論校園網(wǎng)全面管理的策略

摘 要：一個(gè)好的校園網(wǎng)絡(luò)除了有優(yōu)良的網(wǎng)絡(luò)設(shè)備，更需要的是嚴(yán)謹(jǐn)可靠的、全面性的網(wǎng)絡(luò)管理。只有成功的網(wǎng)絡(luò)管理才能保障校園網(wǎng)正常運(yùn)作，才能控制各用戶的操作，使網(wǎng)絡(luò)的資源不會(huì)造成浪費(fèi)，重要資料及數(shù)據(jù)不容易泄漏。

關(guān)鍵詞：校園網(wǎng)；管理策略；域控制管理

中圖分類號(hào)：TP334

1 校園網(wǎng)的應(yīng)用特點(diǎn)

校園網(wǎng)在硬件系統(tǒng)上與其他類型的局域網(wǎng)沒有什么本質(zhì)區(qū)別，主要在于功能應(yīng)用上的不同。校園網(wǎng)的應(yīng)用特點(diǎn)主要體現(xiàn)在如下幾個(gè)方面：

（1）電子教學(xué)是校園網(wǎng)應(yīng)用的首要目標(biāo)，教師在備課、教學(xué)和研究中，需要通過校園網(wǎng)協(xié)同工作。

（2）遠(yuǎn)程教育是學(xué)生與教師、學(xué)生與教育組織之間主要采取多種媒體方式進(jìn)行系統(tǒng)教學(xué)和通信聯(lián)系的教育形式。

（3）電子圖書館，院校師生能很快地從浩如煙海的圖書中，查找到自己所需要的信息資料。

（4）校園網(wǎng)的信息共享是多維的，不僅是學(xué)校內(nèi)部交流或通信平臺(tái)，也是學(xué)校與學(xué)校、學(xué)校與家庭、學(xué)校與社會(huì)、學(xué)校與國(guó)際的交流或通信的平臺(tái)，還是學(xué)生與學(xué)生、學(xué)生與教師、學(xué)生與學(xué)校領(lǐng)導(dǎo)、學(xué)生與社會(huì)之間交流或通信的平臺(tái)。

（5）院校的各項(xiàng)職能管理工作現(xiàn)代化也勢(shì)必要通過網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。

2 校園網(wǎng)的管理目標(biāo)

校園網(wǎng)全面管理的目標(biāo)是：根據(jù)本院校教學(xué)與科研的各種應(yīng)用需求，以及日常工作的職能管理要求，面向校園網(wǎng)絡(luò)現(xiàn)有的多媒體及網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)資源平臺(tái)和客戶共享服務(wù)，努力做到安全性好、穩(wěn)定度高和管理方便。主要體現(xiàn)在如下幾個(gè)方面：

（1）要有阻擊外來(lái)非法入侵者和計(jì)算機(jī)病毒的有效能力。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)盡快查出故障點(diǎn)并能實(shí)施反攻擊。

（2）要有嚴(yán)格的用戶身份驗(yàn)證機(jī)制和用戶權(quán)限配置機(jī)制。各種教學(xué)信息只為授權(quán)用戶使用；嚴(yán)禁擅自修改、刪除原有系統(tǒng)及教學(xué)資源，以及隨意登錄與己無(wú)關(guān)的網(wǎng)絡(luò)資源；部門之間、用戶之間的訪問及資源共享，須獲網(wǎng)絡(luò)管理員授權(quán)方能實(shí)現(xiàn)。

（3）能控制內(nèi)網(wǎng)每個(gè)用戶的上網(wǎng)流量，實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)和服務(wù)器的各項(xiàng)動(dòng)態(tài)性能指標(biāo)，能夠及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)故障的先兆和隱患。

（4）要有適應(yīng)校園網(wǎng)環(huán)境變化的能力，例如因教研業(yè)務(wù)或用戶增加而調(diào)整網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，管理系統(tǒng)可以不作修改或僅作少量修改就能在新環(huán)境下運(yùn)行。

（5）另外，不能為了網(wǎng)絡(luò)管理系統(tǒng)的存在而盲目增加人手，即要節(jié)省學(xué)院的人力資源?？傊?，力爭(zhēng)用最少的成本制定最佳性價(jià)比的網(wǎng)絡(luò)全面管理方案。

3 校園網(wǎng)的管理策略

根據(jù)校園網(wǎng)的管理目標(biāo)，首先要選擇合適的網(wǎng)絡(luò)管理模式作為管理系統(tǒng)的主體。網(wǎng)絡(luò)管理模式主要是指對(duì)網(wǎng)絡(luò)的控制方式、管理任務(wù)和管理制度。目前以控制方式為主導(dǎo)的網(wǎng)絡(luò)管理模式有工作組管理、虛擬子網(wǎng)管理和域控制管理。以下分述其特征：

3.1 工作組管理

將不同的用戶按其所在的職能部門，分別列入不同的工作組中進(jìn)行管理。組與組之間無(wú)論在物理上還是邏輯上都是相通的，在“網(wǎng)上鄰居”上既可以服務(wù)器又可以互相訪問各自的資源。每個(gè)工作組的組合是任意的，用戶可以隨便加入網(wǎng)絡(luò)上的任何工作組，也可以隨時(shí)離開。

工作組管理的優(yōu)點(diǎn)是簡(jiǎn)單、方便、直觀、成本低、容易搭建和組網(wǎng)。缺點(diǎn)是部門及用戶之間無(wú)法隔離，難管理、不安全、容易產(chǎn)生網(wǎng)絡(luò)瓶頸和網(wǎng)絡(luò)風(fēng)暴。只適合少量工作站、無(wú)任何網(wǎng)絡(luò)管理要求、不運(yùn)行信息化管理軟件、辦公文字處理或有限的Internet應(yīng)用的小型企業(yè)或公司所用。

