對粵東高技校園網(wǎng)絡(luò)的整改思路與實(shí)施

陳桂芝

（廣東省粵東高級技工學(xué)校，廣東 汕頭 515021）

1 當(dāng)前網(wǎng)絡(luò)現(xiàn)狀

廣東省粵東高級技校創(chuàng)辦于1970年,目前有金新、北山灣兩個校區(qū)及12個分布于粵東各地區(qū)的分教點(diǎn)。其中金新校區(qū)為學(xué)校的老校區(qū)，校區(qū)一共有16大部門，分別為管理機(jī)構(gòu)（辦公室、黨委辦公室、教務(wù)處、學(xué)生工作處、招生就業(yè)辦公室、總務(wù)處、保衛(wèi)處），教學(xué)機(jī)構(gòu)（機(jī)械工程部、電氣工程部、化工部計(jì)算機(jī)部、旅游與酒店管理部、服裝設(shè)計(jì)與建筑裝潢部、基礎(chǔ)部），教輔機(jī)構(gòu)（技能實(shí)訓(xùn)中心、職業(yè)技能培訓(xùn)中心）。2007年校區(qū)對原有的網(wǎng)絡(luò)進(jìn)行過升級，主要是將教學(xué)樓、科技樓、實(shí)訓(xùn)中心通過連接入網(wǎng)。組成一個較為完整的校園網(wǎng)。

1.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

廣東省粵東高級技工學(xué)校金新校區(qū)網(wǎng)絡(luò)設(shè)計(jì)拓樸圖如下（圖1）：

圖1

本校區(qū)的核心層交換機(jī)使用三層交換技術(shù)，路由器、核心層交換機(jī)、各服務(wù)器及科技樓的匯聚層交換機(jī)，都集中在科技樓六樓的中控室內(nèi)。其中核心層與匯聚層的連接采用光纖連接。教學(xué)樓一樓的匯聚層交換機(jī)與宿舍樓2、宿舍樓1和小黃樓由于距離都超過100米，故采用光纖進(jìn)行連接。服務(wù)器與路由器及核心交換機(jī)之類采用六類線雙絞線連接。其它工作站與交換機(jī)之間均采用超五類雙絞線連接。校區(qū)與Internet的連接采用10M光纖接入方式。

1.2 網(wǎng)絡(luò)管理模式

由于校區(qū)網(wǎng)絡(luò)規(guī)模較小，計(jì)算機(jī)室一般情況下又沒有連接入校園網(wǎng)，實(shí)際辦公上網(wǎng)的計(jì)算機(jī)在150臺左右。在網(wǎng)絡(luò)管理方面使用工作組模式跟VLAN模式相結(jié)合的方式。一方面，同一個部門組成一個工作組。如將辦公室成員A跟B的計(jì)算機(jī)名設(shè)置為BGS-A跟BGS-B，工作組名設(shè)置為為BGS；另一方面，將學(xué)校分成三個VLAN。各行政辦公處室為VLAN2，各教學(xué)教研科為VLAN3，各計(jì)算機(jī)室為VLAN4。各VLAN之間無法直接訪問，同VLAN的部門使用工作組管理模式，可以進(jìn)行文件共享、打印共享。

2 網(wǎng)絡(luò)管理存在問題

2.1 訪問互聯(lián)網(wǎng)緩慢

校區(qū)采用10M光纖接入方式。經(jīng)常訪問Internet的用戶數(shù)大概150臺左右。工作站訪問Internet都要通過網(wǎng)絡(luò)行為管理系統(tǒng)，輸入用戶名及密碼進(jìn)行認(rèn)證。一方面網(wǎng)絡(luò)行為管理系統(tǒng)自身的配置較低，在用戶訪問高峰期經(jīng)常出現(xiàn)無法認(rèn)證或認(rèn)證出錯。另一方面網(wǎng)絡(luò)行為管理系統(tǒng)沒有對P2P等流媒體進(jìn)行限制，導(dǎo)致接入帶寬供不應(yīng)求，訪問互聯(lián)網(wǎng)緩慢。

