园区网络建设精品(七篇)
园区网络建设篇(1)
【关键词】园区网络;管理研究
1.园区网络建设与管理的原则
进入21世纪以来,计算机技术 、网络技术、远程教育已经越来越广泛地参与到教育技术领域的活动中,面对全新的教育技术领域,园区网络建设,应该引入现代化管理机制,建立全新的网络管理模式,以加快园区网络技术与国际网络技术体系的接轨,开拓信息技术领域更广阔的空间。
园区网络建设与管理必须贯彻的原则:
(1)独立设计、自主实施。
(2)统一规划、分步实施、近期目标明确。
(3)坚持先进性、开放性、标准化的原则。
(4)强调应用和服务。
2.园区网络系统目标分析
2.1系统环境分析
园区网络在进行建设之前要充分的进行系统环境分析,应本着节约资源,优化机构设置,同一职能统一管理的原则,尽量统一在一起,避免“多中心”的小而全。
2.2系统目标
园区网络建设的总体目标是:以计算机及其网络为工具,以数据库技术为核心,用计算技术和方法、应用管理工程技术,建成综合性的园区网络系统,达到科学管理的目的,满足最初设计的要求。
(1)提供先进、实用、功能强大的信息处理及信息资源共享的手段。
(2)极大地推进办公手段现代化。
(3)技术要有极高的先进水平。
(4)为园区内的用户上网提供便利的条件。
2.3技术指标
园区网络系统的技术指标应满足以下条件:
(1)新建系统应是规范化和标准化的系统。
(2)新建系统应该满足系统的正确性、一致性、完整性。
(3)新建系统应满足系统的整体性、安全性、保密性。
(4)新建系统的信息应满足可靠性、及时性、准确性。
(5)新建系统应具有可检查性、稳定牲。
(6)新建系统应具有灵活性、可扩充性。
3.园区网络的基本结构设计
3.1要有一个功能强大的信息资源中心(网络管理中心)
信息资源中心也称网管中心,是整个园区网络的枢纽,它由资源服务器、Web服务器、数据库系统及主干交换机等构成。各个子网间与信息资源中心的中心机房连接。中心机房应设置N台服务器为整个网络提供服务,比如主域服务器、数据库服务器、Web服务器、OA服务器和(VOD)视频点播服务器。
应用软件系统共含数个子系统,涵盖园区的办公、教育、行政等所有业务,实现园区所有信息的电子交换与共享,为用户提供大量的网络资源信息,为领导决策提供实时、准确和有力的支持。
园区网络系统应采用三层式结构。WWW是一个非常明显的三层式结构,三层式结构系统正是Intranet的精华所在。
3.2要建设一套完整的园区网络综合系统和子系统平台
系统主要采用VC++实现,教学管理采用ASP实现。音视频的播放采用最合适的压缩比进行编码,网络多播通信延迟应在1秒以内。
3.3要整体规划数据库系统的结构
数据库是计算机信息网络系统的核心,是系统中数据存储的实体,是整个信息系统中信息资源充分应用的基础。数据库系统设计的合理与否,直接影响到系统功能的实现,影响到系统的使用性能。
4.园区网络的安全与管理
由于计算机网络具有开放性、互联性、连接形式的多样性,终端分布的不均匀性等特征,无论是在局域网中还是在广域网中都存在着技术弱点和人为疏忽等形成的潜在威胁,致使网络容易受黑客、恶意软件或病毒的攻击,并呈不断上升的趋势,面对网络安全方面的各种威胁,我们在加快建设网络系统的同时不得不考虑网上信息的安全和保密这一至关重要的问题,网络安全技术应能全方位地处理各种不同的威胁,确保网络信息的保密性、完整性和可用性。网络应该采取适当的控制技术保证安全访问而禁止非法者进入,这些已成为网络建设及安全的重大问题。针对这一情况笔者认为应从以下几个层面注意:
4.1网络级
目前,在现代典型的计算机系统中,大都采用TCP/IP作为主要的网络通讯协议。TCP/IP结构的开放性、灵活性、易用性、开发性都很好,实施与硬件平台、操作平台无关,互联能力强、网络技术独立、支持多种应用协议。但正是其体系结构的开放性、互操作性的特点,以及该协议在制定时没有考虑安全因素,在安全性方面存在很多隐患,决定了其安全问题的复杂性和安全漏洞的多样性。
TCP/IP的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可以任意改变,因此服务器很难验证某客户机的真实性。例如:IP欺骗,攻击者可以在一定的范围内直接修改节点的IP地址,冒充某节点的IP地址进行攻击就可能收集到网络、网络用户、网络配置等信息,使攻击者方便地拷贝、窃取、破坏数据;路由选择信息协议攻击,RIP协议用来在局部网中动态路由信息,它是为局部网中的节点提供一致路由选择和可达性信息而设计的,但节点对收到的信息不进行真实性检查,因此攻击者可以通过在网上错误路由信息,利用ICMP的重走向信息欺骗路由器或主机,实现对网络的攻击。
网络级的安全控制包括:什么人对什么内容具有访问权;查明任何非法访问或偶然访问的入侵者;保证只有授权许可的通信才可以在客户机和服务器之间建立连接;以及传输当中的数据不能被读取和改变。这些就是通常所说的防火墙和虚拟专用网。
4.2系统级
系统的安全防护就是保证整个系统不受外来的入侵,以免受到损失。目前,常见的操作系统主要有Windows、Netware、Unix、Linux等几大家族,而这些系统各自的安全问题随着不同的版本层出不穷。对操作系统平台采取的安全措施包括:采用较高安全强度的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞;如果有需要,甚至可以把系统内核中可能引起安全性问题的部分除掉:增强网络内部合法用户的安全检查素质,提高管理人员的技术水平。
