校園網(wǎng)的建設與維護

羅梅

摘 要：隨著計算機信息網(wǎng)絡的飛速發(fā)展和應用的不斷推廣，充分利用各種網(wǎng)絡已逐漸成為一種世界性行為，及時地建設校園網(wǎng)的好處將是顯著的和長遠的。校園網(wǎng)的利用在今天還沒有能夠全面的推廣，我們要依據(jù)其系統(tǒng)需求分析來確定設計的目標與原則，規(guī)劃合理的拓撲結(jié)構，以實現(xiàn)校園網(wǎng)的總體設計方案及利用打下基礎，然而，管理好、維護好校園網(wǎng)也是網(wǎng)絡建設的關鍵所在。

關鍵詞：校園網(wǎng)；建設；安全；維護

一、計算機使用現(xiàn)狀

1.網(wǎng)絡平臺使用效率較低，沒有充分發(fā)揮網(wǎng)絡優(yōu)勢。

2.網(wǎng)絡使用者缺乏相關技術、技能的培訓。

3.網(wǎng)絡軟件建設投入較少，網(wǎng)絡資源嚴重不足。

4.校園網(wǎng)內(nèi)容單一，更新緩慢。

二、校園網(wǎng)系統(tǒng)設計目標與原則

（一）校園網(wǎng)系統(tǒng)設計目標

在當今這個知識和數(shù)字經(jīng)濟時代，校園網(wǎng)的建設應是一個以寬帶IP地址為目標建立數(shù)據(jù)、語音、視頻三者合一的一體化網(wǎng)絡；為提高網(wǎng)絡可靠性及安全性，需要在主干網(wǎng)采用光纖網(wǎng)線，校園網(wǎng)應實現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡安全性；主干網(wǎng)交換機應具有很高的包交換速度，整個網(wǎng)絡應具有高速的三層交換功能；主干網(wǎng)絡應該采用成熟的、可靠的快速以太網(wǎng)和千兆位以太網(wǎng)技術作為校園網(wǎng)主干；校園網(wǎng)應選用先進的網(wǎng)管軟件，建立完善的網(wǎng)絡管理體系。

（二）校園網(wǎng)系統(tǒng)設計原則

1.開放性。采用開放性的網(wǎng)絡體系，以方便網(wǎng)絡的升級、擴展和互聯(lián)；同時在選擇服務器、網(wǎng)絡產(chǎn)品時，強調(diào)產(chǎn)品支持的網(wǎng)絡協(xié)議的國際標準化。

2.可擴充性。從主干網(wǎng)絡設備的選型及其模塊、插槽個數(shù)、管理軟件和網(wǎng)絡整體結(jié)構，以及技術的開放性和對相關協(xié)議的支持等方面，來保證網(wǎng)絡系統(tǒng)的可擴充性。

3.可管理性。利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡規(guī)劃策略，提供強大的網(wǎng)絡管理功能；使日常的維護和操作變得直觀，便捷和高效。

4.安全性。內(nèi)部網(wǎng)絡之間、內(nèi)部網(wǎng)絡與外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ELAN、防火墻等對訪問進行控制，確保網(wǎng)絡的安全。

三、校園網(wǎng)絡建設與管理案例分析

（一）案例背景

安徽某職業(yè)學校是公辦國家級重點學校，學校已有三十多年辦學經(jīng)驗。學校設有各專業(yè)的實習實驗室，學校師生總?cè)藬?shù)近萬人。學校共有四個校區(qū)，分布在合肥不同區(qū)域。需建設統(tǒng)一的校園網(wǎng)絡，實現(xiàn)四個校區(qū)互連互通，為學校各類應用系統(tǒng)運行提供智能信息化校園網(wǎng)絡平臺。

（二）設計要求

因為校園的建設各期不同，所以要解決各區(qū)域網(wǎng)絡系統(tǒng)的連接，實現(xiàn)學校各區(qū)域的信息交流和資源共享。實現(xiàn)全校各種計算機設備和網(wǎng)絡互連設備的通信；網(wǎng)絡能同時支持用戶計算機設備的有線接入和無線接入；充分考慮網(wǎng)絡系統(tǒng)的可擴展性，能滿足未來系統(tǒng)擴充發(fā)展和升級的需要；滿足多媒體信息化教學系統(tǒng)的網(wǎng)絡要求；滿足智能化教務、教室管理系統(tǒng)網(wǎng)絡要求；滿足辦公管理自動化網(wǎng)絡要求；能為用戶提供優(yōu)良的公共多媒體信息。

