李文寧

【摘 要】校園網(wǎng)在數(shù)字化校園建設(shè)中起著十分重要的作用。如今的校園網(wǎng)絡(luò)管理不再是簡(jiǎn)簡(jiǎn)單單保障學(xué)校正常的上網(wǎng)需求，而更重要的是給學(xué)校提供一套安全便捷的解決方案。所以在學(xué)校網(wǎng)絡(luò)管理中要考慮的因素是多方面的，包括設(shè)備安全、數(shù)據(jù)安全以及集中管理等。

【關(guān)鍵詞】數(shù)字校園；中心機(jī)房；網(wǎng)絡(luò)管理

【中圖分類號(hào)】G434 【文獻(xiàn)標(biāo)識(shí)碼】A

【論文編號(hào)】1671-7384（2015）09-0089-03

在實(shí)現(xiàn)教育全面信息化的過(guò)程中，學(xué)校的網(wǎng)絡(luò)建設(shè)起著相當(dāng)重要的角色。如今的學(xué)校網(wǎng)絡(luò)環(huán)境復(fù)雜，不僅有傳統(tǒng)的以太網(wǎng)，還有用于iPad平板教學(xué)的無(wú)線網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)備復(fù)雜多樣，既有普通服務(wù)器，又有用于桌面虛擬化、服務(wù)器虛擬化的刀片服務(wù)器。龐大的網(wǎng)絡(luò)加上繁雜的網(wǎng)絡(luò)設(shè)備需要有一套完整的管理體制和有效的管理辦法，這樣才能讓數(shù)字校園真正發(fā)揮作用，讓教育教學(xué)高效起來(lái)。

學(xué)校網(wǎng)絡(luò)安全的管理

學(xué)校核心機(jī)房為全校師生提供了穩(wěn)定的教學(xué)和應(yīng)用平臺(tái)，是教師和學(xué)生集中學(xué)習(xí)和應(yīng)用信息化教學(xué)的關(guān)鍵場(chǎng)所，核心機(jī)房在提供穩(wěn)定網(wǎng)絡(luò)環(huán)境的同時(shí)也遭遇到各種安全的威脅。核心機(jī)房的安全作為數(shù)字化建設(shè)的根本和命脈，在構(gòu)建數(shù)字化校園之前必須對(duì)全校整體的網(wǎng)絡(luò)安全做出整體規(guī)劃與安排。

1.設(shè)備安全

學(xué)校共有9間弱電豎井，邊緣交換機(jī)40余臺(tái)。邊緣交換機(jī)通過(guò)光纖與機(jī)房核心交換機(jī)相連，保障了全校100余臺(tái)傳統(tǒng)PC和200余臺(tái)虛擬桌面正常上網(wǎng)。復(fù)雜的網(wǎng)絡(luò)環(huán)境對(duì)網(wǎng)絡(luò)的設(shè)備安全提出了巨大的挑戰(zhàn)。對(duì)于網(wǎng)絡(luò)主干道的網(wǎng)絡(luò)設(shè)備，學(xué)校采用雙機(jī)熱備的方式保障網(wǎng)路運(yùn)行過(guò)程中不會(huì)因?yàn)槟骋粋€(gè)設(shè)備的故障而導(dǎo)致全網(wǎng)癱瘓。

對(duì)于一些意外的突發(fā)情況，如機(jī)房意外斷電、空調(diào)等設(shè)備意外宕機(jī)等，學(xué)校信息部門采用相應(yīng)的應(yīng)急預(yù)案。首先，核心機(jī)房?jī)?nèi)安裝了短信報(bào)警裝備，在意外發(fā)生的第一時(shí)間通知相關(guān)負(fù)責(zé)人員。這樣網(wǎng)絡(luò)管理人員及時(shí)對(duì)相關(guān)設(shè)備進(jìn)行維護(hù)。核心機(jī)房安裝了UPS保障在機(jī)房以外斷電后4個(gè)小時(shí)的正常工作。