4.3用户级
动态执行程序破坏浏览器、危害用户系统、窃取用户秘密,最终用户个人信息的滥用,这些都是常见的安全问题。用户级的安全主要通过管理用户帐号实现,在用户获得访问特权时设置用户功能或在他们的访问特权不在有效时限制用户帐号是该级安全控制的关键。这项工作主要依靠管理员来完成,而借助于专业的评估审计工具将会使的管理员更加有的放矢。
4.4应用级
随着计算机应用的发展,应用级的功能不断扩展,其地位越来越显著。基于HTTP、FTP、Telnet、Wais、Mailto、SMTP、POP3等协议的各种应用是大家比较熟悉的。这些应用的协议本身存在着这样或那样的安全问题,具体到某一种协议的应用各不相同。因此由于应用级的安全弱点导致的各种网络攻击令人防不胜防。现在,应用级的安全控制主要是应用程序和服务的口令和授权的管理,这需要借助于专业的数据访问控制工具。
4.5数据级
对于网络来说,数据的安全最为重要,保证数据的安全是网络安全的核心。由于TCP/IP自身的性质决定了其上各种应用的数据在传输的过程中都是在不可信的通道中以文明的形式进行,就导致数据在传输过程中存在极大的安全风险,别有用心的攻击者可以监听网络传输中的文明数据,甚至对其进行修改和破坏。数据级的安全主要是指保持数据的保密性和完整性,这需要借助于专业的数据加密工具:SHTTP,SHEN,SSL等。
【参考文献】
[1]曾志峰,杨义先.网络安全的发展与研究.计算机工程与应用.
[2]徐罕,吴玉新.网站ASP后台解决方案.人民邮电出版社.
园区网络建设篇(2)
【关键字】 运营商 智慧园区 规划
一、概述
随着经济的发展,智慧园区成为了园区信息化的建设目标,通过园区基础设施和管理信息化水平的提高,可以降低管理成本和提升管理效率,改善园区企业信息化发展环境,为入驻企业员工提供舒适的工作环境,最终解决园区同质化竞争的不利局面。因此,如何解决园区信息化的需求,应该采取何种规划方法、建设策略,才能最大限度实现园区信息化是运营商参与智慧园区建设的关注重点。
园区介于城市和建筑中间,具有城市和建筑的基本属性。因此智慧园区的需求,在微观层面可以参考建筑物的特点,按照国家相关《智能建筑设计标准》,智慧园区也可包含六大子系统,即智能化集成系统、信息设施系统、信息化应用系统、建筑设备管理系统、公共安全系统、机房工程。从宏观层面,智慧园区实现的功能应符合城市管理的需求,也具备管理、产业和民生三大功能实体,因此智慧园区又可以分为智慧园区管理、智慧产业服务和智慧居民服务。
这两种园区的需求分析方法一方面是由微观到宏观、由功能模块到系统架构的自下而上的分析方法,另一方面是面向服务的、由宏观到微观自上而下的分析方法,二者相结合,就能够很好地解决园区智能化的需求。
二、智慧园区规划方法
智慧园区规划应该注重顶层设计,注重整体性,避免出现各个系统独立设计造成信息孤岛。
智慧园区的顶层设计有两种规划思路。
一种是建立园区信息交换与共享平台,向下统筹各子系统的信息交换,从而打破各子系统之间的信息孤岛。
一种是采用面向服务的规划方法,通过归纳,找出各子系统用户的核心服务需求,抽象出能够提供各种服务的功能实体,将各个子系统共性需求的功能实体建立公共服务平台,通过平台间的功能组合,实现园区信息服务。
运营商参与智慧园区建设,作为一个提供全业务运营的信息提供商,将面对不同的园区业务需求,应该更加注重业务功能的可重性、系统架构的灵活性,能够适应不断变化的用户需求。在系统架构上,运营商可以根据园区业务功能的可重用性进行统筹规划,建设通用平台和服务模块。例如,园区出入口控制中的门禁系统,传统的系统架构是由一个主系统如出入口控制系统中内嵌门禁功能,其它系统通过出入口控制系统调用门禁的数据,从而实现系统之间的联动。而在面向服务的系统中,可以将门禁功能作为一个通用的服务模块,门禁系统的读卡模块通过开放的物联网接入到整个智能网络中,不同的应用通过授权直接查询调用门禁模块的服务,各自获取所需的数据,用于提供类似考勤、访客预约、电梯唤醒等功能。智能网络是一个总线型的信息网络,信息总线统一控制各个功能实体传递的信息,而不是将它交还给任何一个封闭的系统。
此外,也可通过分析应用系统的流程和数据需求,来挖掘需要建设的功能系统,如巡更系统、停车场管理系统等管理过程中需要采集人车定位的信息,而园区物资管理系统如果能对园区财产进行物品定位,则能大大改善园区的管理效率,这些定位的需求需要我们建立一套统一可扩展的园区位置身份信息系统模块。
通过上述分析过程,在智慧园区内我们能提取归纳的功能模块还有很多,如物联网类的,包括读卡器、温湿度传感器、视频图像监控摄像头、RFID设备、能源监控等等,互联网人机交互类的功能,如通过信息系统、楼内各类显示终端等设备,任何一个模块的数据被多种应用交叉引用,并通过应用系统的不断学习和迭代,都能不断衍生出园区的智慧。
三、运营商智慧园区的建设方法
套用智能建筑国标的定义,智慧园区包括的信息化系统有信息设施系统、信息化应用系统、建筑设备管理系统、公共安全系统、机房工程和智能化集成系统等,除了园区设备管理需要管理处下属专业的管理部门运维外,其余均可以代建或代维的方式,由运营商提供信息化服务。其中,智慧园区的网络、数据中心和公共信息服务是运营商切入智慧园区建设的重点路径。
