隨著教育信息化的深入發(fā)展，數(shù)字校園、智慧校園的應(yīng)用建設(shè)不斷提升，對中小學(xué)校園網(wǎng)絡(luò)提出了更高的要求。前階段，為配合省教育專網(wǎng)的開通建設(shè)，我校響應(yīng)市、區(qū)電教館的統(tǒng)一部署，對學(xué)校網(wǎng)絡(luò)進(jìn)行了升級改造，改造的目的是保證校園網(wǎng)絡(luò)速度更快捷，性能更穩(wěn)定，管理更高效，安全更可靠。

作為學(xué)校單位的網(wǎng)絡(luò)有其自身的特點，一是網(wǎng)絡(luò)終端比較分散，根據(jù)教育管理需要，教學(xué)、辦公室終端位于不同的樓層內(nèi)。二是無論是內(nèi)外或外網(wǎng)，教師一般下載較多的是教學(xué)課件、音視頻資源等，因此下載的數(shù)據(jù)信息量比較大。三是由于學(xué)生機(jī)房的使用時間集中，會出現(xiàn)短時的大流量并發(fā)數(shù)據(jù)，而且應(yīng)用像極域等廣播控制軟件，容易出現(xiàn)網(wǎng)絡(luò)廣播風(fēng)暴。

因此，要確保校園網(wǎng)絡(luò)升級改造順利開展，達(dá)到網(wǎng)絡(luò)改造升級的目標(biāo)，作為網(wǎng)管員必須要做好以下幾方面工作。

規(guī)劃好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

網(wǎng)絡(luò)拓?fù)鋱D能直觀明了的看清楚網(wǎng)絡(luò)中各個節(jié)點之間的鏈接，還有接口之間的鏈接，也就是反應(yīng)網(wǎng)絡(luò)中各實體間的結(jié)構(gòu)關(guān)系，這樣方便配置和排除錯誤。網(wǎng)絡(luò)拓?fù)湓O(shè)計得好壞對整個網(wǎng)絡(luò)的性能和經(jīng)濟(jì)性有重大影響。因此在升級改造前，網(wǎng)管員要重新規(guī)劃單位的網(wǎng)絡(luò)拓?fù)鋱D（如圖 1）。

分配管理好IP地址

在網(wǎng)絡(luò)中，IP地址是運(yùn)行TCP/IP協(xié)議的唯一標(biāo)識符，因此合理有效的分配好IP地址十分重要。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

IP地址分配可以是固定IP地址，也可以采用DHCP動態(tài)IP地址，當(dāng)然兩種不同的分配方法在管理上各有優(yōu)缺點。作為IP地址分配應(yīng)考慮如下一些原則，一是網(wǎng)關(guān)應(yīng)該設(shè)置成1個網(wǎng)段中的最前或最后(即XXX.XXX.XXX.1或 者XXX.XXX.XXX.254)。二是不同的應(yīng)用或用戶組采用不同網(wǎng)段，可以通過不同的網(wǎng)關(guān)或子網(wǎng)掩碼分開，也可以通過劃分VLAN實現(xiàn)。三是要考慮設(shè)備終端的擴(kuò)容，要保留一定的備用IP地址。我們單位這次上級主管部門分給我們的IP地址 段 為 10.180.168.1—10.180.171.254。根據(jù)單位實際，我們將IP地址進(jìn)行了細(xì)化規(guī)劃，分配規(guī)劃的原則是用戶終端采用固定IP地址，根據(jù)實際應(yīng)用情況劃分不同網(wǎng)段。所以我們將10.180.168.XXX段全部用于網(wǎng)絡(luò)中心管理，其中1－30用于各類服務(wù)器或管理IP地址，如防火墻、Web服務(wù)器、ftp服務(wù)器、視頻服務(wù)器、電子圖書服務(wù)器以及無線路由器IP等。31－50用于單位公共場合的終端設(shè)備，如會議室、報告廳、專用場室等，51-80用于校園安全監(jiān)控錄像機(jī)等IP地址，201-254用于配置各樓層交換機(jī)的IP地址，其余地址暫時備用。10.180.169.XXX段全部分配給教職工的計算機(jī)IP地址，10.180.170.XXX段用于所有教室多媒體設(shè)備IP地址，10.180.171.XXX段全部用于4個學(xué)生機(jī)房的IP地址，這樣有規(guī)則的IP地址分配，有利于今后的應(yīng)用管理和維護(hù)。如出現(xiàn)IP地址沖突、流量不正常情況等，都能比較快速找到問題終端。對于暫時不用和備用IP地址通過防火墻地址服務(wù)策略進(jìn)行封堵。

