☆ 吳智輝

（丹陽市教育信息中心，江蘇丹陽 212300）

作為一個(gè)園區(qū)網(wǎng)絡(luò)，一個(gè)城域網(wǎng)MAN（Metropolitan Area Networks）網(wǎng)絡(luò)的結(jié)構(gòu)中，通常是由各種類型的設(shè)備搭建組成。而教育城域網(wǎng)作為一個(gè)比較典型的MAN結(jié)構(gòu)網(wǎng)絡(luò)，通常由邊界安全設(shè)備、核心骨干設(shè)備、用戶認(rèn)證及流量、行為管理系統(tǒng)以及數(shù)據(jù)中心及應(yīng)用系統(tǒng)組成，為接入單位提供網(wǎng)絡(luò)出口和相關(guān)服務(wù)。筆者所在教育城域網(wǎng)下屬有100多個(gè)中小學(xué)、幼兒園，平時(shí)主要功能之一就是管理和維護(hù)門戶網(wǎng)站平臺(tái)，為整個(gè)教育系統(tǒng)實(shí)現(xiàn)公文流轉(zhuǎn)、資源共享、政務(wù)公開等軟環(huán)境建設(shè)提供有效的技術(shù)保障。因此，技術(shù)人員的配備、科學(xué)合理的部署、安全有序的管理成為一個(gè)城域網(wǎng)網(wǎng)絡(luò)中心管理至關(guān)重要的三個(gè)因素，無論哪一環(huán)節(jié)出現(xiàn)錯(cuò)誤，都勢(shì)必給城域網(wǎng)網(wǎng)絡(luò)中心造成安全隱患。

一、城域網(wǎng)網(wǎng)站服務(wù)器故障情況描述

中心一臺(tái)Web服務(wù)器配置在硬件防火墻的DMZ區(qū)，服務(wù)器網(wǎng)卡設(shè)置的ip地址是合法的公網(wǎng)地址，然后在硬件防火墻做了內(nèi)網(wǎng)地址nat映射，內(nèi)外網(wǎng)絡(luò)用戶在訪問服務(wù)器的時(shí)候都經(jīng)過硬件防火墻轉(zhuǎn)換進(jìn)行訪問。近期因?yàn)橹骶W(wǎng)站服務(wù)器運(yùn)行緩慢，網(wǎng)站打開報(bào)錯(cuò)，初步懷疑流量過大引起網(wǎng)絡(luò)堵塞，由于這臺(tái)服務(wù)器有雙網(wǎng)卡的特性，中心技術(shù)人員準(zhǔn)備讓一塊網(wǎng)卡配置內(nèi)部地址，直接對(duì)內(nèi)提供www服務(wù)，另外一塊網(wǎng)卡配置合法的公網(wǎng)地址，存放在硬件防火墻的dmz區(qū)，通過地址映射對(duì)外提供服務(wù)。拓?fù)浜?jiǎn)圖如圖1所示：

圖1 拓?fù)浜?jiǎn)圖

服務(wù)器區(qū)通過交換機(jī)兩條線路分別連接至防火墻和內(nèi)網(wǎng)核心，并在交換機(jī)上配置兩條路由指向防火墻和內(nèi)網(wǎng)兩個(gè)方向。在防火墻上對(duì)內(nèi)網(wǎng)用戶訪問外網(wǎng)資源做基于源地址的NAT映射。

二、服務(wù)器訪問出現(xiàn)故障原因分析

內(nèi)網(wǎng)終端用戶通過公網(wǎng)地址訪問服務(wù)器區(qū)的服務(wù)器時(shí)，訪問失敗。

根據(jù)路由基于目的地址轉(zhuǎn)發(fā)原理，終端用戶通過公網(wǎng)地址訪問服務(wù)器區(qū)，目的地址為公網(wǎng)地址，源地址為內(nèi)網(wǎng)地址。數(shù)據(jù)包在防火墻進(jìn)行轉(zhuǎn)發(fā)，由于原先防火墻上對(duì)服務(wù)器網(wǎng)段進(jìn)行了SourceNATStatic映射，因此，目的地址（公網(wǎng)地址）將被轉(zhuǎn)換為相應(yīng)的服務(wù)器真實(shí)地址。但服務(wù)器接收到終端用戶的訪問請(qǐng)求時(shí)，其報(bào)文結(jié)構(gòu)如下。