2.2 網(wǎng)絡(luò)安全沒有保障

本校區(qū)沒有將內(nèi)網(wǎng)與外網(wǎng)通過硬件防火墻進(jìn)行可靠隔離，沒有將對外的公開服務(wù)器（WEB服務(wù)器）與內(nèi)網(wǎng)的服務(wù)平臺完全隔離。這種情況下會產(chǎn)生以下幾個問題：外網(wǎng)的非法用戶和未經(jīng)選擇并授權(quán)允許的應(yīng)用協(xié)議可以輕易進(jìn)入內(nèi)部網(wǎng)絡(luò)；WEB服務(wù)器時(shí)常會受到外部攻擊，容易感染各種病毒，進(jìn)而在內(nèi)網(wǎng)中迅速蔓延。

內(nèi)網(wǎng)方面，在當(dāng)前的管理模式下，將辦公教學(xué)教研劃分為3個VLAN，但VLAN范圍過大，包含好幾個部門，工作站太多，使得部門之間沒有得到有效的隔離，經(jīng)常受網(wǎng)絡(luò)病毒比如ARP病毒的攻擊，用戶會出現(xiàn)不間斷的斷網(wǎng)。

2.3 網(wǎng)絡(luò)穩(wěn)定性較差

校區(qū)網(wǎng)絡(luò)穩(wěn)定性差主要體現(xiàn)在以下幾個方面：網(wǎng)絡(luò)行為管理系統(tǒng)放置失當(dāng)，將網(wǎng)絡(luò)行為管理系統(tǒng)放置于路由器與交換機(jī)之間，一旦系統(tǒng)出現(xiàn)問題，將會導(dǎo)致整個網(wǎng)絡(luò)無法連接Internet；濫用光纖收發(fā)器，所有的光纖連接均使用光纖收發(fā)器，導(dǎo)致網(wǎng)絡(luò)中間接頭在多，故障率高；輔助系統(tǒng)不足，主機(jī)房網(wǎng)絡(luò)設(shè)置以及服務(wù)器都沒有交流供電穩(wěn)壓裝置。

2.4 共享上網(wǎng)失控

學(xué)校的教職工在工作或者休息時(shí)均可以上網(wǎng)瀏覽網(wǎng)頁，進(jìn)行各種網(wǎng)絡(luò)操作，甚至使用BT等P2P軟件進(jìn)行大量下載或玩網(wǎng)絡(luò)游戲，在這種情況下，網(wǎng)絡(luò)資源的利用率大大減少，使得校園網(wǎng)絡(luò)變得十分緩慢，甚至由于路由器交換機(jī)的長時(shí)間超負(fù)荷運(yùn)轉(zhuǎn)，導(dǎo)致路由器和交換機(jī)死機(jī)，造成整個網(wǎng)絡(luò)癱瘓。

3 校園網(wǎng)絡(luò)整改思路

3.1 調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)

對拓樸結(jié)構(gòu)進(jìn)行調(diào)整：增加代理服務(wù)器；啟用路由器的防火墻功能，并將WEB服務(wù)器放置于DMZ里面；增加域服務(wù)器；調(diào)整網(wǎng)絡(luò)行為管理系統(tǒng)的接入方式，它是公安部門指定安裝產(chǎn)品,但該設(shè)備配置較低無法滿足網(wǎng)絡(luò)需求,故將其由原先的直通式調(diào)整為旁聽式,僅保留其網(wǎng)絡(luò)使用記錄功能；取消原有的光纖收發(fā)器接入，使用模塊化接入。

3.2 更新管理模式

原有的工作組管理加VLAN管理模式雖然將辦公、教學(xué)和教研劃分為不同VLAN，縮小了廣播范轉(zhuǎn)，但同一VLAN中工作站總數(shù)過多，部門與用戶之間無法完全隔離。