3.1 智慧园区基础设施系统
智慧园区的信息设施系统一般包括网络基础设施、机房、计算能力、无线园区等系统。
3.1.1智慧园区网络建设
智慧园区应实现光纤到户,运营商的参与,能够使智慧园区光纤网络与城市光网有机结合起来,为终端用户实现GE到桌面的接入能力。同时智慧园区的光纤网络基础设施又具有园区网络的特点,需要为智慧园区智能化应用的物联网终端、管理平台提供网络环境。
运营商应该在园区规划之初,就参与到园区光纤到户的设计,包括光纤的规模选择、分光结构、机房设计。
规划管理部门应该按照“共建共享”原则规范园区基础设施建设,满足三家以上运营商的接入,同时预留光纤用于构建园区的智能网络,为物联网基础设施提供基础网络通信能力。
3.1.2园区机房
在智慧园区根据园区面积设置中心机房,汇聚园区各个系统网络的数据并提供园区网与互联网的接驳;同时根据园区规模,在由运营商统一建设安全的机房环境,实现园区数据中心环境基础设施共享。
3.1.3园区计算资源与统一门户
在园区统一数据中心的基础上,运营商应按照计算与存储能力共享的目标逐步推进园区信息化IT基础设施共享,利用自身资源与网络优势,基于MAS或ADC等方式,为入园企业提供基于云计算、移动互联网的信息化服务。构建园区统一门户,提供入园企业多媒体展示、招商引资平台、经济数据等窗口服务。
3.1.4无线园区系统
智慧园区同时又是一个无线园区,能够在园区内实现宽带无线网络全覆盖,智慧园区的无线网络,包括2G、3G、LTE系统的设计和WLAN网络设计。智慧园区建筑物初期规划,应对各建筑物的无线网络站址进行规划预留,在合适的楼面预留宏基站站址;对园区大型建筑物内部,预留可多家共享的室内分布系统。园区WLAN网络要满足园区无线传感器网络低带宽、长时间占用的组网需求,并具备多点室内定位功能,为基于室内地图的LBS应用提供基础。
3.2 智慧园区应用系统
3.2.1园区设备管理系统
智慧的设备管理系统,可以构建在运营商提供智慧园区物联网基础设施之上,将园区电力系统、给排水系统、空调系统、环境监控系统的运行状态检测和控制元件,都被传感器和物联网组织在一起,通过园区智能分析系统,为园区各系统的正常运转,提高传统机电设备的运行质量。
3.2.2园区物业管理系统
智慧园区物业管理要注重实效,抓住园区特点,有的放矢。例如对于物流产业园,重点在于园区仓储管理和交通管理的信息化管理手段,设置物联网等公共基础设施,与园区物业管理中的出入口控制、停车场管理相结合,提高园区通行效率。绿色产业园要建立园区的碳排放检测机制、园区的PM2.5检测机制。脑力密集型研发园或劳力密集型产业园,可以建立园区人流量分析机制,制定合理的园区空调、电梯等公共设备的运行规则,以人为本提供贴心服务,同时实现园区的能源合理利用。
3.2.3园区公共服务平台
智慧园区公共服务平台根据园区类型和企业需求提供个性化的生产科研信息服务。例如针对科技园区,可以注重科技转化为生产力,建立科技共享平台、专利平台、设计研发平台、测试平台,也可以聚集各种专业的财务、人力资源、法律等服务信息,为入园企业提供各种公共的生产服务,降低企业创业门槛。
3.2.4园区安全管理平台
运营商可以采用视频云、手机一卡通等公共平台为智慧园区提供安全管理服务。移动终端通过与运营商互联网监控共享平台的对接,实现远程的监控;访客对讲系统与园区通信信息系统集成实现远程对讲;出入口控制系统与园区门户系统和手机一卡通集成,使访客登记更加便捷;电子巡查系统通过手机一卡通和人员位置管理系统,对园区各类巡查、巡检人员的巡查路线进行监督和管理。
3.2.5园区公共信息平台
园区公共信息平台是基于地理信息系统的园区服务门户。可以利用各种信息媒介,例如在每栋建筑物下设置触屏,或在进入大厅通过WIFI对用户终端进行信息推送,就能够实现园区的餐饮、购物、商务预定功能等,为入驻园区的企业、个人提供高品质的信息生活。
3.3智慧园区的云服务
运营商的云基础设施可为园区的智慧管理应用提供IT基础架构,同时可以为园区企业提供云主机、云桌面服务。
园区数据中心建设是智慧园区的建设核心,是园区智慧云服务平台的载体,通过建立完善的运营模式和运行管理体系、安全保障体系,可以加强园区企业IT资源共享,减少园区IT设施的重复建设,实现共建共享。智慧园区企业信息化的云服务可以包括SAAS、PAAS和IAAS三个层次,其中IAAS和SAAS为基础选项,能够适应各种产业园区,IAAS能够实现园区IT设施集约化建设,减少园区碳排放,提高IT存储和运算资源使用效率。对于软件产业园,可以尝试提供PAAS用于中小企业建立开发测试环境共享。而SAAS与运营商通信服务相结合,为园区企业提供物流、财务、人力资源管理等专业服务模块的信息化。
四、总结和展望
智慧园区能够实现园区中多系统之间的信息共享,打破传统的园区封闭系统的信息孤岛。运营商的参与,使园区网络标准化以及与广域网、移动互联网的信息互联成为的可能。
未来的智慧园区,可以在统一网络、统一基础设施、统一数据环境的基础上,尝试建立高效的园区运营中心,从而提供园区的智能化系统集成。园区运营中心平台将连接智慧园区各个专业业务领域,如能源、给排水、建筑、安全、交通等,各管理系统之间采用标准的事务总线进行串连,对各个业务领域的告警、事件等数据进行分析,然后按照预定的规则和流程,进行处理、报告、展现、存储,不断积累数据、深度学习建立更高级的人工智能,从而持续提高园区运行的效率和园区企业、人群的舒适性。
