hr和my，对两个不同的用户提供不同的web服务。[root@bysj~]#cd/var/www/html/[root@bysjhtml]#lshrmy3）修改/etc/httpd/conf/http.conf文件。在文件中追加以下内容。[root@luohtml]#vim/etc/httpd/conf/httpd.confNamevirtualHost22:80<VirtualHost22:80>ServerNameDocumentRoot/var/www/html/hr</VirtualHost><VirtualHost22:80>ServerNameDocumentRoot/var/www/html/my</VirtualHost>4）重启httpd服务。5）在/etc/resolv.conf中添加以下内容，添加域名和nameserver22。如图：4.20图4.20resolv.conf文件4.2.7数据库服务器的搭建数据库服务器是众多服务器的关键，是整个智慧校园网建设的核心。本次智慧校园网的设计，选用windowsserver2003平台。在数据库服务器的搭建时，还要考虑到数据库的高可用和负载均衡。本次智慧校园的设计选用oracle11g数据库软件和oracle11ggrid集群管理软件。通过oracle的实时应用集群来实现对数据库实例的保护，在遇到故障时的无缝切换。在访问流量大时，实现负载均衡，减少用户排队等待时间。1）配置存储设备，划分出共享的磁盘组。如表4.1表4.1划分共享磁盘和个磁盘的作用对应服务器磁盘磁盘大小(G)用处磁盘12OCR，voting磁盘22磁盘32磁盘4300数据文件、控制文件、重做日志文件磁盘5300闪回区、归档路径、备份路径2）修改主机名关闭防火墙，两台服务器都要进行修改。第一台服务器主机名改为oracledb1，第二台服务器改为oracledb2。3）修改administration用户登录密码，两台服务器都要修改，密码一致。4）划分oracle的安装目录和虚拟内存。在两台服务器上分别在本机磁盘（即磁盘０）上新建一个分区作为虚拟内存100G大小，盘符为G。修改虚拟内存，选择更改，自定义。初始值为32768MB，最大值：65536MB。修改两个节点的hosts文件。在文件中追加如图：图4.21的内容。图4.21hosts文件6）网络规划。在两个节点都进行。将现有的一个网络连接改命名为public，如此将另一个网络连接改命名为private，并配置ip。并将public的优先级高于private。如图：图4.22图4.22设置先后级别测试连通性，两节点互ping。Pingpublic，pingprivate。共享安装目录和c盘时间同步，如图4.23图4.21同步两节点的时间测试节点间是否能互相访问共享的目录和磁盘。如图4.22图4.22互访共享目录和共享磁盘11）安装前检测，oradb1进入grid目录，运行runcluvfy.batcompnodecon–noracledb1,oracledb2–verbose和runcluvfy.batstage–precrsinst–noracledb1,oracledb2–verbose安装oracle11ggrid软件（1）选择安装和配置集群的网格基础结构。（2）选择高级安装。（3）选择语言为简体中文。（4）Scan的名称要与hosts文件中的一样。不选择“配置gns”，检验scan，如图：图4.23图4.23指定scan名称（5）这里我们只能看到当前节点rac1的一些信息，点击“添加”，添加节点rac2：oracledb2的信息。节点Rac2主机名：oracledb2节点2虚拟IP名：oracledb2-vip。（6）确认网卡的接口类型是否正确对应，public为公共ip，private为专用ip。如图：图4.24图4.24检查ip（7）存储选项这一信息界面，选择asm自动存储管理。（8）设置OCR存储选项，磁盘组名OCR标记磁盘addorchangelabel选三块2g的磁盘勾选generatestampswiththisp框中输入OCRNEXTfinish冗余选普通，勾选三块候选磁盘。（9）指定安装路径，如图：图4.25图4.25指定grid安装目录（10）安装前期条件检查，检查完成后生成一个概要文件。（11）开始安装grid软件。如图：图4.26图4.26安装grid软件13）安装oracle11g的数据库软件。（1）安装选项选择“仅安装数据库软件”，（2）网格安装选项选择“RealApplicationCluster数据库安装”，并将两个节点都选择上。