作為網(wǎng)絡(luò)接入部分，學(xué)校信息中心會(huì)對(duì)邊緣交換設(shè)備進(jìn)行定期檢查并按時(shí)對(duì)樓宇間的弱電豎井的衛(wèi)生進(jìn)行打掃，為邊緣設(shè)備提供一個(gè)良好的工作環(huán)境，減少因?yàn)榛覊m、溫度等環(huán)境因素對(duì)設(shè)備造成損壞，從而保證設(shè)備的正常運(yùn)轉(zhuǎn)。

2.網(wǎng)絡(luò)安全

良好的網(wǎng)絡(luò)環(huán)境單靠設(shè)備健康是遠(yuǎn)遠(yuǎn)不夠的。一些看不見的不安全因素對(duì)整個(gè)數(shù)字化校園的影響更是不可忽略的。為了防止學(xué)校內(nèi)網(wǎng)一些病毒造成整個(gè)網(wǎng)絡(luò)動(dòng)蕩，我們?cè)谶吘壗粨Q機(jī)開啟交換機(jī)EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)接入端的檢查、隔離、修復(fù)、管理和監(jiān)控，使得整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力，并在核心交換機(jī)部署IPS來(lái)抵擋來(lái)自內(nèi)網(wǎng)的攻擊，從而保障學(xué)校整體內(nèi)網(wǎng)的安全。

我們將學(xué)校的整個(gè)網(wǎng)絡(luò)根據(jù)學(xué)校各部門的職能不同利用VLAN技術(shù)劃分成不同的虛擬局域網(wǎng)。由于計(jì)算機(jī)病毒一般會(huì)通過(guò)在內(nèi)網(wǎng)廣播的方式進(jìn)行傳播，這樣通過(guò)不同的VLAN就可以將病毒隔離起來(lái)，大大降低了病毒感染其他VLAN危害整個(gè)網(wǎng)絡(luò)的可能性。

3.數(shù)據(jù)安全

數(shù)據(jù)安全是網(wǎng)絡(luò)安全的一個(gè)重要部分，但往往會(huì)被人忽略。數(shù)據(jù)主要分為兩大方面：一方面是教師虛擬桌面上的數(shù)據(jù)，這些數(shù)據(jù)包含了全校老師日常教學(xué)的絕大部分資料，所以云桌面的數(shù)據(jù)安全不容忽視。另一方面是學(xué)校的一些公共資源，比如一些活動(dòng)的音視頻、圖片等信息。這些信息作為很重要的記錄通過(guò)網(wǎng)絡(luò)保存到學(xué)校核心機(jī)房中。保證這兩部分?jǐn)?shù)據(jù)安全，成為網(wǎng)絡(luò)建設(shè)中的重中之重。

為了提高數(shù)據(jù)的安全性，我們通過(guò)RAID技術(shù)提高硬盤的冗余性從而保障數(shù)據(jù)的安全。通過(guò)對(duì)磁盤性能及安全的綜合對(duì)比，最終確定選用最新RAID冗余技術(shù)的RAID6，一方面通過(guò)RAID6提高了磁盤的讀寫性能，另一方面它和RAID5一樣對(duì)邏輯盤進(jìn)行條帶化，然后存儲(chǔ)數(shù)據(jù)和校驗(yàn)位，但是對(duì)每一位數(shù)據(jù)又增加了一位校驗(yàn)位。這樣在使用RAID6時(shí)會(huì)有兩塊硬盤用來(lái)存儲(chǔ)校驗(yàn)位，增強(qiáng)了容錯(cuò)功能，同時(shí)必然會(huì)減少硬盤的實(shí)際使用容量。以前的RAID級(jí)別一般只允許一塊硬盤壞掉，而RAID6可以允許壞掉兩塊硬盤，從而大大提升了數(shù)據(jù)的安全性。