参 考 文 献
园区网络建设篇(3)
关键词:园区网络;网络结构;安全规划
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-02
Campus Network Design
Ji Jiaguan
(Guangzhou Baiyun International Airport Computer Information Management Center,Guangzhou 510470,China)
Abstract:This paper discusses the planning and design of campus network,campus network and the main campus of the University refers to the internal network,its main feature is the routing structure consists of a unit to manage,this paper describes the campus network planning and design of the network design,network protocol selection,network security planning in three areas.
Keywords:Campus network;Network structure;Security planning
一、网络结构设计
在完成网络的需求分析后,网络规划设计人员对网络系统逻辑结构设计的首要步骤是选取合适的网络结构,网络结构的概念不同于网络拓扑结构的概念,网络拓扑结构是指用数据链路互连各种设备的物理布局,就是用什么方式把网络中的设备终端连接起来。它的结构主要有总线结构、星型结构、环型结构等,在网络拓扑结构中,只有点和线,不会出现任何的设备和计算机节点,而网络结构主要是描述连接设备和计算机节点的连接关系。
园区网络不同于传统意义上的局域网,园区网不仅具有二层数据交换功能,同时具备三层路由甚至多层通信的功能。常见的局域网结构有下面几种。
(一)单核心园区网结构
单核心园区网结构一般适合于小型和对可用性要求不高的网络系统,其优点是网络系统的建设成本低,单核心园区网结构由一台三层交换设备构建局域网的核心,通过多台二层交换机为终端计算机提供接入节点。
(二)双核心园区网结构
双核心结构由两台具有三层或多层的交换设备构建园区网的核心,为终端计算机提供接入节点的接入层交换机和两台核心交换设备间都有链路连接,由于采用双核心的结构,可以提高用户对网络的访问速度,也避免了网络核心的单点失效,提高了网络的可用性,双核心园区网结构适合于小型和对可用性要求较高的网络系统。
(三)层次化园区网结构
层次化网络结构适合大型的,对性能和可用性要求较高的网络系统,层次结构根据功能要求的不同将网络分为了核心层、汇聚层、接入层。
在中大型的园区网建设中,为保证园区网的高性能,高可靠信,园区网一般采用双星型的网络结构,采用千兆光纤网和三层交换技术进行组网,采用层次化的方法来设计。根据层次化设计的原理,园区网可分为核心层、汇聚层、接入层三层。
核心层:核心层的功能主要是实现骨干网络之间的优化传输,完成园区网络内数据流的高速转发。园区网络的核心节点一般采用两台高性能路由交换机,实现双机冗余热备份及负载均衡,两台核心交换机之间采用多条千兆链路实现互联,同时通过两条以上千兆链路实现对园区内各个分布楼层汇聚层交换机的联接。
汇聚层:汇聚层作为园区网络平台的二级骨干部分,一方面要求和核心层保持高速可靠连接,另一方面汇聚大量的接入层设备,是部署安全控制和路由策略的重要位置,汇聚层交换机具有三层交换、访问控制、Qos等功能。
接入层:在接入层,通过配线间的工作组交换机为用户提供了接入网络的能力,将端口分布到用户桌面,并通过高速率链路实现和汇聚层交换机互联。接入层交换机为终端提供网络接入端口,接入层交换式一般具有VLAN划分、数据过滤,支持堆叠等功能。
二、网络协议选取
计算机网络的互联不仅是网络硬件的连接,还需要一组通信的规则来支持实体间的信息交换,就象人与人之间用某种语言一样,在网络上的各台计算机之间也有一种语言,这就是网络协议,网络协议是为计算机网络进行数据交换而建立的规则、标准或约定的集合。
下面介绍一些园区网系统使用较多的网络协议。
(一)TCP/IP
TCP/IP协议叫做传输控制/网际协议,又叫网络通讯协议,这个协议是Internet国际互联网络的基础。是当今应用最广泛、最流行的协议组,它包括TCP、IP、UDP、ICMP等多种功能的协议,TCP/IP是Intenet使用的网络协议,正因为Internet的广泛使用,使得TCP/IP成了园区网建设事实上的标准。
TCP/IP协议规定,网络上的每台主机都要有一个唯一的IP地址,所以在园区网的设计中要考虑到IP地址的规划,IP地址按使用范围的不同,可以分为私用地址和公有地址。私有地址(Private address)属于非注册地址,专门为组织机构内部使用,私有地址分为五类,分别是A类(10.0.0.0C10.255.255.255)、B类(172.16.0.0―172.31.255.255)、C类(192.168.0.0―192.168.255.255),私有地址只能在园区网内部使用,园区网内网用户要访问Internet就需要在网络边界的设备上进行内网私有IP地址和外网Internet公有IP地址的转换,即NAT转换。