（1）Source IP Address為終端用戶內(nèi)部IP。

（2）Destination I PAddress為服務(wù)器公網(wǎng)網(wǎng)卡地址。

服務(wù)器進(jìn)行回包，目的地址為內(nèi)網(wǎng)地址，但源地址則成為了服務(wù)器的真實(shí)地址。且數(shù)據(jù)包不會(huì)經(jīng)過防火墻，而直接依據(jù)本地的靜態(tài)路由，由新連接的內(nèi)部網(wǎng)卡地址進(jìn)行路由選路，由于未經(jīng)過防火墻的地址映射，所以，當(dāng)內(nèi)網(wǎng)終端接收到這個(gè)數(shù)據(jù)包時(shí)，發(fā)現(xiàn)源地址并非是請(qǐng)求的目的地址，終端上層應(yīng)用則會(huì)丟棄這個(gè)數(shù)據(jù)包。因此，導(dǎo)致訪問失敗。

三、問題解決方案

在防火墻上服務(wù)器區(qū)和內(nèi)網(wǎng)區(qū)域之間做源地址映射Dynamic Source NAT，把服務(wù)器的回復(fù)強(qiáng)行指向了服務(wù)器的外網(wǎng)口，防火墻對(duì)終端的數(shù)據(jù)包的源地址進(jìn)行轉(zhuǎn)換，使得終端接收到的數(shù)據(jù)包的源地址仍為服務(wù)器的公網(wǎng)地址。

四、網(wǎng)絡(luò)故障引起的管理思考

近年來，我市緊緊圍繞“創(chuàng)建江蘇省優(yōu)質(zhì)均衡發(fā)展縣市”的發(fā)展目標(biāo)，全面實(shí)施教育現(xiàn)代化，努力建設(shè)“數(shù)字教育”，取得了顯著成效。目前，隨著優(yōu)質(zhì)均衡化發(fā)展建設(shè)的深入推進(jìn)，全市在原有硬件和軟件的基礎(chǔ)上追加投入7700萬元，用于改善和提高學(xué)校信息化水平，學(xué)校目前信息化各項(xiàng)指標(biāo)都已經(jīng)達(dá)到或者遠(yuǎn)遠(yuǎn)超過江蘇省信息化I類標(biāo)準(zhǔn)，正努力向國家信息化示范標(biāo)準(zhǔn)靠齊。硬件的完善、軟件功能的提高，使得信息技術(shù)在教學(xué)、管理領(lǐng)域廣泛應(yīng)用，但是，如果脫離了網(wǎng)絡(luò)環(huán)境，任何手段和資源就變成了局部化，違背了當(dāng)今共享、交流和完善的指導(dǎo)思想，所以，設(shè)備的正常運(yùn)作，網(wǎng)絡(luò)的暢通與否直接關(guān)系到信息技術(shù)手段是否能更好地服務(wù)于“學(xué)校的管理、教師的教學(xué)、學(xué)生的學(xué)習(xí)”，因此，從一件小的網(wǎng)絡(luò)配置事故，筆者認(rèn)為無論是教育城域網(wǎng)的技術(shù)人員也好，還是學(xué)校的電教主任或者網(wǎng)絡(luò)管理員也好，我們都要高度重視自己工作的職責(zé)，從細(xì)節(jié)抓起，從小事做起，讓信息技術(shù)這個(gè)“小平臺(tái)”能更好地發(fā)揮“大作用”，努力做好以下幾個(gè)方面的工作。