4.人員管理

就以往經(jīng)驗(yàn)來(lái)看，大部分的不安全因素是人為造成的。所以除了提升設(shè)備硬件安全和軟件安全，學(xué)校對(duì)機(jī)房的管理也有著一套嚴(yán)格的制度。學(xué)校核心機(jī)房安裝了門禁系統(tǒng)。每位管理員需要通過(guò)刷卡才能進(jìn)入機(jī)房。這樣不但減少了無(wú)關(guān)人員隨意進(jìn)入核心機(jī)房而造成對(duì)機(jī)房設(shè)備的損壞，或惡意修改相關(guān)數(shù)據(jù)或配置信息，而且還可以通過(guò)門禁系統(tǒng)快速找到最近進(jìn)入機(jī)房的人員，從而更快地找到出現(xiàn)問(wèn)題的原因，提高解決問(wèn)題的效率。

WiFi無(wú)線網(wǎng)絡(luò)管理

在學(xué)校的無(wú)線網(wǎng)絡(luò)建設(shè)中，考慮到學(xué)生、教師、來(lái)賓以及iPad平板教學(xué)對(duì)無(wú)線網(wǎng)絡(luò)的需求，學(xué)校將一個(gè)無(wú)線局域網(wǎng)劃分成兩個(gè)需要不同身份驗(yàn)證的子網(wǎng)。每個(gè)子網(wǎng)都采用不同的身份驗(yàn)證，只有通過(guò)身份認(rèn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)，從而防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)。由于教師的人員相對(duì)固定，教師的身份認(rèn)證采用WPA2-PSK和MAC ACL雙認(rèn)證。教師想要登錄學(xué)校的無(wú)線局域網(wǎng)，必須向信息部門登記，將教師的終端設(shè)備的mac地址綁定到認(rèn)證服務(wù)器。這種雙認(rèn)證的認(rèn)證方式既實(shí)現(xiàn)了教師無(wú)線網(wǎng)絡(luò)的實(shí)名登錄，又能有效地控制子網(wǎng)的登錄數(shù)量，減少未被授權(quán)的用戶登錄給無(wú)線網(wǎng)絡(luò)造成壓力。對(duì)于個(gè)別有上網(wǎng)需求學(xué)生以及來(lái)賓則采用WPA2-PSK認(rèn)證，這樣不但能夠保障其上網(wǎng)需求，又減少了信息中心部門信息錄入的工作量，從而提升了工作效率。

在中國(guó)推行電子書包之后，智能課堂離我們?cè)絹?lái)越近，iPad等平板電腦也不知不覺(jué)地走進(jìn)了教室。iPad平板教學(xué)需要借助APPLE TV將教師的iPad屏幕投射到教室的多媒體屏幕上，而iPad必須通過(guò)WiFi才能與APPLE TV進(jìn)行連接。這樣就會(huì)帶來(lái)一個(gè)問(wèn)題：每間教室都需要一個(gè)WiFi信號(hào)，如果將信號(hào)全部廣播出來(lái)，將造成學(xué)校的無(wú)線信號(hào)雜亂無(wú)序，給接入用戶帶來(lái)極差的用戶體驗(yàn)。所以我們?cè)诟鱾€(gè)班級(jí)外的AP（無(wú)線訪問(wèn)接入點(diǎn)）配置相應(yīng)SSID并將其隱藏，iPad通過(guò)相應(yīng)設(shè)置手動(dòng)輸入相應(yīng)的配置信息完成網(wǎng)絡(luò)連接。這樣不但避免了大量SSID引發(fā)學(xué)校無(wú)線信號(hào)混亂，而且可以減少用戶的鏈接數(shù)目，保障了iPad與APPLE TV的無(wú)線連接。

