于 杰

(長春職業(yè)技術(shù)學(xué)院，長春 130033)

0 引言

高職院校校園網(wǎng)絡(luò)建設(shè)以“先進、實用、經(jīng)濟、合理，用管兩便、安全可靠，易于擴展”［1］為指導(dǎo)思想，采用先進成熟的主流技術(shù)，充分考慮新建系統(tǒng)的可擴充性和與原有系統(tǒng)的兼容性，并體現(xiàn)科學(xué)規(guī)劃、合理布局、預(yù)留充分、應(yīng)用方便的特點，達到現(xiàn)代化、高效、舒適、安全、節(jié)能的人文辦公環(huán)境的要求．可從校園網(wǎng)軟硬件基礎(chǔ)建設(shè)、資源中心與信息系統(tǒng)環(huán)境建設(shè)、校園網(wǎng)安全體系建設(shè)3個方面入手．

1 完善校園網(wǎng)軟硬件基礎(chǔ)建設(shè)

校園網(wǎng)軟硬件基礎(chǔ)建設(shè)主要包括防火墻、路由器、核心交換機、匯聚交換機、接入交換機等建設(shè)．

網(wǎng)絡(luò)建設(shè)之初要決定構(gòu)造什么樣的校園網(wǎng)和選購網(wǎng)絡(luò)設(shè)備，要多向本科院校成熟的校園網(wǎng)進行充分調(diào)研，依據(jù)高職院校的特點，本著為學(xué)院教學(xué)、科研、管理服務(wù)的主要思想，既要考慮學(xué)院發(fā)展的長遠規(guī)劃又要從學(xué)院實際情況出發(fā)，依據(jù)長期規(guī)劃，圍繞網(wǎng)絡(luò)拓撲圖逐步建設(shè)網(wǎng)絡(luò)．網(wǎng)絡(luò)設(shè)備周期一般在三至五年．同時還要考慮網(wǎng)絡(luò)的可擴展性，根據(jù)資金實際情況，在內(nèi)網(wǎng)建設(shè)方面做出抉擇．

衡量防火墻的一個重要指標是并發(fā)連接數(shù)，衡量路由器要考慮NAT地址數(shù)量，衡量交換機要考慮端口數(shù)量、轉(zhuǎn)發(fā)速率、背板帶寬、MAC地址數(shù)量等主要參數(shù)［2］，要充分考慮到冗余．在宏觀上規(guī)劃基礎(chǔ)網(wǎng)絡(luò)建設(shè)要依據(jù)學(xué)院實際出發(fā)，選擇適合學(xué)院發(fā)展的硬件設(shè)備，還要充分考慮學(xué)院教師與學(xué)生規(guī)模數(shù)量，在主體構(gòu)建上保證網(wǎng)絡(luò)暢通性．如在交換機骨干傳輸中，要正確選擇萬兆做主干、千兆到桌面還是選擇千兆做主干、百兆到桌面，這要依據(jù)選購交換機要保證高可擴充性、高性價比、內(nèi)置安全機制等功能，準確計算有效通信數(shù)據(jù)中背板帶寬，保證交換機做到無阻塞傳輸，適當考慮堆疊與TRUNK級聯(lián)，發(fā)揮交接機最佳性能，要采用分層設(shè)計按核心層、匯聚層、接入層架構(gòu)［3］．核心層設(shè)備將占投資的主要部分，要適當考慮冗余設(shè)計，保證冗余能力、可靠性和高速的傳輸．網(wǎng)絡(luò)的控制功能最好不在核心層上設(shè)計實施．匯聚層設(shè)計上，主要保證核心層的安全和穩(wěn)定，同時提供接入層VLAN之間的互連，控制和限制接入層對核心層的訪問．接入層設(shè)計上主要采用性價比高的設(shè)備，允許教師及學(xué)生終端用戶連接到網(wǎng)絡(luò)中．

在網(wǎng)絡(luò)介質(zhì)輸入方式上，樓宇之間盡量采用單模光纖布置且要采用備份線路，樓層之間采用多模光纖或雙絞線．采用雙絞線時要注意最大連接距離，采用光纖時要注意端接光纖跳線接法及光纖模塊，要根據(jù)交換機板卡是GIBC模塊還是SFP模塊進行相應(yīng)選擇SC到ST跳線還是LC到ST跳線．

2 做好資源中心與信息系統(tǒng)環(huán)境建設(shè)