如图：图4.27图4.27选择集群安装（3）数据库版本选择企业版，所有组件都安装。如图：图4.28图4.28选择企业版（4）oracle数据库的安装位置，如图：图4.29图4.29指定数据库安装目录（5）安装前期条件检查，oracle会自动检查当前安装环境，看是否适合安装oracle数据库软件，完成之后会生成一个概要文件。（6）开始安装database数据库软件，如图：图4.30图4.30安装数据库软件（7）在节点2：oracledb2的oracle_home下找到bin文件夹，在bin中点击selecthome.bat文件，运行之后oracle数据库软件即安装成功。14）配置DGDATA和DAFLASH磁盘运行asmca磁盘组名DGDATA标记磁盘addorchangelabel选一块500g的磁盘勾选generatestampswiththis框中输入DGDATANEXTfinish。冗余选外部，勾选一块候选磁盘。磁盘组名DGFLASH标记磁盘addorchangelabel选一块500g的磁盘勾选generatestampswiththis框中输入DGFLASHNEXTfinish。冗余选外部，勾选一块候选磁盘。磁盘添加完毕，关闭。15）运用DBCA命令创建数据库实例。（1）安装类型选择集群数据库并创建数据库，选择“一般用途或事务处理”。（2）在数据库标识这一界面，配置如图：图4.31图4.31设置实例名(3)管理选项界面，启用em管理（4）在数据库身份证明界面，选择对所有用户统一配置密码。（5）进入数据库文件存储路径设置，存储类型集群文件系统，文件存储位置选择“所有数据库文件使用公共位置”，并设置数据库文件的目录。（6）恢复配置界面。如图：图4.32图4.32指定闪回区和大小（7）初始化参数设置界面，选择asm自动自动管理机制。字符集选择简体中文，具体如下图：图4.33，图4.34图4.33设置PGA和SGA的大小图4.34设置字符集（8）开始安装数据库实例，如图：图4.35图4.35安装数据库实例4.3应用支撑平台智慧校园的搭建，要在基础层的基础上搭建应用支撑平台。在应用支撑平台上，要有统一的数据交换平台，统一的身份认证平台和统一的信息门户平台。4.3.1统一的数据交换平台统一的数据交换平台是对智慧校园中各种结构化数据统一管理的平台，也是各种数据交换、共享的平台。统一的数据交换平台为智慧校园提供了深层次的数据挖掘和数据分析的可能。通过统一的数据交换平台建设，构建智慧校园的数据中心，实现智慧校园信息系统之间数据的共享和交换,实现跨部门的信息交流，构建统一的整体系统。明确各业务与数据库连接的端口，确保数据实时同步和一致性。统一的数据库平台可以为用户提供综合的信息服务，为学校决策者提供基础的、全面的数据分析资料。统一的数据交换平台有效的解决了信息孤岛的现象，提高了教学资源的利用率。统一的数据库交换平台的功能特性有：表空间管理：根据不同的业务，在数据文件上创建不同的表空间，通过本地管理，实现表空间的管理。表管理：快速完成对表的增、删、查、改，实现对表的日常操作。利用多种约束，确保数据唯一性。权限管理：基于角色划分不同的用户，每个角色、用户有着不同的权限，获得权限的用户、角色只能在自己的权限范围内对数据库进行相关的操作，这样确保了数据的安全访问。数据库监控：以图形化的形式展示数据平台的使用状况，统计每个用户的访问记录。日志管理：通过对日志的管理，可以知道用户对数据库的操作，也可以利用日志对数据库进行恢复。备份与还原:对数据库设置备份策略，自动备份。数据库出现故障时可以运用备份和日志进行数据库恢复。4.3.2统一身份认证平台统一的身份认证平台是智慧校园的重要组成部分。它实现了统一的用户管理和权限控制，为各服务系统提供了统一的、集中的身份认证，避免了用户在校园内办理多个业务时，在多个系统上多次登录的情况，方便了校园用户也避免了校园网重复验证的性能损耗。统一的身份认证平台要对所有的系统用户认证进行统一的管理和集中认证。为智慧校园网用户提供统一的身份验证和权限下发。校园网用户通过信息门户平台一次登录即可办理所有的业务，避免重复登录。统一的身份认证平台的工作原理，用户访问系统时，系统获取用户的用户名和口令密码，加密后发送到统一身份认证平台，统一的身份认证平台获取后经过验证合法性，将验证结果发送到系统，系统根据用户所属的角色确定用户的访问权限。统一的身份认证平台的功能特性有：建立身份信息认证的系统，为用户身份提供统一的、集中地身份验证和管理。