学校网络和普通企业网络不太一样,师生设备多、使用场景杂,教室、办公室、宿舍全都要连上,一不小心就容易出问题。前阵子去一所中学做网络维护,发现他们刚升级了校园网,但学生一用Wi-Fi,老师办公系统就卡,查下来是广播风暴加上带宽被占满。
为什么需要私网隔离?
简单说,就是把不同的用户或设备划分到彼此不通的局域网里。比如学生手机、教师电脑、监控摄像头这些,虽然都连在同一个物理网络上,但通过VLAN或防火墙策略,让它们之间默认不能互相访问。这样既防了横向攻击,也避免了某个区域的流量拖垮整个网络。
那所学校之前所有终端都在一个大网段里,学生刷视频占满带宽,打印机找不到IP地址,甚至有人用手机远程控制教室电脑。改完私网隔离后,这些问题基本消失。
实际部署怎么做?
第一步是划VLAN。按用途分几类:教学区(教室多媒体)、办公区(教师PC)、学生移动设备、安防设备(摄像头、门禁)。交换机上配置VLAN后,不同组之间的通信必须经过核心交换机或防火墙控制。
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10 <!-- 教学区 -->
!
interface GigabitEthernet0/2
switchport mode access
switchport access vlan 20 <!-- 办公区 -->
!
interface GigabitEthernet0/3
switchport mode access
switchport access vlan 30 <!-- 学生Wi-Fi -->第二步是设置访问策略。比如允许办公区访问教务系统服务器,但学生设备只能上外网,不能访问内部资源。防火墙规则要精细,像下面这条就是限制学生网段访问管理后台:
rule deny ip source 192.168.30.0 0.0.0.255 destination 192.168.10.100 0.0.0.0无线网络也要隔离
现在学生基本人手一部手机,Wi-Fi压力最大。除了SSID分开,还得开启AP层面的客户端隔离功能,防止连在同一热点下的设备互相扫描。我们给老师开了专用SSID,加密方式用WPA2-Enterprise,配合RADIUS认证,确保只有授权人员能接入。
有次发现一个AP总掉线,查了半天才发现是学生拿路由器桥接,偷偷扩展信号范围。后来在AC控制器上加了MAC地址白名单,非注册设备直接拉黑。
维护时的小细节
私网隔离后,排查问题得换个思路。比如学生说“上不了网”,不能只看是不是通外网,还得确认他所属VLAN有没有正确下发,DHCP有没有分配对应网段的地址。日志集中收集也很关键,不然几十台交换机来回登,效率太低。
建议配上简单的监控页面,实时看各VLAN的流量趋势。有一次发现监控网段突然流量激增,追查下去是某间教室的摄像头被植入挖矿脚本,及时断网处理才没扩散。
这种隔离方式不是一劳永逸,每学期新设备接入、临时活动布网,都得重新核对策略。但只要基础架构搭好了,后续维护反而更省心。