安裝配置好網(wǎng)絡(luò)交換設(shè)備

一般情況下，網(wǎng)絡(luò)的升級改造都是由中標(biāo)的IT業(yè)務(wù)單位網(wǎng)絡(luò)工程師負(fù)責(zé)安裝配置的，但作為單位網(wǎng)管員要告之本單位的功能需求和網(wǎng)絡(luò)運(yùn)維要求，便于工程師按需而配。而且作為網(wǎng)管員也要掌握基本的配置方法，如防火墻設(shè)備中策略的設(shè)置、NAT轉(zhuǎn)換配置、日志的備份與設(shè)置等，在交換機(jī)管理中要求能掌握端口映射、VLAN劃分等。為了確保網(wǎng)絡(luò)速度的提升和運(yùn)行穩(wěn)定性，主干交換設(shè)備之間的連接最好采用光纖模塊。

做好安全策略與行為控制的設(shè)置

我們這次升級的主要網(wǎng)絡(luò)設(shè)備是防火墻采用山石SG-6000、核心交換機(jī)采用銳捷RG-S8160、樓層交換機(jī)是銳捷RG-S5750和銳捷RG-S2928等，教育城域網(wǎng)和本單位內(nèi)樓宇之間將原10/100M光纖收發(fā)器換作千兆光模塊。原來的交換機(jī)不具備網(wǎng)管功能，所以設(shè)備升級后，為確保網(wǎng)絡(luò)安全和網(wǎng)絡(luò)正常運(yùn)行，網(wǎng)管員要掌握并做好相關(guān)的安全策略行為控制的設(shè)置。雖然防火墻中可以設(shè)置一些應(yīng)用策略，但作為行為控制方面的功能還是比較少的，所以作為網(wǎng)絡(luò)管理者不僅要掌握控制硬件設(shè)備的運(yùn)行情況，更要了解終端用戶的上網(wǎng)情況，因此在升級改造中有必要考慮安裝一款適合本單位的行為控制軟件設(shè)備，我們單位是采用網(wǎng)路崗軟件，通過核心交換機(jī)上配置鏡像端口來實現(xiàn)控制，效果很好。

做好資料歸檔工作

作為一項網(wǎng)絡(luò)升級改造的系統(tǒng)工程，做好必要的檔案資料整理，有助于今后網(wǎng)絡(luò)系統(tǒng)的維護(hù)。主要做好這幾方面的資料歸檔，一是記錄好所有網(wǎng)絡(luò)設(shè)備的登錄帳戶和密碼，考慮到網(wǎng)絡(luò)的安全性，必要的時候還要更改安裝工程師給你設(shè)定的初始密碼。二是收集整理好各類設(shè)備的報修卡、操作手冊、使用說明書等檔案資料。三是匯總整理好本單位的拓?fù)鋱D、IP地址分配表、設(shè)備MAC地址登記表等信息，對于MAC地址，可以通過登錄核心交換機(jī)，運(yùn)行show arp命令獲得。

在這次網(wǎng)絡(luò)升級與改造過程中，我們也碰到了一些問題和實踐體會，在此也進(jìn)行一起分享。在本次升級改造中，對樓宇之間的主干線路換成了光纖模塊，但對于個別樓層之間，因網(wǎng)絡(luò)通訊速度和要求不高，仍采用光纖收發(fā)器，但在插拔更換光纖收發(fā)器后，出現(xiàn)了網(wǎng)絡(luò)不通，指示燈閃爍正常，后來找到的原因是因為光纖收發(fā)器有單模與多模搞之分，結(jié)果插拔調(diào)換后變成一端是多模，一端是單模的情況，因此導(dǎo)致網(wǎng)絡(luò)不通。

設(shè)備需同步更新。如果樓層交換機(jī)采用千兆設(shè)備，但樓層之間如果還在用百兆的光纖收發(fā)器，那千兆設(shè)備的性能仍是不能正常發(fā)揮出來。對網(wǎng)絡(luò)的速度仍然有制約的。

網(wǎng)絡(luò)升級改造一般是為了提高網(wǎng)絡(luò)的速度、安全性和穩(wěn)定性，因此往往會考慮更新防火墻和交換設(shè)備。防火墻有一定的安全策略與控制，但在行為控制上有一定缺陷，因此在升級改造時要考慮部署相應(yīng)的行為控制軟件或硬件設(shè)備。

4.學(xué)校單位的學(xué)生機(jī)房由于上網(wǎng)時間集中，訪問量大，機(jī)房內(nèi)機(jī)器一般都裝有像極域等控制軟件，容易出現(xiàn)廣播風(fēng)暴，容易有病毒的威脅。一般將機(jī)房電腦獨(dú)立成內(nèi)網(wǎng)通過代理或路由出去。對整個單位的網(wǎng)絡(luò)影響會小很多。我們的做法是將升級換下的原學(xué)?？偝隹诘娜荖XG150-E防火墻（帶路由功能）作為學(xué)生機(jī)房的路由。這樣相當(dāng)于把學(xué)生機(jī)房的所有計算機(jī)作為獨(dú)立的局域網(wǎng)。通過適當(dāng)?shù)呐渲?，既安全又快捷?/p>

下階段我校將配合智慧校園建設(shè)，再作一次無線網(wǎng)絡(luò)的升級改造。