經(jīng)過分析本校區(qū)的網(wǎng)絡(luò)存在的問題，決定將現(xiàn)有VLAN加工作組管理模式進(jìn)行更新為工作組加域兩種管理模式。具體如下：各行政辦公處室使用域管理模式；各教學(xué)教研科使用域管理模式；將各計(jì)算機(jī)室工作組管理模式。

工作組(Work Group)就是將不同的電腦按功能分別列入不同的組中，以方便管理。工作組管理優(yōu)點(diǎn)是容易搭建和組網(wǎng)，操作簡單，成本低；其缺點(diǎn)是部門與用戶之間無法隔離，難管理，不安全，容易產(chǎn)生網(wǎng)絡(luò)瓶頸和網(wǎng)絡(luò)風(fēng)暴。工作組管理模式只適合30個工作站以下，沒有網(wǎng)絡(luò)管理需求，不運(yùn)行信息經(jīng)軟件，只用戶日常辦公，文字處理和上網(wǎng)。

VLAN指的是在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。VLAN管理優(yōu)點(diǎn)是網(wǎng)絡(luò)管理簡單直觀，能提高網(wǎng)絡(luò)整體的安全性，能有效隔離及縮小廣播范圍，控制廣播風(fēng)暴的產(chǎn)生。其缺點(diǎn)是網(wǎng)絡(luò)管理策略受節(jié)點(diǎn)帶寬的限制。

域管理通過對每一臺聯(lián)入網(wǎng)絡(luò)的計(jì)算機(jī)和用戶驗(yàn)證工作嚴(yán)格控制共離資源的流失和保障網(wǎng)絡(luò)的安全。域管理模式可以實(shí)現(xiàn)對用戶賬戶集中管理，對網(wǎng)絡(luò)資源進(jìn)行層級管理，對共享資源采用授權(quán)形式進(jìn)行訪問。能有效保證整個網(wǎng)絡(luò)的安全。

3.3 增設(shè)網(wǎng)絡(luò)監(jiān)控

所謂網(wǎng)絡(luò)監(jiān)控，是指對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行監(jiān)測和控制，其主要作用有兩個：一是，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)的各項(xiàng)性能指標(biāo)和數(shù)據(jù)流量，為系統(tǒng)優(yōu)化提供可靠的依據(jù)；二是，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)上的各種不良現(xiàn)象，使管理員能夠有針對性地排查和解決網(wǎng)絡(luò)故障。

3.4 強(qiáng)化網(wǎng)絡(luò)安全

針對校區(qū)網(wǎng)絡(luò)現(xiàn)狀存在的問題，決定啟用路由器中的防火墻功能。所有服務(wù)器和工作站都要統(tǒng)一安裝瑞星殺毒軟件網(wǎng)絡(luò)版，利用計(jì)劃任務(wù)每周定期進(jìn)行升級以及殺毒。使整個網(wǎng)絡(luò)達(dá)到預(yù)期目標(biāo)，形成一個且有技術(shù)先進(jìn)性，可靠性，系統(tǒng)可管理性的擴(kuò)展性的網(wǎng)絡(luò)結(jié)構(gòu)。

3.5 上網(wǎng)流量控制

本校區(qū)與互聯(lián)網(wǎng)的連接采用中國電信光纖接入形式，其帶寬為10M。而P2P的出現(xiàn)帶來了巨大的好處的同時(shí)也造成網(wǎng)絡(luò)帶寬的巨大浪費(fèi)，尤其在被用來進(jìn)行大量數(shù)據(jù)下載，這給網(wǎng)絡(luò)整體應(yīng)用帶來了巨大的壓力，所以控制全網(wǎng)P2P應(yīng)用，控制上網(wǎng)流量，可大大提高網(wǎng)絡(luò)的帶寬及穩(wěn)定性。所以在代理服務(wù)器上安裝上個第三方的軟件，根據(jù)用戶工作性質(zhì)的不同，對用戶訪問互聯(lián)網(wǎng)進(jìn)行流量控制。