（三）組網(wǎng)技術選擇

整網(wǎng)采用萬兆核心、千兆骨干、百兆到桌面的設計理念。高吞吐量，線速轉(zhuǎn)發(fā)的核心路由器和三層交換機，保證了網(wǎng)絡的高效運轉(zhuǎn)。網(wǎng)絡接口處配置高性能防火墻，支持應用層報文過濾；配置四臺路由器，可通過動態(tài)獲取對端的信息建立VPN連接。在邊界防火墻后面配置專用VPN網(wǎng)關，各校區(qū)之間建立VPN隧道，進行數(shù)據(jù)封裝、加密和傳輸；在局域網(wǎng)數(shù)據(jù)中心部署VPN管理組件，實現(xiàn)對VPN網(wǎng)關的部署管理和監(jiān)控。

（四）網(wǎng)絡中心節(jié)點設計

中心節(jié)點是整個校園網(wǎng)絡的心臟部分，其主要功能是安全、快速地進行大量數(shù)據(jù)的傳送。網(wǎng)絡設備既做到雙機備份，又同時進行負載均衡。中心節(jié)點選用四臺高端核心交換機。通過高速的核心交換來實現(xiàn)整個網(wǎng)絡的高速交換和網(wǎng)絡管理。四臺核心交換機之間用多個萬兆鏈路連接，互為備份，實現(xiàn)整個網(wǎng)絡的高可靠性。

（五）網(wǎng)絡接入節(jié)點設計

每個接入節(jié)點分別配備一批可疊加交換機，每臺交換機配置兩塊千兆多模光纖模塊，采用多模光纖接入到分中心節(jié)點交換機上，以I0001vl速率通信。每臺交換機可提供24/48個100MR，J45端口，供各信息點接入。每個接入節(jié)點，可根據(jù)用戶數(shù)量的多少和接入用戶的擴展，選擇堆疊。每個接入節(jié)點單元，可采用雙管理模塊，實現(xiàn)互為冗余備份的管理結(jié)構，以提高接入節(jié)點運行的可靠性。

四、校園教學網(wǎng)的安全與維護

1.采用入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是為保證網(wǎng)絡系統(tǒng)的安全而設計配置的一種能夠及時檢測并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何異常的活動，從而達到禁止這些活動保護系統(tǒng)安全的目的。

2.運用過濾平臺和防火墻技術。過濾技術可以把不良的網(wǎng)站以及網(wǎng)上色情、暴力有強大的攔截功能。防火墻技術包含動態(tài)的包過濾、應用代理服務器、用戶認證、網(wǎng)絡地址轉(zhuǎn)換、預警模塊、日志及計費分析等功能。可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開，保護校園網(wǎng)絡不被未授權的第三方入侵。

3.運用VLAN技術。VLAN技術核心是網(wǎng)絡分段。根據(jù)不同的應用業(yè)務及不同的安全級別，將網(wǎng)絡分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問目的。

4.漏洞掃描系統(tǒng)的設計。對大型網(wǎng)絡的復雜性和不斷變化的情況，尋找一種能查找網(wǎng)絡安全漏洞，評估并提出修改建議的網(wǎng)絡安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

5.運用跟蹤手段。黑客攻擊事件發(fā)生后，盡快恢復系統(tǒng)正常運行，并通過對跟蹤記錄的分析來找出黑客進入方式，然后彌補相關漏洞，防止再次受到攻擊。

總之校園網(wǎng)的安全問題是一個全面系統(tǒng)性的工程，不能單單靠網(wǎng)絡入侵檢測和其它網(wǎng)絡安全技術，而是要仔細思考系統(tǒng)的安全需求，建立相應的管理制度，并將各種安全措施與管理制度相結(jié)合在一起，這樣才能形成一個可靠、高效、大眾化的校園網(wǎng)絡系統(tǒng)。