在資源中心與信息系統(tǒng)環(huán)境建設(shè)方面，主要是中心機房中服務(wù)器建設(shè)、存儲，UPS、數(shù)據(jù)中心等建設(shè)．服務(wù)器建設(shè)要選擇知名品牌且要有本地售后服務(wù)，服務(wù)器硬盤要選夠數(shù)量做好硬盤備份，如RAID5．存儲方面可根據(jù)實際情況選擇存儲區(qū)域網(wǎng)絡(luò)(SAN)、網(wǎng)絡(luò)連接存儲(NAS)結(jié)構(gòu)，在服務(wù)器與網(wǎng)絡(luò)存儲之間依據(jù)網(wǎng)絡(luò)連接方式，可選擇光纖通道連接或雙絞線連接，要從性能及可靠性進行選擇，如果從網(wǎng)絡(luò)可行及性價比等方面推薦，可采用基于IPSAN結(jié)構(gòu)的網(wǎng)絡(luò)存儲．服務(wù)器最好選擇多塊網(wǎng)卡，其中一塊網(wǎng)卡相連至核心交換機，另一塊網(wǎng)卡連接一臺千兆交換機，網(wǎng)絡(luò)存儲也相連至這臺千兆交換機．從而，網(wǎng)絡(luò)存儲與內(nèi)外網(wǎng)隔離開來，充分發(fā)揮千兆交換機高速轉(zhuǎn)發(fā)等特點．服務(wù)器提供網(wǎng)絡(luò)服務(wù)方面如WWW服務(wù)、FTP服務(wù)、內(nèi)外網(wǎng)OA等都存儲至網(wǎng)絡(luò)存儲內(nèi)，而每個網(wǎng)絡(luò)服務(wù)，從數(shù)據(jù)庫日積月累的發(fā)展來看，數(shù)據(jù)庫文件越來越大，因此數(shù)據(jù)庫建設(shè)要做好統(tǒng)一規(guī)劃設(shè)置，從單一的數(shù)據(jù)庫向網(wǎng)絡(luò)的分布式數(shù)據(jù)庫發(fā)展;從單一的網(wǎng)絡(luò)存取方式向網(wǎng)絡(luò)的按需、易擴展的云計算存儲設(shè)計發(fā)展．

UPS主要是保證中心機房服務(wù)器和存儲數(shù)據(jù)正常穩(wěn)定的運行，因此，要計算好每一臺服務(wù)器及交換機、路由器等電壓，合算總值配置有效穩(wěn)定的UPS設(shè)備．UPS設(shè)備相對柴油發(fā)電機組，具有體積小、效率高、無噪聲振動、維護費用低、可靠性高等優(yōu)點，但容量相對較?。?/p>

中心機房建設(shè)要保證網(wǎng)絡(luò)設(shè)備運行正常，同時還要考慮溫度與濕度，選擇適合相對封閉機房的空調(diào)也是必須的．以北方地區(qū)為例，夏天較短，如果僅從通風(fēng)窗戶進行網(wǎng)絡(luò)設(shè)備散熱，不僅對網(wǎng)絡(luò)的可靠性運行啟不到保護作用，反而會加速網(wǎng)絡(luò)設(shè)備的老化，使得使用壽命大為降低;而冬天如果采用暖氣或中央空調(diào)，如果沒有達到室內(nèi)標準溫度，一樣會使網(wǎng)絡(luò)設(shè)備使用處于不正常的工作狀態(tài)，還會影響網(wǎng)絡(luò)設(shè)備正常穩(wěn)定的運行．

中心機房建設(shè)中還要考慮消防安全，選購?fù)L(fēng)良好的網(wǎng)絡(luò)機柜，布置合理的強電系統(tǒng)，安放漏電保護電閘，UPS設(shè)備安放到中心機房最好隔離開來，在消防器材選購上要以保護網(wǎng)絡(luò)設(shè)備為前提，采用惰性氣體設(shè)備滅火．還要注意網(wǎng)絡(luò)設(shè)備定期檢查、防止老化、自燃等情況發(fā)生．

