校园网建设难题咋解？华三设备打造三层架构方案来啦

<股票鑫东财配资>校园网建设难题咋解？华三设备打造三层架构方案来啦

大家好，我是网工老张。老张我干网工十几年，接过最让人头疼的项目就是校园网。

为啥？因为校园网的用户太“丰富”了——有天天看剧打游戏的学生，有需要稳定办公环境的老师，还有随时可能搞出各种“骚操作”的技术宅。既要保证大家都稳定上网，又要让学生和老师的网络“老死不相往来”，还得方便后期的运维管理，这三件事凑在一起，方案没设计好，后期就是给自己挖坑。

最近有个学校找老张做校园网建设，覆盖教学楼、宿舍楼和办公楼三块区域。需求可以说是校园网项目的“标准三件套”：

1. 所有区域都能稳定访问互联网；

2. 学生宿舍网和教师办公网必须逻辑隔离，不能随意互访；

3. 网络管理和运维要尽可能简单。

经过多方对比，客户指定核心设备用华三（H3C） ，这个选择老张我也非常认可。今天就把这套方案拿出来跟各位网工朋友分享一下，有需要的可以直接抄作业，命令都帮你们写好了。

一、整体方案：三层架构，分工明确

校园网的规模说大不大说小不小，老张我采用的是核心层+汇聚层+接入层的三层架构，这套设计在校园网里已经是成熟方案了。

设备选型如下：

· 核心交换机：2台H3C

· 汇聚交换机：教学楼、宿舍楼、办公楼各部署2台H3C S5500-28F

· 接入交换机：每栋楼各楼层部署H3C S5130系列

· 出口路由器：H3C MSR56系列

· 防火墙：H3C 系列

一句话说清分工： 核心交换机负责高速转发和跨VLAN路由，汇聚交换机负责区域流量汇聚和策略控制，接入交换机负责连接终端的“最后一公里”。接入交换机上配置VLAN隔离，有效阻断二层网络中的ARP攻击和病毒传播。

二、VLAN规划：隔离的核心手段

要实现“宿舍网和教师办公网不能随意互访”，核心就是做好VLAN划分。VLAN的本质是在物理交换机上构建逻辑上的广播域隔离，让不同区域即使连接在同一台物理设备上，也能实现二层隔离。

老张的VLAN规划如下：

VLAN ID 区域 IP网段 用途

VLAN 10 办公楼 10.10.1.0/24 行政办公网

VLAN 20 教学楼 10.20.1.0/24 教学网络

VLAN 30 宿舍楼 10.30.1.0/24 学生宿舍网

VLAN 99 设备管理 10.99.1.0/24 网管专用

VLAN 100 服务器区 10.100.1.0/24 校内服务器

这样划分之后，各个区域的二层网络是相互隔离的。但如果要跨区域访问（比如教学楼访问办公楼），需要三层交换机的VLAN接口来做路由转发，这时就需要靠ACL来控制访问权限了。

三、逻辑隔离：ACL实现区域互访控制

VLAN只能做到二层隔离，但既然所有区域的网关都在核心交换机上，默认情况下不同VLAN之间是可以互访的——这正是很多新手容易忽视的地方。

要真正实现“宿舍网不能访问办公网”，老张在核心交换机上配置高级访问控制列表（ACL）校园网建设难题咋解？华三设备打造三层架构方案来啦，把这些拦截策略做在核心层，一次性搞定全网访问控制。

