于 杰

(長春職業(yè)技術學院，長春 130033)

0 引言

高職院校校園網絡建設以“先進、實用、經濟、合理，用管兩便、安全可靠，易于擴展”［1］為指導思想，采用先進成熟的主流技術，充分考慮新建系統(tǒng)的可擴充性和與原有系統(tǒng)的兼容性，并體現(xiàn)科學規(guī)劃、合理布局、預留充分、應用方便的特點，達到現(xiàn)代化、高效、舒適、安全、節(jié)能的人文辦公環(huán)境的要求．可從校園網軟硬件基礎建設、資源中心與信息系統(tǒng)環(huán)境建設、校園網安全體系建設3個方面入手．

1 完善校園網軟硬件基礎建設

校園網軟硬件基礎建設主要包括防火墻、路由器、核心交換機、匯聚交換機、接入交換機等建設．

網絡建設之初要決定構造什么樣的校園網和選購網絡設備，要多向本科院校成熟的校園網進行充分調研，依據高職院校的特點，本著為學院教學、科研、管理服務的主要思想，既要考慮學院發(fā)展的長遠規(guī)劃又要從學院實際情況出發(fā)，依據長期規(guī)劃，圍繞網絡拓撲圖逐步建設網絡．網絡設備周期一般在三至五年．同時還要考慮網絡的可擴展性，根據資金實際情況，在內網建設方面做出抉擇．

衡量防火墻的一個重要指標是并發(fā)連接數(shù)，衡量路由器要考慮NAT地址數(shù)量，衡量交換機要考慮端口數(shù)量、轉發(fā)速率、背板帶寬、MAC地址數(shù)量等主要參數(shù)［2］，要充分考慮到冗余．在宏觀上規(guī)劃基礎網絡建設要依據學院實際出發(fā)，選擇適合學院發(fā)展的硬件設備，還要充分考慮學院教師與學生規(guī)模數(shù)量，在主體構建上保證網絡暢通性．如在交換機骨干傳輸中，要正確選擇萬兆做主干、千兆到桌面還是選擇千兆做主干、百兆到桌面，這要依據選購交換機要保證高可擴充性、高性價比、內置安全機制等功能，準確計算有效通信數(shù)據中背板帶寬，保證交換機做到無阻塞傳輸，適當考慮堆疊與TRUNK級聯(lián)，發(fā)揮交接機最佳性能，要采用分層設計按核心層、匯聚層、接入層架構［3］．核心層設備將占投資的主要部分，要適當考慮冗余設計，保證冗余能力、可靠性和高速的傳輸．網絡的控制功能最好不在核心層上設計實施．匯聚層設計上，主要保證核心層的安全和穩(wěn)定，同時提供接入層VLAN之間的互連，控制和限制接入層對核心層的訪問．接入層設計上主要采用性價比高的設備，允許教師及學生終端用戶連接到網絡中．

在網絡介質輸入方式上，樓宇之間盡量采用單模光纖布置且要采用備份線路，樓層之間采用多模光纖或雙絞線．采用雙絞線時要注意最大連接距離，采用光纖時要注意端接光纖跳線接法及光纖模塊，要根據交換機板卡是GIBC模塊還是SFP模塊進行相應選擇SC到ST跳線還是LC到ST跳線．

2 做好資源中心與信息系統(tǒng)環(huán)境建設

在資源中心與信息系統(tǒng)環(huán)境建設方面，主要是中心機房中服務器建設、存儲，UPS、數(shù)據中心等建設．服務器建設要選擇知名品牌且要有本地售后服務，服務器硬盤要選夠數(shù)量做好硬盤備份，如RAID5．存儲方面可根據實際情況選擇存儲區(qū)域網絡(SAN)、網絡連接存儲(NAS)結構，在服務器與網絡存儲之間依據網絡連接方式，可選擇光纖通道連接或雙絞線連接，要從性能及可靠性進行選擇，如果從網絡可行及性價比等方面推薦，可采用基于IPSAN結構的網絡存儲．服務器最好選擇多塊網卡，其中一塊網卡相連至核心交換機，另一塊網卡連接一臺千兆交換機，網絡存儲也相連至這臺千兆交換機．從而，網絡存儲與內外網隔離開來，充分發(fā)揮千兆交換機高速轉發(fā)等特點．服務器提供網絡服務方面如WWW服務、FTP服務、內外網OA等都存儲至網絡存儲內，而每個網絡服務，從數(shù)據庫日積月累的發(fā)展來看，數(shù)據庫文件越來越大，因此數(shù)據庫建設要做好統(tǒng)一規(guī)劃設置，從單一的數(shù)據庫向網絡的分布式數(shù)據庫發(fā)展;從單一的網絡存取方式向網絡的按需、易擴展的云計算存儲設計發(fā)展．

