摘 要：一個好的校園網(wǎng)絡(luò)除了有優(yōu)良的網(wǎng)絡(luò)設(shè)備，更需要的是嚴謹可靠的、全面性的網(wǎng)絡(luò)管理。只有成功的網(wǎng)絡(luò)管理才能保障校園網(wǎng)正常運作，才能控制各用戶的操作，使網(wǎng)絡(luò)的資源不會造成浪費，重要資料及數(shù)據(jù)不容易泄漏。

關(guān)鍵詞：校園網(wǎng)；管理策略；域控制管理

中圖分類號：TP334

1 校園網(wǎng)的應(yīng)用特點

校園網(wǎng)在硬件系統(tǒng)上與其他類型的局域網(wǎng)沒有什么本質(zhì)區(qū)別，主要在于功能應(yīng)用上的不同。校園網(wǎng)的應(yīng)用特點主要體現(xiàn)在如下幾個方面：

（1）電子教學(xué)是校園網(wǎng)應(yīng)用的首要目標，教師在備課、教學(xué)和研究中，需要通過校園網(wǎng)協(xié)同工作。

（2）遠程教育是學(xué)生與教師、學(xué)生與教育組織之間主要采取多種媒體方式進行系統(tǒng)教學(xué)和通信聯(lián)系的教育形式。

（3）電子圖書館，院校師生能很快地從浩如煙海的圖書中，查找到自己所需要的信息資料。

（4）校園網(wǎng)的信息共享是多維的，不僅是學(xué)校內(nèi)部交流或通信平臺，也是學(xué)校與學(xué)校、學(xué)校與家庭、學(xué)校與社會、學(xué)校與國際的交流或通信的平臺，還是學(xué)生與學(xué)生、學(xué)生與教師、學(xué)生與學(xué)校領(lǐng)導(dǎo)、學(xué)生與社會之間交流或通信的平臺。

（5）院校的各項職能管理工作現(xiàn)代化也勢必要通過網(wǎng)絡(luò)來實現(xiàn)。

2 校園網(wǎng)的管理目標

校園網(wǎng)全面管理的目標是：根據(jù)本院校教學(xué)與科研的各種應(yīng)用需求，以及日常工作的職能管理要求，面向校園網(wǎng)絡(luò)現(xiàn)有的多媒體及網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)資源平臺和客戶共享服務(wù)，努力做到安全性好、穩(wěn)定度高和管理方便。主要體現(xiàn)在如下幾個方面：

（1）要有阻擊外來非法入侵者和計算機病毒的有效能力。當網(wǎng)絡(luò)被攻擊時盡快查出故障點并能實施反攻擊。

（2）要有嚴格的用戶身份驗證機制和用戶權(quán)限配置機制。各種教學(xué)信息只為授權(quán)用戶使用；嚴禁擅自修改、刪除原有系統(tǒng)及教學(xué)資源，以及隨意登錄與己無關(guān)的網(wǎng)絡(luò)資源；部門之間、用戶之間的訪問及資源共享，須獲網(wǎng)絡(luò)管理員授權(quán)方能實現(xiàn)。

（3）能控制內(nèi)網(wǎng)每個用戶的上網(wǎng)流量，實時監(jiān)控整個網(wǎng)絡(luò)的運行狀態(tài)和服務(wù)器的各項動態(tài)性能指標，能夠及時發(fā)現(xiàn)各種網(wǎng)絡(luò)故障的先兆和隱患。

（4）要有適應(yīng)校園網(wǎng)環(huán)境變化的能力，例如因教研業(yè)務(wù)或用戶增加而調(diào)整網(wǎng)絡(luò)拓撲結(jié)構(gòu)時，管理系統(tǒng)可以不作修改或僅作少量修改就能在新環(huán)境下運行。

（5）另外，不能為了網(wǎng)絡(luò)管理系統(tǒng)的存在而盲目增加人手，即要節(jié)省學(xué)院的人力資源?？傊幱米钌俚某杀局贫ㄗ罴研詢r比的網(wǎng)絡(luò)全面管理方案。

3 校園網(wǎng)的管理策略

根據(jù)校園網(wǎng)的管理目標，首先要選擇合適的網(wǎng)絡(luò)管理模式作為管理系統(tǒng)的主體。網(wǎng)絡(luò)管理模式主要是指對網(wǎng)絡(luò)的控制方式、管理任務(wù)和管理制度。目前以控制方式為主導(dǎo)的網(wǎng)絡(luò)管理模式有工作組管理、虛擬子網(wǎng)管理和域控制管理。以下分述其特征：

3.1 工作組管理

將不同的用戶按其所在的職能部門，分別列入不同的工作組中進行管理。組與組之間無論在物理上還是邏輯上都是相通的，在“網(wǎng)上鄰居”上既可以服務(wù)器又可以互相訪問各自的資源。每個工作組的組合是任意的，用戶可以隨便加入網(wǎng)絡(luò)上的任何工作組，也可以隨時離開。

工作組管理的優(yōu)點是簡單、方便、直觀、成本低、容易搭建和組網(wǎng)。缺點是部門及用戶之間無法隔離，難管理、不安全、容易產(chǎn)生網(wǎng)絡(luò)瓶頸和網(wǎng)絡(luò)風(fēng)暴。只適合少量工作站、無任何網(wǎng)絡(luò)管理要求、不運行信息化管理軟件、辦公文字處理或有限的Internet應(yīng)用的小型企業(yè)或公司所用。