提供单点登录，一次登录即可获取所有权限内的服务。在身份信息和密码传输过程中采用加密技术，确保用户身份信息和口令不泄露。具有口令密码找回功能，方便用户快速找回密码。4.3.3统一的信息门户平台统一的信息门户平台是智慧校园网人机交互的服务平台也是集中展示平台。面向校内外的智慧校园网信息门户网站，向校内外不同的用户提供不同的信息服务，进入不同的信息管理系统。统一的信息门户平台整合了学校内的所有资源，将它集中展示在一张网页页面内。用户只要账号登录，就可以访问权限内的服务，享受智慧校园网所带来的便利和高效。信息门户网站基于用户的不同提供个性化的服务，用户可以通过个人需求、兴趣来定制相关的服务。统一的信息门户平台在功能上的划分：学生平台：对于学生，从招生入校到在校学习生活再到离校毕业最后到校友阶段。每一个阶段都要有不同的需求服务。招生入校阶段，学生需要专业分班的情况，课程安排，宿舍安排、领取教材，军训安排等服务。在校学习生活阶段，学生需要成绩查询，补考重修，网上评教，选课，考试安排，图书借还，学费缴纳等服务。毕业离校阶段，学生需要毕业设计安排，答辩时间，离校手续办理，就业情况等服务。校友阶段，学校校校友推送学校的重大新闻，发展规划，重大的变革以及校庆邀请的服务。教师平台：信息门户平台向教师提供教学、科研、财务、会议的服务。领导平台：信息门户平台校校领导集中、整体展示全校范围内的情况，包括教学、科研、财务、管理等服务，辅助校领导对学校发展决策。校外其他用户：信息门户平台对校外用户提供基本信息查询，如：学校概况，重大新闻，招生简章等服务。4.4业务层业务层分为针对学生的业务，针对教师的业务，，针对财务的业务和针对服务管理的业务。4.4.1针对学生的业务针对学生的业务主要有招生管理系统，教务管理系统，宿舍管理系统，就业管理系统等。招生管理系统，包括招生计划管理，录取信息管理和新生资料管理。招生计划管理，在高考前公布招生的计划。录取信息管理，在高考后，进行录取信息统计，录取通知书发放，录取信息查询。新生资料管理，将新生的数据录入共享数据库平台，对新生的档案资料进行转入存储，为新生分配相应的校园资源。教务管理系统，智慧校园的核心系统。安排教学计划，排课表，网上选课，考试管理，补考重修，学籍管理，教材采购发放，实训实习安排和学费缴纳。将教学活动连成一个整体，通过共享数据库平台，提高信息的可靠性和实时性，为教学活动提供准确，实时的数据。教务管理系统包括学生信息管理，课程信息管理，选课管理，考试管理和成绩管理。宿舍管理系统包括宿舍信息管理，宿舍设备管理，来访人员管理。宿舍管理系统为学生提供宿舍分配，收费状况，室内设施，日常检查的服务。信息共享到统一的共享数据中心，教务处，财务处以及院校领导都能看到全方位的宿舍管理情况，为学生评优，征收宿舍住宿费，领导了解学生宿舍提供支持。就业管理系统是为毕业生专门设置的平台，为毕业生和学校一些相关部门提供一个综合信息共享服务平台。就业管理系统为毕业生推送招聘会信息，为毕业生签约提供指导。利用统一的共享数据信息平台实现数据共享流动，在毕业前，毕业生可以在一些相关部门办理离校手续。4.4.2针对教师的业务针对教师的业务主要有薪资管理系统，人事管理系统，科研管理系统。薪资管理系统是财务系统针对教师的一个子系统。为教师提供薪资基本情况，五险一金的缴纳，个人所得税的缴纳和薪资调整的情况，为教师提供了一个透明的薪资情况。人事管理系统是学校为建立人才储备库，促进学校师资优化，提高学校人力资源管理水平的系统。人事管理系统为用户提供人事管理的基本状况和人力资本的全面分析管理。主要是为学校减少人力成本，优化人力资源的配置和提高学校的综合竞争力。科研管理系统是学校为统计科研情况、了解科研进展和划拨科研经费的管理系统。进行科研的老师可以随时更新数据，申请研究经费并实时的通报研究的现状和经费的使用情况。4.4.3针对财务的业务针对财务的业务分为对学生方面的，对教师方面的和对学校整体的系统。对学生方面的子系统主要涉及到学费，书本费和住宿费的征收。向广大学生公布应缴费的标准以及相关的政策文件。对教师方面的子系统主要是教师的薪资方面和缴纳五险一金和个税方面。对学校整体而言，支持学校发展基建，为学校开展活动提供保障。4.4.4针对服务管理的业务针对服务管理的业务主要有图书馆业务系统和食堂管理系统。图书馆管理业务系统主要是图书的借还。对新生办理借书证，对在校学生提供借还书服务，通过智慧校园网可以实现自助借还书，方便广大师生的读书学习。对毕业生注销其借书的权限，收缴借书证件。