1.強(qiáng)化科學(xué)合理部署

一個(gè)網(wǎng)絡(luò)建網(wǎng)初期和后期硬件升級(jí)改造，不論是決策層還是技術(shù)層，我們都應(yīng)該本著“事先規(guī)劃、科學(xué)論證、實(shí)踐探討”的原則，重視方案的可實(shí)施性，科學(xué)合理部署，切勿隨意根據(jù)個(gè)人意愿進(jìn)行部署和實(shí)施，引起故障，造成不可挽回的損失。當(dāng)然，作為一項(xiàng)新的技術(shù)應(yīng)用，本身也需要經(jīng)過理論研究和實(shí)踐檢驗(yàn)，在不改變?cè)W(wǎng)絡(luò)架構(gòu)和功能運(yùn)作的前提下，我們也推薦技術(shù)人員適當(dāng)?shù)剡M(jìn)行模擬實(shí)驗(yàn)，一起研究探討和解決。

2.提升技術(shù)人員水平

網(wǎng)絡(luò)是否能正常運(yùn)作最關(guān)鍵的還是在于人。技術(shù)管理人員的技術(shù)水平高低、相互之間的合作分工、定期的交流是保證正常運(yùn)作的三要素。首先，技術(shù)水平是決定一個(gè)網(wǎng)絡(luò)技術(shù)維護(hù)和管理的層次。作為縣市級(jí)教育城域網(wǎng)或者學(xué)校網(wǎng)絡(luò)管理中心，很大一部分技術(shù)人員都是來自教育系統(tǒng)內(nèi)部，理論和技術(shù)水平不是很高，因此，相互的合作、定期的交流也顯得十分重要。合作分工不僅僅是技術(shù)人員水平共同提高的一個(gè)方面，也是為了細(xì)化工作，實(shí)現(xiàn)一崗雙責(zé)、互為補(bǔ)充的一個(gè)重要方面。其次，工作內(nèi)容從硬件上來劃分可以分為交換機(jī)管理和維護(hù)、服務(wù)器管理和維護(hù)、行為管理流量控制管理和維護(hù)幾個(gè)方面。從大方面來說，所有中心工作技術(shù)人員應(yīng)該一起研究和討論，從具體工作方面來講，一塊工作涉及的人員不宜過多，建議設(shè)立AB兩崗就行。在實(shí)際操作過程中，人員太多會(huì)給管理帶來諸多不便，一個(gè)技術(shù)人員臨時(shí)配置或修改細(xì)節(jié)，如果不及時(shí)匯總溝通的話，越積越多，最終因?yàn)楹鲆曉斐稍O(shè)備配置和參數(shù)每人不統(tǒng)一，形成比較混亂局面。因此，更多時(shí)候我們建議以A崗為主，B崗為輔的機(jī)制，互為補(bǔ)充，確保每項(xiàng)工作能有序合理開展，加上定期交流，最終形成一個(gè)面上的統(tǒng)一。第三，定期的交流不能僅限于專項(xiàng)工作人員之間，也不能過于形式化，建議每周專項(xiàng)工作人員即AB崗人員之間進(jìn)行交流，每月或者每季度全局技術(shù)人員之間進(jìn)行交流和通報(bào)。在交流過程中，我們要細(xì)化過程，不能因?yàn)闀r(shí)間或者其他技術(shù)人員對(duì)此不了解而一帶而過，要詳細(xì)地介紹工作細(xì)節(jié)并作出合理化解釋。只有這三個(gè)方面的工作踏踏實(shí)實(shí)做好后，才能確保網(wǎng)絡(luò)核心正常運(yùn)作，并為基層單位提供更優(yōu)質(zhì)的服務(wù)。

3.重視安全有序管理

安全有序的管理不僅僅體現(xiàn)在中心的制度和設(shè)備上，筆者認(rèn)為更體現(xiàn)在單位工作人員的意識(shí)上。要讓每一位成員形成一種主人翁的意識(shí)，在平時(shí)工作中，有制度可依、主動(dòng)參與，尤其是注重過程性資料的積累，不僅僅為個(gè)人提供績(jī)效考核依據(jù)，也為日后維護(hù)和管理提供保障。

綜上所述，為優(yōu)化網(wǎng)絡(luò)管理，充分發(fā)揮網(wǎng)絡(luò)的服務(wù)優(yōu)勢(shì)，需要網(wǎng)絡(luò)管理人員共同協(xié)作、加強(qiáng)管理、提升意識(shí)，才能更好地服務(wù)于中小學(xué)教育教學(xué)應(yīng)用，提升信息技術(shù)引領(lǐng)地位。