3.2 虛擬子網(wǎng)管理

在交換機上采用特定的網(wǎng)絡(luò)管理軟件將校園網(wǎng)劃分為各個大小不同的、可跨越不同網(wǎng)段的邏輯子網(wǎng)進行管理，不同虛擬子網(wǎng)之間的用戶通信需要路由器或三層路由交換機支持。虛擬子網(wǎng)管理具有以下特征：

（1）抑制網(wǎng)絡(luò)廣播風(fēng)暴---由于每個邏輯子網(wǎng)單獨形成小廣播域，所以能有效地分隔了整個網(wǎng)絡(luò)的廣播區(qū)域，縮小廣播范圍，抑制網(wǎng)絡(luò)廣播風(fēng)暴的產(chǎn)生。

（2）提高了網(wǎng)絡(luò)安全性---通過路由訪問列表和虛擬子網(wǎng)劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

（3）網(wǎng)絡(luò)管理簡單直觀---VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下，可以任意地將工作站在工作組或子網(wǎng)之間移動。

VLAN管理的主要缺點是組網(wǎng)成本高，一是需要添加路由器或三層交換機；二是管理策略受三層交換（路由）節(jié)點帶寬的限制；三是對網(wǎng)絡(luò)的控制單元只能細化到VLAN級，不能控制及管理到網(wǎng)絡(luò)中的每一個用戶。

3.3 域控制管理

域控制管理是指對一個在安全邊界內(nèi)、完全接受控制的計算機組合的管理。負責域內(nèi)各用戶登錄驗證工作的稱為域控制器，域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當用戶接入網(wǎng)絡(luò)時，域控制器鑒別該用戶是否屬于本域，登錄賬號密碼是否正確，若身份信息有錯，域控制器就會拒絕登錄網(wǎng)絡(luò)，從而在源頭上保護了網(wǎng)絡(luò)的安全。這就是域管理中對用戶的身份驗證過程。

域控制管理最重要的特征是系統(tǒng)十分安全，因為控制點可以具體指向任何一臺計算機或一個用戶，它的管理手段集中、精細和嚴格，對網(wǎng)絡(luò)資源的分配完全可以按照管理者的意愿隨心所欲，而且各用戶主機的軟硬件配置完全由管理員統(tǒng)一控制，用戶本人無法更改或刪除，避免了網(wǎng)絡(luò)資源及其客戶端的軟硬件受到有意或無意的損害。支持域控制管理的是活動目錄軟件，其主要技術(shù)功能有：

（1）安全性。用戶授權(quán)管理和目錄進入控制整合在活動目錄中（包括用戶的訪問和登錄權(quán)限等），集中控制用戶授權(quán)不僅能在每一個目錄中的對象上定義，而且還能在每一個對象的每個屬性上定義。除此之外，活動目錄還可以提供存儲和應(yīng)用程序作用域的安全策略，提供安全策略的存儲和應(yīng)用范圍。安全策略可包含帳戶信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)等。

（2）組策略。組策略是用戶或計算機初始化時用到的配置設(shè)置，所有的組策略設(shè)置都包含在組策略的對象（GPOs）中。GPOs設(shè)置決定目錄對象和域資源的進入權(quán)限。例如組策略對象可以決定用戶登錄時所在的計算機上會看到什么應(yīng)用程序，或服務(wù)器啟動時有多少用戶可連接至Server，以及用戶轉(zhuǎn)移到不同的部門或組時可訪問什么文件或服務(wù)等。組策略對象管理少量的策略而不是大量的用戶和計算機。

（3）DNS集成?；顒幽夸浭褂糜蛎到y(tǒng)（DNS）來為服務(wù)器目錄命名，DNS是將更容易理解的主機名轉(zhuǎn)換為數(shù)字IP地址的Internet標準服務(wù)，利于在TCP/IP網(wǎng)絡(luò)中計算機之間的相互識別和通訊。

（4）智能復(fù)制。信息復(fù)制為目錄提供了信息可用性、容錯、負載平衡和性能優(yōu)勢，活動目錄使用多主機復(fù)制，允許您在任何域控制器上而不是單個主域控制器上同步更新目錄。由于進行了多主機復(fù)制，它們將更新目錄的單個副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。

（5）查詢靈活。任何用戶可使用“開始”菜單、“網(wǎng)上鄰居”或“活動目錄用戶和計算機”上的“搜索”命令，通過對象屬性快速查找網(wǎng)絡(luò)上的對象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。

通過對上述三種網(wǎng)絡(luò)管理模式的比較和分析，結(jié)合校園網(wǎng)應(yīng)用特點和基于管理目標下的具體要求，應(yīng)該采用以域控制管理為主導(dǎo)、虛擬子網(wǎng)管理輔助的網(wǎng)絡(luò)管理模式，才能滿足和校園網(wǎng)實現(xiàn)全面管理的目標。

參考文獻：

[1]趙國棟.大學(xué)數(shù)字化校園與數(shù)字化學(xué)習(xí)紀實研究[M].北京：北京大學(xué)出版社，2012.

[2]陳廣山.網(wǎng)絡(luò)管理技術(shù)教程[M].北京：清華大學(xué)出版社，2011.

作者單位：廣州華立科技職業(yè)學(xué)院，廣州 511325