方便师生在校园内随时随地接入网络，并使网络可用、可管、可控。

2006年，上大信息化工作办公室成立之后，上大网络建设开始进入一个新的高潮。上大信息办主任徐伟当时提出的校园网络建设的三个原则现在已经被大多数高校认可，各个网络服务提供商给高校提出的建网方案也是以这三个原则为基础。徐伟提出校园网络建设的目标应该是可管、可控、可用，建设的三个原则分别是：全网DHCP IP地址动态分配、全扁平化管理以及全网端口隔离。

在2006年，徐伟提出全网IP地址动态分配时，许多人提出了质疑，认为这样不能稳定运行，因为全网DHCP不能解决广播风暴的问题，网络管理也非常麻烦。但徐伟认为学校的最高并发量是可知的，万兆核心交换机完全能够承受。为此，上大专门开发了网络管理系统，实现了用户名、Mac地址、IP地址在核心交换机上全绑定，然后在接入层进行全网隔离，这样广播风暴就只发生在核心层。

另外，上大还定义了一个原则：强核心弱接入，全扁平化管理。只有核心层使用三层网络结构，接入层全部是两层。这就对核心交换机的性能产生了非常高的要求，因此上大在2006年时就已经有九台万兆核心交换机，发展到现在已经有十九台万兆核心。然后4000台接入设备是从核心层到大楼汇聚，所有接入的用户都是直连核心层，所有的控制设备也只在核心层。这种做法的好处显而易见，首先节省了大量的汇聚层路由采购费用，另外所有设置参数只在核心层，大大减轻了网络维护负担。

在网络设备采购方面，核心万兆交换机上大使用的是阿尔卡特朗讯的设备，也有一部分是华为的。接入层对设备的性能要求比较低，上大使用的设备品牌比较多样，包括中联飞讯、Netgate等。上大对接入层设备的使用年限要求只有5年，在向供应商采购时，上大也只买5年的保修期，供应商需要确保设备在5年内正常使用，5年后更换新的。

在网络管控方面，上海采取的作法是全网隔离、全网封闭端口。这样用户只能向外发起连接，外网不能向用户发起连接，边界就不用布置防火墙。另外，上大网络不允许用户开Ftp、web服务，所有需要开放的服务都需申请。在用户具体的网络使用管控方面，上大为单一IP指定200个并发，即单一IP地址每秒钟最高只能通过200个并发包。

另外，上大无线网络认证还采取了一种非常特殊的认证方式：pop3认证。无线网络控制器中有白名单，只要用户的用户名、密码通过了pop3认证，就可以使用上大的无线网络。这种方式实现了彻底的跨域认证。

通过全网DHCP、强核心弱接入以及全网隔离等方式，当前上大网络运行情况良好，用比较低的成本达到了上大设定的可管、可控、可用的建网目标。

无

比较满意。