(二)VLAN
VLAN中文名为虚拟局域网,VLAN是这样一种技术,它可把位于不同物理位置上的设备从逻辑上划分成一个个网段,从而实现不同物理位置上的设备进行网络广播访问。
VLAN在整个网络中通过网络交换设备建立虚拟工作组。虚拟网在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关。虚拟网技术把传统的广播域按需求分割成各个独立的子广播域,将广播限制在虚拟工作组中。由于广播域的缩小,增加了网络的安全性。虚拟网技术把传统的广播域按需求分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
(三)路由协议选择
路由工作在OSI七层模型的第三层,路由是指路由器接收到数据包后根据数据包的目的地址进行定向并转发的过程,路由包含两个基本的方面:
1.通过路由算法确定数据流通的最佳路径
2.根据最优路径确定数据在网络中传输的步骤、经过的路由器及端口
路由表是路由器上存储的表,该表中存有到达特定网络终端的路径,路由表根据建立方式的不同可分为静态路由和动态路由两大类,静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够按照预定的路由算法自动地建立自己的路由表,并且能够根据实际实际情况的变化适时地进行调整。
常见的动态路由协议有:rip、ospf、igrp等,在园区网内网建设中,使用最多的动态路由协议是OSPF路由协议。
OSPF里最重要的概念之一是存在层次和区域。OSPF每个区域独立运行基本链路状态路由算法的一个副本。与把整个网络系统作为单个链路状态域相比,区域的拓扑结构更优越一些,它能隐藏起来,使之从区域外面不可见。同时其它区域的路由器也不需知道其区域外的拓扑结构,可以极大地减少路由选择流量。
园区网内部路由一般使用OSPF路由协议,而在与外部互连网的连接上,园区网连接外网端口较少,适宜采用采用静态路由,并把路由从相应区域注入OSPF域。
三、园区网安全规划
网络安全可以从不同角度进行解释。一般来说,网络安全包括信息安全和控制安全两部分。信息安全包含“信息的完整性、可用性、保密性和可用性”;控制安全则包含访问控制、身份认证、不可否认性和授权。网络安全是一门涉及密码计算、应用数学、计算机科学、通信技术等多种学科的综合性学科,在园区网的安全设计中,主要包含以下几个方面。
(一)网络协议安全
在网络系统中运行多种网络协议,包括应用服务协议,路由协议,局域网络协议等,网络设备如路由器、交换机和防火墙上也存在着很多服务,有些服务和协议是网络正常运行所必须的,这类协议和服务必须打开,而有些协议和服务是为网络系统的特殊要求增添的,这类协议和服务可以关闭,以减少网络收到攻击的入口。
(二)设备的安全性
网络系统由各种网络设备通过光纤、网线和无线电波等传输介质连接组成,网络设备的安全性包含设备的物理完好性和配置完好性两个方面,为了防止网络设备配置遭到篡改,影响网络的正常运行,就需要阻断对网络设备的非法访问和设置不同用户对网络设备进行配置的权限。
(三)园区网DMZ区设计
DMZ是英文“demilitarized zone”的缩写,一般称之为“隔离区”或“非军事化区”园区网络的DMZ区是非安全的Internet外部网和安全的内部网络之间的缓冲带,这个区域一般用来放置一些对外公开的服务器,如企业邮箱服务器,对外宣传网站服务器和OA办公服务器等。
园区网DMZ区的设计原则是根据各系统、应用和设备对安全性要求的不同来进行风险隔离,根据网络各区域对安全性要求的高低,把网络分为外网,DMZ区和内网三个层次,通过DMZ这一网络安全缓冲区,更加有效地保护了内部网络。
(四)网络出口安全
园区网的互联网出口安全与有效监控管理非常重要,园区网受到的来自外部互联网的安全威胁主要包括两个方面,一是来自互联网大规模爆发的电脑病毒,二是来自黑客发起网络攻击行为。为了应对来自互连网的安全威胁,园区网在与互联网连接的出口处都会配置一些安全设备,如防火墙、IDS和IPS等。
园区网络建设篇(4)
学校信息管理系统受到来自外部的攻击等恶意行为,部分系统在受到黑客等外部入侵或者攻击后,可能变为黑客利用的工具,然后再次攻击其它计算机。而学校信息系统的内部攻击主要是内部用户的不当行为,内部用户的尝试授权访问、探测预攻击等行为,如Satan扫描等都可能影响到校园网络的正常运行。1.4资源滥用和不良信息的传播校园网中的一些内部用户滥用网络资源,如利用校园网下载商业资料等,这样就让大量校园信息资源被占用。同时一些用户会在有意识或者无意识的情况下,在校园网络中传播不良信息,或者发送垃圾邮件,这些行为都增加了安全隐患。
2学校信息管理系统的安全防护体系模型