另一方面，實(shí)現(xiàn)域管理后，網(wǎng)絡(luò)管理員先安裝好的各類辦公軟件。用戶如需安裝軟件，要先向管理員提出申請，經(jīng)管理員同意后并為其安裝。

4 校園網(wǎng)絡(luò)整改實(shí)施

經(jīng)過對本校區(qū)網(wǎng)絡(luò)現(xiàn)狀的分析，綜合現(xiàn)有網(wǎng)絡(luò)管理中的存在問題，決定將現(xiàn)有的工作組加VLAN管理模式更新為工作組加域控制管理模式。

4.1 拓樸結(jié)構(gòu)調(diào)整

啟用路由器的防火墻功能，并把WEB服務(wù)器跟郵件服務(wù)器放在DMZ區(qū)中。將網(wǎng)絡(luò)行為管理設(shè)備設(shè)置成旁路偵聽模式。增加主域服務(wù)器及輔域服務(wù)器。調(diào)整后的拓樸結(jié)構(gòu)如下（圖2）：

圖2

4.2 搭建域服務(wù)器

廣東省粵東高級技工學(xué)校金新校區(qū)擬采用工作組加域控制管理模式，有以下原因：其一，各計(jì)算機(jī)室都是教學(xué)及實(shí)驗(yàn)使用，不宜給予過多限制，故使用工作組管理模式，其二，辦公及教研的各工作站屬于教職員工使用，各工作站的非必要頻繁互訪，容易誘發(fā)內(nèi)網(wǎng)的廣播風(fēng)暴和訪問互聯(lián)網(wǎng)緩慢，故有必要采用域控制管理模式來隔絕部門與部門之間的非必要互訪及限制用戶隨意更改主機(jī)設(shè)置。

金新校區(qū)一共有16大部門，在六樓網(wǎng)絡(luò)中心設(shè)定一臺服務(wù)器作為主域服務(wù)器，校區(qū)所有辦公及教研主機(jī)都加入到本域中。為了更好滿足管理的需求，現(xiàn)增購2臺服務(wù)器，一臺作為主域服務(wù)器，另一臺作為輔域服務(wù)器。

服務(wù)器的選型方面建議主域服務(wù)器采用聯(lián)想T350 G6 S5405服務(wù)器，輔域服務(wù)器采用聯(lián)想T168 G5 xeon 3220/2.4四核/750G。

4.3 增設(shè)網(wǎng)絡(luò)監(jiān)控

網(wǎng)絡(luò)監(jiān)控的主要對象有用戶接入、網(wǎng)卡地址、IP地址、ARP、TCP、UDP等廣播數(shù)據(jù)幀、網(wǎng)絡(luò)利用率、網(wǎng)絡(luò)數(shù)據(jù)流、系統(tǒng)資源等。

網(wǎng)絡(luò)監(jiān)控方面，通過增加除了用操作系統(tǒng)自帶的網(wǎng)絡(luò)監(jiān)視器、性能監(jiān)視器、任務(wù)管理器、事件查看器等，還用到了百絡(luò)網(wǎng)警的網(wǎng)絡(luò)監(jiān)控軟件。

4.4 網(wǎng)絡(luò)安全管理

考慮到原先的校區(qū)沒有硬件防火墻，現(xiàn)決定購買使用聯(lián)想萬全T168 G6(Xeon X3430/2GB/500GB)（1000M）作為代理服務(wù)器，將內(nèi)網(wǎng)、外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信。

在各服務(wù)器上安裝瑞星殺毒軟件網(wǎng)絡(luò)版，建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證它們的系統(tǒng)安全。