食堂管理系统主要是为学生用餐提供服务，包括网上点餐系统，食堂管理系统和菜单管理系统，学生可以通过食堂管理系统了解菜谱，掌握本时间点食堂的人流量，确定是去食堂就餐还是点餐。4.5门户层智慧校园的门户层由公共信息板块，单点登录板块和决策支持板块组成。4.5.1公共信息板块公共信息板块是针对校内外的用户，为用户提供学校的基本概况和新闻。特别是校外用户可以通过公共信息板块来了解学校。4.5.2单点登录板块校内用户通过单点登录，进入个性化服务界面，校内用户可以进行需要的业务办理，查询与自己相关的校内信息，完成由自己负责的工作或作业。4.5.3决策支持板块决策支持板块为学校领导提供了全校整体的信息，提供了可靠、详尽的数据分析结果，全景展示了校园的现状情况，为学校的进一步发展提供有力保障。第五章智慧校园网的安全设计网络安全关乎整个智慧校园的正常运行。没有了网络安全，其他一切功能都无从谈起。在网络技术发展的同时，对于网络的安全威胁也在不断的出现发展。教育信息化的不断发展，智慧校园网成为学校的重中之重和命脉。确保智慧校园网的安全成为智慧校园正常运行的必须。智慧校园的建成是一项庞大的工程，由于智慧校园建设的需要，要在全校范围内布置智能感知设备，这些智能设备的维护与安全是必须考虑的方面；校本部、附属医院和分校区之间的远距离信息传输也必须考虑线路的维护与通信的安全；智慧校园网的数据，整个智慧校园的重中之重，必须要有数据安全和日常维护的重要性；智慧校园的各个业务系统的运维也关乎整个智慧校园的正常运行。在设计之初，就考虑到网络安全的问题，以太环网的设计和冗余设计都是为防止发生不可预知的事故。5.1智慧校园网的安全智慧校园的安全包括智能感知层的安全，网络层的安全，应用层的安全和数据的安全。智慧校园所用的技术是物联网技术，对于智慧校园网的安全是相对于物联网的逻辑层攻击子模型（ASM-IOT）而言的。5.1.1感知层的安全智慧校园的智能感知设备分布在校园的角角落落，分布范围广、数量众多很容易受到物理攻击和盗窃。每一个智能感知设备都向任何人开放，整个校园网容易受到监听、重播和篡改、伪造，每个节点带宽有限，大量的重放攻击会使整个网络受影响。针对这些问题，必须在智慧校园的建设过程中，对广大师生进行一定程度上的教育引导，教会大家怎样使用智能感知设备并配备监控设备防止物理破坏和盗窃。在智能感知设备上利用射频标签和阅读器间的加密和认证。运用于无线网的IEEE802.15.4协议对消息的封装和认证有影响。通过运用ZigBee协议可以保证通信的机密和低能耗。5.1.2网络层的安全智慧校园涉及到多种不同架构的网络，在网络安全认证方面会有很多问题。网络层也容易受到ip碎片攻击、虚假路由信息攻击等。针对网络层的安全，应该从架构层面开始考虑设计多网融合的跨架构的安全认证方法，实现多架构网络的互联互通。对于校本部、附属医院和分校区的远程连接，采用VPN加密技术，确保信息在远程传输中的安全可靠。在网络层还要注意各个服务器的安全。加装防火墙，监控和过滤通过防火墙的信息流，尽可能对外网屏蔽内网的一些信息，利用防火墙实现对网络和服务器的安全保护。设置DMZ非军事区，将一些公用服务器安置在非军事区，比如：邮件服务器、web服务器和ftp服务器等。DMZ和内部网络同属内网，只是安全级别不相同。非军事区的服务器的安全级别可以相对于内网其他的服务器低，可以安装在防火墙的外面。5.1.3应用层的安全智慧校园的智能体现在按一定的规则来对信息进行过滤和判断，但这种规则是有限的，不可能面面俱到，如果恶意破坏者很容易就可以规避开这些规则，在应用层非法进入某个系统，将给整个智慧校园带来不可预知的灾难。5.1.4数据的安全数据的安全是智慧校园网安全的重中之重，如果数据丢失，那对学校来说是致命的。确保数据安全是智慧校园的第一要务。定期的备份数据，防发生突发情况。在本地形成冗余的同时还要考虑异地的灾备。本次数据中心的设计中采用了oracle数据库的实时应用集群，确保了在发生异常情况时，数据库服务还能为用户提供服务。通过对角色、用户的权限设置确保用户只能在自己权限范围之内对数据库进行操作，从而保证了数据的安全性。5.2智慧校园网的维护智慧校园的设计与建设会花费很多的人力和物力，而设计与建设只是智慧校园的起步，要让智慧校园长期有效的运行，必须对智慧校园的各个系统，各个层面，每一条数据进行维护。智慧校园网的维护涉及到很多方面。周期性、常态化的对整个智慧校园网进行维护，而不是等到出问题之后再补救。只有经常维护才能保证整个智慧校园网长效、稳定的运行。5.2.1硬件以及线路的维护硬件和线路的维护机房内的设备维护，分布在全校的智能感知设备的维护和连