3.2 虛擬子網(wǎng)管理

在交換機(jī)上采用特定的網(wǎng)絡(luò)管理軟件將校園網(wǎng)劃分為各個(gè)大小不同的、可跨越不同網(wǎng)段的邏輯子網(wǎng)進(jìn)行管理，不同虛擬子網(wǎng)之間的用戶通信需要路由器或三層路由交換機(jī)支持。虛擬子網(wǎng)管理具有以下特征：

（1）抑制網(wǎng)絡(luò)廣播風(fēng)暴---由于每個(gè)邏輯子網(wǎng)單獨(dú)形成小廣播域，所以能有效地分隔了整個(gè)網(wǎng)絡(luò)的廣播區(qū)域，縮小廣播范圍，抑制網(wǎng)絡(luò)廣播風(fēng)暴的產(chǎn)生。

（2）提高了網(wǎng)絡(luò)安全性---通過路由訪問列表和虛擬子網(wǎng)劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

（3）網(wǎng)絡(luò)管理簡(jiǎn)單直觀---VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下，可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。

VLAN管理的主要缺點(diǎn)是組網(wǎng)成本高，一是需要添加路由器或三層交換機(jī)；二是管理策略受三層交換（路由）節(jié)點(diǎn)帶寬的限制；三是對(duì)網(wǎng)絡(luò)的控制單元只能細(xì)化到VLAN級(jí)，不能控制及管理到網(wǎng)絡(luò)中的每一個(gè)用戶。

3.3 域控制管理

域控制管理是指對(duì)一個(gè)在安全邊界內(nèi)、完全接受控制的計(jì)算機(jī)組合的管理。負(fù)責(zé)域內(nèi)各用戶登錄驗(yàn)證工作的稱為域控制器，域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)用戶接入網(wǎng)絡(luò)時(shí)，域控制器鑒別該用戶是否屬于本域，登錄賬號(hào)密碼是否正確，若身份信息有錯(cuò)，域控制器就會(huì)拒絕登錄網(wǎng)絡(luò)，從而在源頭上保護(hù)了網(wǎng)絡(luò)的安全。這就是域管理中對(duì)用戶的身份驗(yàn)證過程。

域控制管理最重要的特征是系統(tǒng)十分安全，因?yàn)榭刂泣c(diǎn)可以具體指向任何一臺(tái)計(jì)算機(jī)或一個(gè)用戶，它的管理手段集中、精細(xì)和嚴(yán)格，對(duì)網(wǎng)絡(luò)資源的分配完全可以按照管理者的意愿隨心所欲，而且各用戶主機(jī)的軟硬件配置完全由管理員統(tǒng)一控制，用戶本人無(wú)法更改或刪除，避免了網(wǎng)絡(luò)資源及其客戶端的軟硬件受到有意或無(wú)意的損害。支持域控制管理的是活動(dòng)目錄軟件，其主要技術(shù)功能有：

（1）安全性。用戶授權(quán)管理和目錄進(jìn)入控制整合在活動(dòng)目錄中（包括用戶的訪問和登錄權(quán)限等），集中控制用戶授權(quán)不僅能在每一個(gè)目錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義。除此之外，活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。安全策略可包含帳戶信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)等。

（2）組策略。組策略是用戶或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置，所有的組策略設(shè)置都包含在組策略的對(duì)象（GPOs）中。GPOs設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限。例如組策略對(duì)象可以決定用戶登錄時(shí)所在的計(jì)算機(jī)上會(huì)看到什么應(yīng)用程序，或服務(wù)器啟動(dòng)時(shí)有多少用戶可連接至Server，以及用戶轉(zhuǎn)移到不同的部門或組時(shí)可訪問什么文件或服務(wù)等。組策略對(duì)象管理少量的策略而不是大量的用戶和計(jì)算機(jī)。

（3）DNS集成?；顒?dòng)目錄使用域名系統(tǒng)（DNS）來(lái)為服務(wù)器目錄命名，DNS是將更容易理解的主機(jī)名轉(zhuǎn)換為數(shù)字IP地址的Internet標(biāo)準(zhǔn)服務(wù)，利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通訊。

（4）智能復(fù)制。信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢(shì)，活動(dòng)目錄使用多主機(jī)復(fù)制，允許您在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄。由于進(jìn)行了多主機(jī)復(fù)制，它們將更新目錄的單個(gè)副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。

（5）查詢靈活。任何用戶可使用“開始”菜單、“網(wǎng)上鄰居”或“活動(dòng)目錄用戶和計(jì)算機(jī)”上的“搜索”命令，通過對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來(lái)查找用戶，反之亦然。

通過對(duì)上述三種網(wǎng)絡(luò)管理模式的比較和分析，結(jié)合校園網(wǎng)應(yīng)用特點(diǎn)和基于管理目標(biāo)下的具體要求，應(yīng)該采用以域控制管理為主導(dǎo)、虛擬子網(wǎng)管理輔助的網(wǎng)絡(luò)管理模式，才能滿足和校園網(wǎng)實(shí)現(xiàn)全面管理的目標(biāo)。

參考文獻(xiàn)：

[1]趙國(guó)棟.大學(xué)數(shù)字化校園與數(shù)字化學(xué)習(xí)紀(jì)實(shí)研究[M].北京：北京大學(xué)出版社，2012.

[2]陳廣山.網(wǎng)絡(luò)管理技術(shù)教程[M].北京：清華大學(xué)出版社，2011.

作者單位：廣州華立科技職業(yè)學(xué)院，廣州 511325