下面给出核心交换机的关键配置：

-view

# 1. 系统基础配置

Core-

super h3c@2025

# 一键配置命令，设置交换机名称为Core-，并设置Super口简单密码

# 2. 创建业务VLAN

vlan batch 10 20 30 99 100

# 3. 配置VLAN接口（网关地址）

Vlan- 10

H3C-Vlan-

ip 10.10.1.1 24

H3C-Vlan-

quit

Vlan- 20

H3C-Vlan-

ip 10.20.1.1 24

H3C-Vlan-

quit

Vlan- 30

H3C-Vlan-

ip 10.30.1.1 24

H3C-Vlan-

quit

Vlan- 99

H3C-Vlan-

ip 10.99.1.1 24

H3C-Vlan-

quit

Vlan- 100

H3C-Vlan-

ip 10.100.1.1 24

H3C-Vlan-

quit

# 4. 配置高级ACL实现隔离（学生宿舍不能访问办公楼、教学楼和服务区）

# 创建高级ACL 3000

acl 3000

# 规则1：宿舍区可访问互联网（放行外网流量）

# 匹配宿舍VLAN 30的源地址h3c下一代防火墙，先设置放行规则

H3C-acl-ipv4-adv-3000

rule 5 ip 10.30.1.0 0.0.0.255

# 规则2：宿舍区不能访问办公楼

H3C-acl-ipv4-adv-3000

rule 10 deny ip 10.30.1.0 0.0.0.255 10.10.1.0 0.0.0.255

# 规则3：宿舍区不能访问教学区

H3C-acl-ipv4-adv-3000

rule 15 deny ip 10.30.1.0 0.0.0.255 10.20.1.0 0.0.0.255

# 规则4：宿舍区不能访问服务器区

H3C-acl-ipv4-adv-3000

rule 20 deny ip 10.30.1.0 0.0.0.255 10.100.1.0 0.0.0.255

# 规则5：宿舍区可以访问互联网出口（需放在拒绝规则后的第一条先放行）

H3C-acl-ipv4-adv-3000

rule 25 ip 10.30.1.0 0.0.0.255

# 规则6：其他所有VLAN间互访默认允许

H3C-acl-ipv4-adv-3000

rule 30 ip

H3C-acl-ipv4-adv-3000

quit

# 5. 在宿舍VLAN接口的入方向应用ACL

# 拦截从宿舍发往办公/教学/服务器区的数据包

Vlan- 30

H3C-Vlan-

- 3000

H3C-Vlan-

quit

注意： ACL规则使用rule 号码进行排序，匹配时优先执行号码小的规则。ACL策略必须在VLAN接口上进行应用，并区分入方向（）和出方向（）。在这里老张选择在宿舍VLAN的入方向应用ACL，意思是：当宿舍区的数据包进入核心交换机时，让规则来判断它能不能去往其他VLAN。这样配置的好处是，所有需要拦截的流量在还没来得及进入交换芯片之前就被挡住了，效率更高，也更省资源。

四、高可靠设计：IRF堆叠和链路聚合

运维要简单，核心设备就不能单点。万一核心交换机宕机，全校断网，大半夜爬起来看你受不受得了？

所以老张的核心交换机用了两台做IRF2堆叠。IRF技术可以把多台物理设备整合成单一逻辑单元，实现统一管理与配置。（以下堆叠配置为备用方案，可根据实际情况调整）

IRF2堆叠参考配置（备用方案）：

# 设备A（保留成员编号为1）

# 将两台设备断电后，按照堆叠拓扑图连接好IRF堆叠线缆，再给设备上电

-view

ten- 1/0/25

-Ten-/0/25

-Ten-/0/25

quit

ten- 1/0/26

-Ten-/0/26

-Ten-/0/26

quit

# 创建IRF端口，绑定物理口

irf-port 1/2

-irf-port1/2

port group ten- 1/0/25

-irf-port1/2

port group ten- 1/0/26

-irf-port1/2

quit

# 启用物理端口

ten- 1/0/25

-Ten-/0/25

undo

-Ten-/0/25

quit

ten- 1/0/26

-Ten-/0/26

undo

-Ten-/0/26

quit

save force

堆叠之后，两台物理交换机逻辑上变成一台设备，管理IP只有一个，配置一次就好。一台设备出问题校园网建设难题咋解？华三设备打造三层架构方案来啦，另一台自动接管，单链路丢失也不怕，日常运维省心多了。

然后汇聚交换机上行到核心交换机用链路聚合：把两个万兆端口捆绑成一个逻辑端口，既能增加带宽，又能做冗余。

# 在核心交换机上配置

- 1

H3C--

link- mode

H3C--

quit

# 将物理端口加入聚合组

1/0/1

H3C-/0/1

port link- group 1

H3C-/0/1

quit

1/0/2

H3C-/0/2

port link- group 1

H3C-/0/2

quit

# 汇聚交换机上做同样的配置

采用动态LACP聚合模式，端口协商失败时自动降级，比手动静态更靠谱。

五、DHCP和路由配置：让全网设备自动获取地址

所有业务VLAN的DHCP服务统一由核心交换机承担，这是运维简单的核心策略之一。因为H3C的交换机只支持基于全局的DHCP配置方式，所以服务器ip-pool需要统一配置在核心交换机上，出口路由器只需要跑动态路由和NAT。