UPS主要是保證中心機房服務器和存儲數(shù)據正常穩(wěn)定的運行，因此，要計算好每一臺服務器及交換機、路由器等電壓，合算總值配置有效穩(wěn)定的UPS設備．UPS設備相對柴油發(fā)電機組，具有體積小、效率高、無噪聲振動、維護費用低、可靠性高等優(yōu)點，但容量相對較小．

中心機房建設要保證網絡設備運行正常，同時還要考慮溫度與濕度，選擇適合相對封閉機房的空調也是必須的．以北方地區(qū)為例，夏天較短，如果僅從通風窗戶進行網絡設備散熱，不僅對網絡的可靠性運行啟不到保護作用，反而會加速網絡設備的老化，使得使用壽命大為降低;而冬天如果采用暖氣或中央空調，如果沒有達到室內標準溫度，一樣會使網絡設備使用處于不正常的工作狀態(tài)，還會影響網絡設備正常穩(wěn)定的運行．

中心機房建設中還要考慮消防安全，選購通風良好的網絡機柜，布置合理的強電系統(tǒng)，安放漏電保護電閘，UPS設備安放到中心機房最好隔離開來，在消防器材選購上要以保護網絡設備為前提，采用惰性氣體設備滅火．還要注意網絡設備定期檢查、防止老化、自燃等情況發(fā)生．

中心機房數(shù)據中心建設要統(tǒng)一思想，依據高職院校特點，使統(tǒng)一身份認證得以體現(xiàn)，也就是說在身份認證上盡可能采用一次認證就能訪問網絡數(shù)據資源，這就要求數(shù)據中心建設上要做好數(shù)據庫之間的關聯(lián)，舉例來說，一般高職院校都有學生處、招生處、就業(yè)處、財務處等部門，而其相關聯(lián)的就是學生信息，而各部門分工不一致，要求格式也不一樣，這就要求數(shù)據庫建設過程中要盡可能完善，才能互通有無，具體可通過直接操作或通過中間層、數(shù)據源進行通訊來實現(xiàn)．同時還要考慮數(shù)據中心的擴展性，結合服務器與網絡存儲，采用分布式集群部署統(tǒng)一資源．

3 加強校園網安全體系建設，從軟硬件上加強網絡入侵與防范

在校園網安全體系建設方面，主要包括服務器網頁防篡改部署、IPS、有線用戶認證、無線安全統(tǒng)一認證、在防火墻、路由器、核心交換機、匯聚交換機、接入交換機布置策略進行防范與控制等等．

服務器由于提供WEB，F(xiàn)TP，MAIL等外網服務，更易受到網絡攻擊，因此從軟、硬件上加強安全防護，尤為迫切［4］．網站采用開發(fā)軟件ASP，JAVA，PHP等多種多樣，但提供用戶只有靜態(tài)或動態(tài)網頁兩種形式，靜態(tài)網頁被攻擊幾率相對較小，動態(tài)網頁如果交互較多則易被攻擊，而網頁防篡改軟硬件設備均有，部署時不能只單對一臺服務器，要考慮服務器集群的情況．針對每天病毒、木馬的變種大量出現(xiàn)，還可以通過引進IPS網絡設備對服務器區(qū)域進行統(tǒng)一保護，現(xiàn)在IDS技術已經很成熟，但IPS上還是相對有些缺陷，這與廠商的技術研發(fā)投入力量有關．

對于校園網內部網絡用戶合理使用網絡方面，采取先進網絡管理軟件，部署有線與無線統(tǒng)一身份認證接入，要具有用戶安全準入控制，支持安全狀態(tài)評估、網絡中安全威脅定位、安全事件感知及保護措施執(zhí)行等．預防因未打補丁、病毒泛濫、ARP攻擊、異常流量、非法軟件安裝和運行等因素帶來的安全威脅，并可根據終端的安全狀態(tài)實現(xiàn)終端下線、隔離、提醒、監(jiān)控等多種控制策略．

4 結語

綜上所述，高職院校校園網建設各環(huán)節(jié)要堅持“統(tǒng)籌規(guī)劃、分步實施、突出重點、先易后難”［5］和“資源共享、集中維護、簡化層次”的原則．校園網建設要把網絡中心作為學生實訓、實習基地，培養(yǎng)學生工學結合，提高人才培養(yǎng)質量，更要全心全意為全院師生進行服務．

［1］ 劉省賢．網絡布線實訓教程［M］．北京:北京大學出版社，2006:56－57．

［2］ 楊亞洲．Linux網絡技術［M］．北京:北京理工大學出版社，2007:25－27．

［3］ 姜惠民．網絡組建與互聯(lián)［M］．北京:電子工業(yè)出版社，2009:32－35．

［4］ 遲恩宇．網絡安全與防護［M］．北京:電子工業(yè)出版社，2009:28－30．

［5］ 馬軍．高職項目化課程體系研究［M］．北京:北京理工大學出版社，2011:72－73．