学校信息管理系统的安全建设属于一个系统而复杂的工程,需要根据信息系统的实际需求,构建动态的安全防护体系调整策略。信息系统的安全建设过程不属于单纯的技术问题,也并非将技术与产品简单堆砌在一起,而是需要我们积极转变思想观念,综合策略、技术和管理等多方面的因素,进一步形成动态的、可持续发展的过程。学校信息管理系统的主要服务对象是教学和学生,而大学生是网络中十分活跃的群体,因此,构建校园网络信息安全防护体系是十分必要的。本文结合P2DR模型,构建出了一个动态、多层次的校园网络信息安全防护体系模型如图1所示。计算机系统中会出现很多新的漏洞,新的病毒以及黑客攻击手法也不断涌现,同时校园网络自身也是动态变化的,因此,在构建好一个校园网络信息安全防护体系后,网络管理者必须对该防护体系进行实时更新,并定期进行维护,以此保障该防范体系的稳定运行,进而保障校园网络的安全性和有效性。在校园网络信息安全防范体系中,将安全策略作为中心内容,而安全技术为该体系提供支持,安全管理是一种执行手段,并积极开展安全培训,提高用户的网络信息安全意识,以此让安全防范体系得以不断完善。在这个信息安全防范体系中,安全策略是最为基础和核心的部分,它可以在检测、保护等过程中指导和规范文件。可以说该体系中所有活动的开展实施,都是在安全策略的架构下完成的。安全技术为信息安全的实现提供了支撑,其中涵盖了产品、工具和服务等内容。信息系统中常用的安全技术有入侵检测、漏洞扫描和系统防火墙等,这些技术手段是安全防范体系中较为直观的构成部分,也是其中必不可少的内容,缺少了任何一项都有可能引发巨大的威胁。由于学校的资金等条件有限,在构建安全防范体系过程中,对于部分技术无法及时部署,这时候就需要以安全策略作为参考,制定合理的实施方案,让所有的安全技术构成一个有机整体。
3建设校园网络信息安全防护体系的目标与策略
3.1网络信息安全防护体系的建设目标
根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制定出一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行,这就是网络信息安全防护体系的建设目标。具体来讲,就是首先提高学校主干网络的稳定性,以此保障校园信息系统的可靠性。其次,不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性。第三,避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行。第四,在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制。第五,构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。
3.2网络信息安全防护体系的建设策略
结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制定总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制定相关的网络安全策略,如病毒防护、系统和数据安全等。在这个过程中为了确保安全策略的顺利实施,也需要制定相应的安全管理体制,并给出规范的操作流程。
4校园网络信息安全防护体系的总体架构
4.1划分安全区域
在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这两个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域(如下图2),然后根据每一个安全区域的具体特征,制定相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、系统、应用和数据安全这5个层次。
4.2互联网边界和校园骨干网安全区域的架构
为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。
4.3校园数据中心安全区域的架构
根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,如应用服务器外区和内区、公共服务器区和数据库服务区。其中公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。
5结语
园区网络建设篇(5)
关键词:无线局域网(WLAN); 校园网设计与规划
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)29-6693-02
无线局域网WLAN (Wireless Local Area Networks)这种使用射频技术在空中进行数据、话音和视频信号传输的新技术,已成为各高校校园网的重要组成部分,成为教职员工和学生们交换和获取信息的主要方式。作为传统有线网络的替代方案和扩展延伸,把用户从有线网络中解放了出来,使同学和教职工随时随地访问Internet资源。
1 相对传统的有线网络,校园无线网络具有以下3个方面的优势
1) 灵活性:网络安装灵活,配置简单。一般只需安装设置一个或多个接入点设备,覆盖整个校园的无线局域网络即可搭建,且有线网络无法通达的区域也可快速提供网络服务。
2) 简易性:没有网络位置的限制。用户可以不受通信缆线的限制在无线局域网络中随意接入,并能同时与网络保持连接;