核心交换机DHCP配置：

# 开启DHCP服务

dhcp

# 为各区域创建地址池

dhcp ip-pool

H3C-dhcp-pool-

10.10.1.0 24

H3C-dhcp-pool-

-list 10.10.1.1

H3C-dhcp-pool-

dns-list 114.114.114.114 223.5.5.5

H3C-dhcp-pool-

day 7

dhcp ip-pool

H3C-dhcp-pool-

10.20.1.0 24

H3C-dhcp-pool-

-list 10.20.1.1

H3C-dhcp-pool-

dns-list 114.114.114.114 223.5.5.5

H3C-dhcp-pool-

day 7

dhcp ip-pool

H3C-dhcp-pool-

10.30.1.0 24

H3C-dhcp-pool-

-list 10.30.1.1

H3C-dhcp-pool-

dns-list 114.114.114.114 223.5.5.5

H3C-dhcp-pool-

day 1

核心交换机到出口路由器的路由配置：

# 配置默认路由指向出口路由器（假设路由器内网接口IP为192.168.1.1）

ip route- 0.0.0.0 0.0.0.0 192.168.1.1

出口路由器基础配置：

-view

-

# 配置连接交换机接口的IP

0/0

R1-/0

ip 192.168.1.1 24

R1-/0

quit

# 配置NAT（假设外部运营商给的公网IP是公网地址，内网地址全部做转换）

acl basic 2000

R1-acl-ipv4-basic-2000

rule 0 10.10.1.0 0.0.0.255

R1-acl-ipv4-basic-2000

rule 5 10.20.1.0 0.0.0.255

R1-acl-ipv4-basic-2000

rule 10 10.30.1.0 0.0.0.255

R1-acl-ipv4-basic-2000

rule 15 10.100.1.0 0.0.0.255

R1-acl-ipv4-basic-2000

rule 20 10.99.1.0 0.0.0.255

R1-acl-ipv4-basic-2000

quit

# 在外网接口应用NAT

0/1

R1-/1

ip x.x.x.x 29 # 公网IP地址

R1-/1

nat 2000

R1-/1

quit

# 配置默认路由指向运营商网关

ip route- 0.0.0.0 0.0.0.0

运营商网关IP

六、接入交换机配置模板：

接入交换机（S5130）配置模板，注意每台设备要确保固件版本一致，防止出现兼容性问题：

-view

-B1F1

# 创建业务VLAN

vlan batch 10 30 99

# 将管理IP配置在VLAN 99上

Vlan- 99

H3C-Vlan-

ip dhcp-alloc

H3C-Vlan-

quit

# 配置上行端口（Trunk模式）接入汇聚交换机

1/0/24

H3C-/0/24

port link-type trunk

H3C-/0/24

port trunk vlan 10 30 99

H3C-/0/24

quit

# 配置用户端口规格，批量配置很省心

# 教学楼接入端口：顾名思议分配VLAN 20

vlan 20

H3C-

port /0/1 to /0/12

H3C-

quit

# 宿舍楼接入端口：分配VLAN 30，同时打上802.1X认证

dot1x

range /0/1 to /0/24

H3C-if-range

port vlan 30

H3C-if-range

dot1x

H3C-if-range

quit

接入交换机只需要配置上行Trunk口和用户口就够了，管理IP通过DHCP自动获取，连上去就能用。新加楼栋时直接把配置复制一份，改改名字就行，批量部署非常省事。

七、运维建议（老张的忠告）

1. 用SNMP做全网监控：核心交换机开启SNMP，配合或者网管平台，设备流量、CPU负载、温度一目了然，提前预防不背锅，校园网运维建议不盲目加设备，以合理的SNMP轮询控制网络规模为宜。

2. 交换机登录与安全加固：除了传统口登录，老张建议开启HTTPS（SSL证书可用自签名）的Web网管和SSH服务，方便远程运维但要做好ACL登录限制访问授权。

Core-

ip http - 和

Core-

ssh ，同时设置AAA认证。

3. 做好配置备份和版本比对：配置完成后用save force强制保存， -导出到TFTP服务器归档，定期比对。版本固件先花时间统一备好档，不要在生产环境做固件升级兼容性教育。

4. 为未来扩建留足余量：VLAN号采用10、20、30、99这种间隔规划，核心交换机端口预留20%以上备用，为日后增加新楼栋做准备。

总结

这套方案的核心思想很简单：功能明确、分层清晰、统一管理。

· 三层架构：核心-汇聚-接入，各司其职，运维思路清晰；

· VLAN隔离+核心ACL：区域逻辑隔离，阻止宿舍网访问办公网，从根本上杜绝潜在安全隐患；

· IRF2堆叠+链路聚合：消除单点故障，提升可靠性和带宽；

· 核心分发DHCP+汇聚多链路聚合：减少登录设备点位，统一配置统一维护。

各位同行，校园网这活儿说大不大、说小不小，但设计对了，后期能少走三年弯路。有需要的可以按老张这套方案直接开干，上面的命令拿去用就行。

我是网工老张，做了十几年网络项目，踩过坑、翻过车，也总结了一些管用的经验和思路。如果你也在做类似的网络规划，欢迎留言交流。觉得这篇文章有用的话别忘了点赞、在看、转发，您的支持是老张继续分享的最大动力！