中心機房數(shù)據(jù)中心建設(shè)要統(tǒng)一思想，依據(jù)高職院校特點，使統(tǒng)一身份認證得以體現(xiàn)，也就是說在身份認證上盡可能采用一次認證就能訪問網(wǎng)絡(luò)數(shù)據(jù)資源，這就要求數(shù)據(jù)中心建設(shè)上要做好數(shù)據(jù)庫之間的關(guān)聯(lián)，舉例來說，一般高職院校都有學(xué)生處、招生處、就業(yè)處、財務(wù)處等部門，而其相關(guān)聯(lián)的就是學(xué)生信息，而各部門分工不一致，要求格式也不一樣，這就要求數(shù)據(jù)庫建設(shè)過程中要盡可能完善，才能互通有無，具體可通過直接操作或通過中間層、數(shù)據(jù)源進行通訊來實現(xiàn)．同時還要考慮數(shù)據(jù)中心的擴展性，結(jié)合服務(wù)器與網(wǎng)絡(luò)存儲，采用分布式集群部署統(tǒng)一資源．

3 加強校園網(wǎng)安全體系建設(shè)，從軟硬件上加強網(wǎng)絡(luò)入侵與防范

在校園網(wǎng)安全體系建設(shè)方面，主要包括服務(wù)器網(wǎng)頁防篡改部署、IPS、有線用戶認證、無線安全統(tǒng)一認證、在防火墻、路由器、核心交換機、匯聚交換機、接入交換機布置策略進行防范與控制等等．

服務(wù)器由于提供WEB，F(xiàn)TP，MAIL等外網(wǎng)服務(wù)，更易受到網(wǎng)絡(luò)攻擊，因此從軟、硬件上加強安全防護，尤為迫切［4］．網(wǎng)站采用開發(fā)軟件ASP，JAVA，PHP等多種多樣，但提供用戶只有靜態(tài)或動態(tài)網(wǎng)頁兩種形式，靜態(tài)網(wǎng)頁被攻擊幾率相對較小，動態(tài)網(wǎng)頁如果交互較多則易被攻擊，而網(wǎng)頁防篡改軟硬件設(shè)備均有，部署時不能只單對一臺服務(wù)器，要考慮服務(wù)器集群的情況．針對每天病毒、木馬的變種大量出現(xiàn)，還可以通過引進IPS網(wǎng)絡(luò)設(shè)備對服務(wù)器區(qū)域進行統(tǒng)一保護，現(xiàn)在IDS技術(shù)已經(jīng)很成熟，但IPS上還是相對有些缺陷，這與廠商的技術(shù)研發(fā)投入力量有關(guān)．

對于校園網(wǎng)內(nèi)部網(wǎng)絡(luò)用戶合理使用網(wǎng)絡(luò)方面，采取先進網(wǎng)絡(luò)管理軟件，部署有線與無線統(tǒng)一身份認證接入，要具有用戶安全準入控制，支持安全狀態(tài)評估、網(wǎng)絡(luò)中安全威脅定位、安全事件感知及保護措施執(zhí)行等．預(yù)防因未打補丁、病毒泛濫、ARP攻擊、異常流量、非法軟件安裝和運行等因素帶來的安全威脅，并可根據(jù)終端的安全狀態(tài)實現(xiàn)終端下線、隔離、提醒、監(jiān)控等多種控制策略．

4 結(jié)語

綜上所述，高職院校校園網(wǎng)建設(shè)各環(huán)節(jié)要堅持“統(tǒng)籌規(guī)劃、分步實施、突出重點、先易后難”［5］和“資源共享、集中維護、簡化層次”的原則．校園網(wǎng)建設(shè)要把網(wǎng)絡(luò)中心作為學(xué)生實訓(xùn)、實習(xí)基地，培養(yǎng)學(xué)生工學(xué)結(jié)合，提高人才培養(yǎng)質(zhì)量，更要全心全意為全院師生進行服務(wù)．

［1］ 劉省賢．網(wǎng)絡(luò)布線實訓(xùn)教程［M］．北京:北京大學(xué)出版社，2006:56－57．

［2］ 楊亞洲．Linux網(wǎng)絡(luò)技術(shù)［M］．北京:北京理工大學(xué)出版社，2007:25－27．

［3］ 姜惠民．網(wǎng)絡(luò)組建與互聯(lián)［M］．北京:電子工業(yè)出版社，2009:32－35．

［4］ 遲恩宇．網(wǎng)絡(luò)安全與防護［M］．北京:電子工業(yè)出版社，2009:28－30．

［5］ 馬軍．高職項目化課程體系研究［M］．北京:北京理工大學(xué)出版社，2011:72－73．