3) 扩展性:可根据校园网络的需求,采用不同的无线产品进行功能扩展。以快速适应校园网络未来发展的需要。可根据校园级无线宽带应用的需要提供低成本的无缝升级和前后兼容。如无线语音应用、无线视频会议应用、无线多媒体通信应用等。
2 高校无线校园网的应用需求分析
目前,大多数高校都建有有线局域网,但随着学校的快速发展,教师和学生对现有的校园网提出了更多更高的要求:
1) 教学方面。现在学校的教学活动大部分都是多媒体教学,老师只需一台笔记本电脑,就可以使一个普通教室变成一个简单的多媒体教室,很多多媒体课程、及相关的教学信息都可以通过访问网络来获取。学生也可以随时随地都能够访问网络资源来学习。
2) 公众场所。在图书馆,随着学生中笔记本电脑的普及和现代化教学的普及,网络端口便不能够满足学生们的需求,有了无线网络,就可以轻松的解决网络端口的问题,使学生在图书馆获得书本知识的同时,也能获得网络知识的补充。
3) 学生宿舍。宿舍是学生除课堂以外又一个重要的学习生活场所,越来越多的学生宿舍配置了个人计算机。宿舍中使用无线网络,从网络建设成本、扩充性能、网络性能、建设周期等综合因素分析,都是最好的选择。
4) 难以进行综合布线的地区。在很多场所在建设的时候,就没有考虑网络问题,例如实验室、体育馆活动中心,都可以使用无线网络,来简化这些区域的网络设施。
3 组建无线校园网需要的设备
1) 无线网卡(Wireless LAN card)无线网卡是接入无线网络必须的设备,其与传统以太网卡的差别在于:前者的信息传送是通过无线电波,而后者则是通过一般的网络线。
2) 无线接入点即无线AP(Access Point)无是是使用无线设备(手机等移动设备及笔记本电脑等无线设备)用户进入有线网络的接入点,是传统的有线网络与无线局域网络连接的桥梁。也同样可作为无线路由器(含无线网关、无线网桥)等设备的统称。无线AP接入点支持2.4GHz频段的无线应用,敏感度符合802.11n 标准,并采用双路射频输出可通过无线分布系统(点对点和点对多点桥接)在大面积的区域部署无线覆盖,无线接人点的作用是完成WLAN和LAN之间的桥接。
3) 天线(Antenna)天线的作用在于增强无线信号扩大无线网络的覆盖范围天线分为定向天线与全向天线。
4) 集线设备
当无线网络中有两个或两个以上无线AP时为了实现无线漫游就必须采用集线设备借助综合布线(通常是非屏蔽双绞线)将这些无线AP连接在一起另外借助于集线设备和无线AP还可以实现无线设备与传统以太网设备的连接。
4 无线校园网网络构建简述
构建校园无线网络时,考虑校园不同区域网络接入规模及用途,划分为四种典型应用环境:一是学校体育场、中心广场等校园内户外的公共区域;二是教学楼、实验楼等接入服务需求较多的教育教学网络区域;三是办公楼、宿舍等房间多、用户数量不多的楼宇;四是图书阅览室、礼堂等局部开放的室内大环境。通过把校园分为若干个区域,各区域通过有线校园网络和出口互联,利用无线接人设备对其进行覆盖,根据设计原则和方法针对不同区域设计出相应的无线校园网覆盖方案。
1) 室外区域无线覆盖方案,主要包括体育场、广场、楼宇间公共区域等。根据需覆盖的室外区域的实际情况,可以设计建立多个无线覆盖基站,采用重叠交叉无线覆盖的方式,完成区域的无缝无线覆盖。
2) 教育教学网络:教学区包括1-4号教学楼、实验楼。一般来讲AP室内覆盖范围是30~100m,虽然一个AP能够支持接入多达80台电脑,但是接入数量为20~30台时工作状态最好,考虑到教学环境的接入服务需求较大且对网络带宽、网络速度要求较高。所以根据教室和实验室大小配置1或多个接入点。接入点置于天花板上合适的位置,保证足够的覆盖面积。另外相同楼层的不同接入点覆盖区域之间要配置好信道的频率,防止产生干扰。为了使无线终端能够访问网络的各个部分,将多个AP连接在有线网络上。
3) 行政办公网络:办公网络对网络速率的要求不是很高,主要是对网络数据的查询、修改、添加、删除等操作,接入的计算机也不是很多。可以采用穿透能力强、灵敏度高的无线AP产品,以一个AP配合一个或多个分离式吸顶天线完成室内区域的完全覆盖。每一层用一个接入点覆盖,各接入点通过双绞线连接到与网络中心相连的交换机上。考虑到办公室的隔墙对电波的衰减作用,可以给接入点加装高增益的天线。
4) 图书馆查询网络:图书馆查询网络覆盖区域包括各阅览室和走廊这些公共区域。图书馆用户接入不同于公共场所的接入,有其自身的特点,是一个相对独立的系统,提供对图书馆资料以及所购买数据库的检索。接入用户在空间上相对集中,用户的应用对带宽要求中等。一层楼一个AP的用户数就能满足。接入采用室内定向天线覆盖楼层一侧的范围。天线水平波瓣角覆盖楼长,垂直波瓣角覆盖楼高,天线采用水平极化方式,利用信号的反射和绕射以及设备内置天线的副波瓣将对向区域进行覆盖。可以配置USB插口的无线网卡,同时也可以配置室内全向天线改善接收效果,天线的位置可以放置在靠近AP天线的窗户侧。引入Web服务器提供DHCP+Web认证方式,由边缘接入点自动分发来自中心网桥DHCP的IP,同时在设立不同的SSID,方便作用域的管理,加强安全性的管理。
5 结论
无线校园网的蓬勃发展正是顺应了教育信息化建设的前进步伐,正以它的高速传输和很好的灵活性、扩容性在高校的教学、管理等各项应用中发挥着日益重要的作用,为发展数字化校园奠定了良好的基础。
参考文献:
[1] 黎连业,郭春芳.无线网络及其应用技术北京清华大学出版社[M].北京:清华大学出版社,20O4,6.