核心機(jī)房?jī)?nèi)的設(shè)備集中管理

學(xué)校核心機(jī)房作為網(wǎng)絡(luò)的核心與靈魂，對(duì)其管理就顯得十分重要了。在傳統(tǒng)的機(jī)房管理中，一方面由于網(wǎng)絡(luò)管理員在日常對(duì)服務(wù)器和設(shè)備進(jìn)行維護(hù)和查看都必須進(jìn)入機(jī)房?jī)?nèi)，但是機(jī)房一般因?yàn)榉?wù)器、新風(fēng)系統(tǒng)、空調(diào)等設(shè)備的運(yùn)轉(zhuǎn)使得機(jī)房?jī)?nèi)噪音很大，加之機(jī)房的密閉性導(dǎo)致房間內(nèi)的空氣流動(dòng)性不好，所以管理員在機(jī)房待上一段時(shí)間后身體就會(huì)明顯感覺(jué)到不適。這些看不見的噪音、輻射對(duì)管理員的身體健康造成的影響不容小視。另一方面由于服務(wù)不同，各種設(shè)備都有著不同的操作方法，使得網(wǎng)絡(luò)管理員不得不在各個(gè)服務(wù)器、機(jī)柜中尋找設(shè)備故障，這種單點(diǎn)式的維護(hù)浪費(fèi)了大量的人力，效率嚴(yán)重低下。

對(duì)于機(jī)房?jī)?nèi)的溫濕度的檢測(cè)，集中管理軟件是一種比較普通的管理方案。學(xué)校通過(guò)軟件將機(jī)房的溫度、濕度以及UPS的一些狀態(tài)信息進(jìn)行搜集處理，最終將結(jié)果顯示在機(jī)房外的顯示器上。這樣管理員無(wú)需進(jìn)入機(jī)房?jī)?nèi)就可以對(duì)機(jī)房的環(huán)境有一個(gè)及時(shí)的了解。對(duì)于一些重要的信息，比如機(jī)房以外斷電、空調(diào)異常關(guān)機(jī)等，通過(guò)短信報(bào)警裝置及時(shí)地發(fā)送到管理員的手機(jī)中，使得管理員可以第一時(shí)間掌握相關(guān)信息并采取相關(guān)預(yù)案。

對(duì)于設(shè)備的管理通過(guò)傳統(tǒng)的KVM切換器將相關(guān)設(shè)備集中到一起。KVM技術(shù)采用點(diǎn)對(duì)多點(diǎn)的方式減少了由于多個(gè)輸入/輸出設(shè)備導(dǎo)致的空間占用和干擾的狀況。管理員通過(guò)一套鍵盤鼠標(biāo)及其顯示器就可以存取整個(gè)機(jī)架或 整個(gè)房間的服務(wù)器。

機(jī)房的服務(wù)器采用服務(wù)器虛擬化技術(shù)。通過(guò)虛擬化技術(shù)的運(yùn)用使得服務(wù)器的硬件性能得以充分發(fā)揮。將部分應(yīng)用轉(zhuǎn)移到虛擬服務(wù)器中，一方面可以減少一些硬件方面的支出，另一方面通過(guò)服務(wù)器虛擬化軟件可以將安裝的虛擬服務(wù)器進(jìn)行統(tǒng)一管理。并且一般的服務(wù)器虛擬化軟件都支持遠(yuǎn)程連接，這樣更加有助于管理員對(duì)服務(wù)器進(jìn)行及時(shí)有效的管理與維護(hù)。

對(duì)于學(xué)校網(wǎng)絡(luò)的管理方式更應(yīng)多樣化。作為學(xué)校網(wǎng)絡(luò)管理員，我們應(yīng)該時(shí)刻保持著對(duì)網(wǎng)絡(luò)新鮮事物的敏感度。通過(guò)不斷地完善校園的網(wǎng)絡(luò)環(huán)境來(lái)改善、推進(jìn)學(xué)校的教育信息化建設(shè)，將是我們的重中之重。

參考文獻(xiàn)

張曉明.中心機(jī)房集中管理的建設(shè)[J].太原大學(xué)學(xué)報(bào)，2008（3）： 116-117.

馮建平.數(shù)字化校園核心機(jī)房的建設(shè)[J].內(nèi)蒙古電大學(xué)刊， 2008（9）： 85-86.

（作者單位：北京理工大學(xué)附屬中學(xué)）