【摘 要】校園網(wǎng)是教育環(huán)境下的局域網(wǎng)，它是以承載教育教學(xué)信息為主的服務(wù)教師、學(xué)生為主的高專業(yè)性網(wǎng)絡(luò)。多年來的校園網(wǎng)絡(luò)建設(shè)為教育事業(yè)的發(fā)展做了巨大貢獻(xiàn)，但是由于使用及管理人員的非專業(yè)型，使得網(wǎng)絡(luò)環(huán)境日益惡化。如何使校園網(wǎng)絡(luò)發(fā)揮高效性、安全性、易管理性就越來越凸現(xiàn)出來，合理的硬件建設(shè)和網(wǎng)絡(luò)管理模式日漸重要。

【關(guān)鍵字】教育網(wǎng)；校園網(wǎng)；網(wǎng)絡(luò)行為；網(wǎng)絡(luò)安全

教育城域網(wǎng)是通過光纖骨干網(wǎng)連接區(qū)域內(nèi)各校園網(wǎng)的傳輸網(wǎng)絡(luò)，它以網(wǎng)絡(luò)技術(shù)為依托，以各種信息設(shè)施為支持，以教育軟件和資源為基礎(chǔ)，以實(shí)現(xiàn)現(xiàn)代化教育和管理為目的，為區(qū)域教育提供全方位信息化應(yīng)用服務(wù)。

沈陽市教育城域網(wǎng)始建于2001年，由市電教館做教育城域網(wǎng)骨干網(wǎng)建設(shè)，建設(shè)網(wǎng)絡(luò)信息中心，向上通過教育網(wǎng)、聯(lián)通、電信等出口與互聯(lián)網(wǎng)聯(lián)通。向下通過光纖連接各區(qū)域二級(jí)站，再經(jīng)由二級(jí)站連接各校校園網(wǎng)。整個(gè)城域網(wǎng)的路由、網(wǎng)絡(luò)安全、信息安全、帶寬控制等都由市一級(jí)網(wǎng)絡(luò)中心負(fù)責(zé)，下屬學(xué)校只要通過光纖轉(zhuǎn)發(fā)器連接網(wǎng)絡(luò)接口，無需任何設(shè)置就可以使用教育城域網(wǎng)以及互聯(lián)網(wǎng)資源。

教育城域網(wǎng)建成以來，極大地方便了一線基層教師對(duì)網(wǎng)絡(luò)的需求，同時(shí)也減輕了基層網(wǎng)管的壓力，享受了高速互聯(lián)帶給教育的便利，促進(jìn)了教育信息化的發(fā)展。但是，隨著新媒體新技術(shù)的不斷涌現(xiàn)，以及業(yè)務(wù)流量的不斷增加，這種集中管控的網(wǎng)絡(luò)管理模式越來越顯示出他的局限性。

目前，建設(shè)模式原始簡單。校園網(wǎng)內(nèi)各個(gè)網(wǎng)絡(luò)終端通過交換機(jī)連接在一起，然后直接通過光纖轉(zhuǎn)發(fā)器連接教育城域網(wǎng)。這種原始的校園網(wǎng)模式建設(shè)，以最小的建設(shè)成本，實(shí)現(xiàn)了學(xué)校的互聯(lián)互通。但是由于沒有任何安全管理與網(wǎng)絡(luò)管理造成了很大的安全隱患，同時(shí)導(dǎo)致網(wǎng)絡(luò)效率明顯下降。

近年來，基層學(xué)校老師上網(wǎng)經(jīng)常感到網(wǎng)速很慢，可實(shí)際上經(jīng)過市里的監(jiān)控發(fā)現(xiàn)網(wǎng)絡(luò)帶寬的80%是無用的垃圾流量和跑p2p流量。由于校園網(wǎng)沒有網(wǎng)絡(luò)管理措施，病毒可以長驅(qū)直入，危害校園網(wǎng)絡(luò)，同時(shí)在校園網(wǎng)內(nèi)和網(wǎng)間泛濫。

那么，我們需要什么樣的校園網(wǎng)呢？

根據(jù)學(xué)校規(guī)模大小，網(wǎng)絡(luò)拓?fù)涫褂煤诵慕粨Q機(jī)、匯聚交換機(jī)、接入交換機(jī)三層結(jié)構(gòu)。學(xué)?？梢愿鶕?jù)不同形式劃分區(qū)域，比如規(guī)模小的學(xué)校劃分出教室區(qū)、教師辦公區(qū)、計(jì)算機(jī)機(jī)房等區(qū)域；多教學(xué)樓的，可以根據(jù)不同的樓宇情況劃分區(qū)域；也可以通過樓層的方式劃分區(qū)域等。每個(gè)區(qū)域通過接入交換機(jī)連接，然后上連入該區(qū)域的匯聚交換機(jī)。各個(gè)區(qū)域根據(jù)距離遠(yuǎn)近或數(shù)據(jù)量的大小通過光纜或網(wǎng)線連接進(jìn)入核心交換機(jī)。特別注意的是，涉及跨樓連接，戶外布線的，必須使用光纜進(jìn)行連接，以防止雷電對(duì)網(wǎng)絡(luò)設(shè)備的破壞。