4.5 共享接入管理

對于用戶訪問互聯(lián)網(wǎng)的流量控制，需要在代理服務(wù)器安裝一個第三方的流量控制軟件。在此選用“聚生網(wǎng)管標(biāo)準(zhǔn)版”軟件，根據(jù)每個信息點(diǎn)不同的工作性質(zhì)，規(guī)定每個用戶訪問互聯(lián)網(wǎng)的帶寬。

5 校園網(wǎng)絡(luò)整改效果

5.1 有效地抑制網(wǎng)絡(luò)瓶頸及廣播風(fēng)暴

原來的管理模式下，校區(qū)各辦公教研室組成的網(wǎng)絡(luò)完全處于失控狀態(tài)；網(wǎng)絡(luò)資源得不到有效管理，造成資源的浪費(fèi)，同時(shí)由于計(jì)算機(jī)長時(shí)候占用信道，網(wǎng)絡(luò)經(jīng)常遭受網(wǎng)絡(luò)風(fēng)暴。現(xiàn)更新為工作組加域管理模式，部門之間在域管理下得到很好的隔離，又通過權(quán)限的合理配置可以使組與組之間實(shí)現(xiàn)相互通信，有效地抑制網(wǎng)絡(luò)瓶頸及廣播風(fēng)暴。

5.2 大大改善網(wǎng)絡(luò)安全性

經(jīng)過這次網(wǎng)絡(luò)整改。更新為域管理模式，所有的用戶均使用USER權(quán)限進(jìn)行登錄，并在BIOS進(jìn)行加密，這樣使各個用戶無法隨意更改計(jì)算機(jī)的軟硬件配置，降低因文件傳輸而感染病毒的機(jī)率；其次使用代理服務(wù)器作為連接內(nèi)外網(wǎng)的橋梁，結(jié)合殺毒軟件有效保證內(nèi)網(wǎng)的安全；每周進(jìn)行定時(shí)升級以及殺毒，大大降低病毒對網(wǎng)絡(luò)的威脅；同時(shí)增加輔域服務(wù)器，使得各種文件資料得到保護(hù)和備份，均衡了服務(wù)器的負(fù)載。

5.3 網(wǎng)絡(luò)傳輸速度得到保證

通過網(wǎng)絡(luò)整改，利用代理服務(wù)器及網(wǎng)絡(luò)行為管理系統(tǒng)，對用戶訪問互聯(lián)網(wǎng)進(jìn)行有效的監(jiān)控及合理的分配，減少各工作站對上網(wǎng)信道的占用率，提高訪問互聯(lián)網(wǎng)及服務(wù)器的速度。

內(nèi)網(wǎng)方面，通過使用域控制管理模式，合理規(guī)劃網(wǎng)絡(luò)資源及網(wǎng)絡(luò)權(quán)限，工作站之間的互訪得到有效合理的控制，網(wǎng)絡(luò)傳輸速度得到保證。

6 總結(jié)

本次對校園網(wǎng)絡(luò)的整改工作達(dá)到了以下兩個主要目的：首先，管理模式的改變，解決了各部門的分組管理以及網(wǎng)絡(luò)資源的合理分配。其次，網(wǎng)絡(luò)安全性提高到一個新的層次，實(shí)現(xiàn)網(wǎng)絡(luò)對病毒和不法行為的抵御。在校園網(wǎng)絡(luò)整改過程中，根據(jù)學(xué)校的實(shí)際情況，以切合實(shí)際的網(wǎng)絡(luò)管理規(guī)劃和設(shè)置步驟，取得了一定的成功經(jīng)驗(yàn)。

［1］雷震甲,主編.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社,2007.

［2］劉曉輝,楊興明,編著.中小企業(yè)網(wǎng)絡(luò)管理員實(shí)用教程[M].北京：科學(xué)出版社,2004.

［3］畢卡秋,編著.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)教程[M].北京：冶金工業(yè)出版社,2006.

［4］王群,編著.最新局域網(wǎng)管理與維護(hù)全接觸[M].北京：清華大學(xué)出版社,2004.