另外，很多學(xué)校在安防上使用網(wǎng)絡(luò)監(jiān)控?cái)z像頭，通過網(wǎng)絡(luò)連接至監(jiān)控主機(jī)，做到網(wǎng)通監(jiān)控通，同時(shí)管理人員可以在任意網(wǎng)絡(luò)位置查看監(jiān)控。這種監(jiān)控模式理論上，將網(wǎng)絡(luò)攝像頭插入任意網(wǎng)絡(luò)節(jié)點(diǎn)就可以實(shí)現(xiàn)監(jiān)控。但是，在實(shí)際操作中必須要做到監(jiān)控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)分開。即監(jiān)控系統(tǒng)必須單獨(dú)布線，使用獨(dú)立的交換機(jī)。在雙網(wǎng)融合對(duì)接上，使用線纜在雙網(wǎng)各自核心層上連接在一起，只有在信息網(wǎng)絡(luò)調(diào)用監(jiān)控視頻的時(shí)候，才會(huì)有部分?jǐn)?shù)據(jù)進(jìn)入信息網(wǎng)絡(luò)。這樣做可以保證雙網(wǎng)相對(duì)獨(dú)立，避免信息網(wǎng)絡(luò)發(fā)生廣播風(fēng)暴，或大數(shù)據(jù)量訪問時(shí)對(duì)監(jiān)控網(wǎng)進(jìn)行沖擊，保證監(jiān)控質(zhì)量實(shí)時(shí)穩(wěn)定。同時(shí)監(jiān)控網(wǎng)網(wǎng)絡(luò)實(shí)時(shí)傳輸?shù)拇笠曨l流量不會(huì)占用信息網(wǎng)絡(luò)帶寬，保證信息網(wǎng)絡(luò)暢通。

在電源管理上，因?yàn)閷W(xué)校停電往往是整個(gè)學(xué)校整體斷電，停電時(shí)所有計(jì)算機(jī)都無法工作，信息網(wǎng)絡(luò)也沒有保持暢通的必要。所以學(xué)校在做好電涌保護(hù)的前提下，只需給監(jiān)控網(wǎng)絡(luò)提供ups后備供電即可，有服務(wù)器的學(xué)校，為服務(wù)器配備能保證15-30分鐘，保證正常關(guān)機(jī)的單機(jī)ups就可以了。整個(gè)信息網(wǎng)絡(luò)無需配置后備電源，可以節(jié)省這部分資金投入。

在物理硬件架構(gòu)確定后，要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行合理的設(shè)置，優(yōu)化網(wǎng)絡(luò)性能。這一步也是很多學(xué)校容易忽視的地方。在不同的區(qū)域鏈路來源，在核心層交換機(jī)和匯聚層交換機(jī)上設(shè)置不同的VLAN，將監(jiān)控服務(wù)、應(yīng)用服務(wù)器、以及不同區(qū)域的計(jì)算機(jī)隔離成一個(gè)個(gè)小的網(wǎng)絡(luò)有效的抑制廣播風(fēng)暴的產(chǎn)生，又能通過三層交換的路由功能實(shí)現(xiàn)互聯(lián)，達(dá)到優(yōu)化網(wǎng)絡(luò)的目的。

在核心交換之上，還需要實(shí)現(xiàn)路由功能、入侵防御、行為管理、流量控制、網(wǎng)絡(luò)審計(jì)等功能。以往，我們都是通過路由器或者防火墻，網(wǎng)絡(luò)行為管理系統(tǒng)，審計(jì)設(shè)備等多個(gè)設(shè)備實(shí)現(xiàn)以上功能。而近年很火的下一代防火墻，是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù)，幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。這種單一設(shè)備就可以滿足中小學(xué)網(wǎng)絡(luò)規(guī)模的安全需求，在價(jià)格上也比單一功能設(shè)備組合有很大優(yōu)勢(shì)，是解決中小規(guī)模網(wǎng)絡(luò)安全及管理的理想設(shè)備。

在網(wǎng)絡(luò)及安全管理上，校園網(wǎng)應(yīng)該做好以下部署：

一、做好網(wǎng)絡(luò)路由，實(shí)現(xiàn)的網(wǎng)絡(luò)暢通。必要時(shí)使用地址轉(zhuǎn)換，實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)服務(wù)器的訪問。同時(shí)做好入侵防御和攻擊防范工作。

二、做好網(wǎng)絡(luò)行為管理，可以依據(jù)教師和學(xué)生網(wǎng)絡(luò)需求，制定不同的策略，對(duì)不同網(wǎng)絡(luò)軟件進(jìn)行控制。屏蔽與教育教學(xué)無關(guān)的軟件和應(yīng)用，如網(wǎng)絡(luò)游戲、金融軟件、P2P下載、電影、涉黃涉暴等信息。

三、做好流量管理工作，可以根據(jù)教育教學(xué)的業(yè)務(wù)數(shù)據(jù)類型，劃分出關(guān)鍵業(yè)務(wù)、一般業(yè)務(wù)、抑制業(yè)務(wù)等。按照不用的優(yōu)先級(jí)排列，在帶寬不足時(shí)保證關(guān)鍵業(yè)務(wù)帶寬，限制抑制業(yè)務(wù)數(shù)據(jù)，以保證正常的教育教學(xué)工作的開展。

四、做好日常網(wǎng)絡(luò)審計(jì)工作，通過設(shè)備的審計(jì)日志或報(bào)表，查看遭攻擊情況、異常連接用戶詳情等信息。查詢DoS攻擊，Web攻擊，IPS，病毒，僵尸網(wǎng)絡(luò)，網(wǎng)站訪問，應(yīng)用控制，用戶登錄/注銷，系統(tǒng)操作日志等。

通過以上的優(yōu)化和部署，校園網(wǎng)就會(huì)在一個(gè)可控可知的范圍內(nèi)運(yùn)行，提高網(wǎng)絡(luò)性能，給學(xué)生一個(gè)綠色的網(wǎng)絡(luò)環(huán)境，同時(shí)保證教育信息化的健康穩(wěn)步的發(fā)展。