园区网络建设篇(6)
关键词:VPN技术;校园网络;安全体系
中图分类号:TP393.08
目前,各大院校都在进行扩招,不同的院校也在逐渐的扩大规模,创建出了校区与校区之间协调发展的形式。按照我国院校的大体布局来分析,大部分的院校会拥有多个校区,并且这些校区可能会分布在不同的地区或者城市,校园的局域网若过于简单,是不能够达成协调管理的。那么VPN技术的应用成为了主流模式。
1 在校园网络安全体系中应用VPN技术的功能模型
1.1 数据转发模块。此模块是网络当中的关键模块,对于数据的加密是利用协商好的加密算法,同时将数据传输完成。
1.2 身份认证模块。客户端认证服务端,是通过数字证书;服务端认证客户端,是通过两种不同的方式,其一是对外网的认证,使用的是密码和用户名的认证,其二是内网的认证,使用的是数字证书的认证模式。
1.3 后台管理模块。此模块主要负责采集日志,是安全审计前提下的操作日志。并且,可以将使用情况和操作行为充分汇总。
1.4 访问控制模块。此模块具体创建了细致的VPN技术访问控制对策,相应的决定了访问的规则。
2 分析VPN技术的需求
2.1 对图书馆资源进行远程访问。校区之间需创建统一形式的认证系统以及图书馆管理系统,达成校区之间的图书馆资源统一认证和联动管理。
2.2 解决院校中多个校区的互相访问问题。达成校区与校区之间的财务专网以及一卡通整合,构成能够连接校区与校区之间的完善网络枢纽,确保网络数据可以通过VPN技术进行快速、安全的传输。
2.3 以远程的形式访问校园网络热点,达成校区与校区之间的邮件服务站点以及web站点的整合,实现校区之间的信息交流、公文流转以及邮件分发。
3 在校园网络安全体系中应用VPN技术的原则
3.1 访问控制。校园网络当中会拥有较多的用户,不同的用户拥有着不同的权限,所以,VPN技术需要创建安全访问的控制体系。
3.2 确保多平台兼容。所谓多平台兼容指的就是,VPN服务作用在校园网络中,可以给予用户实时的安全网络接入服务。同时,可以达成较多操作系统的平台环境兼容。
3.3 安全保障。在校园网络安全体系当中应用VPN技术,最为基本的原则就是能够合理的保障网络安全。将VPN技术应用在校园网络中,一般情况下需要拥有数据保密、数据完整性以及身份认证三个方面的保障体制[1]。
3.4 管理平台的有效性。VPN技术服务器需要给予一定的服务器和客户端配置工具,便于使用操作。还需要提供采集日志的功能,可以安全性审计日志记录。
4 校园网络安全体系当中有效的选择VPN技术的应用方案
4.1 Extranet VPN。Extranet VPN方案能够利用专门的共享连接网络设施,在校园网络中连接外部网,适合用在B2B的安全访问过程中。
4.2 Access VPN。Access VPN方案的选择与远程或者移动办公的要求相符,对于校园内与校园外的远程网络连接能够充分实现。Access VPN具体适合用在现阶段较多的接入方法中,例如:ISDN、移动网络、PPPoE拨号、xDSL等,提供给移动办公用户较为安全的私有连接。
4.3 Intranet VPN。Intranet VPN方案拥有着独特的共享网络设施,此共享网络设施是Intranet VPN方案的坚实基础,对Internet的合理利用能够实现,在院校中各个校区的网络互联。Intranet VPN有效的通过了加密、VPN隧道等技术,确保了在传输过程中,信息的安全性。
根据这三种应用方案的细致探究,可以体现出不同的方案会适合应用在不同的访问服务当中。按照需求分析能够体现出,校园网一方面需要将校区与校区之间的网络互联实现,另一方面还需要将远程用户访问校园网络资源的指令实现。所以,需要选取Intranet VPN和Access VPN这两种方案当做校园网络安全体制中的具体构架方案[2]。
5 校园网络安全体系中应用VPN技术的设计方案
5.1 Access VPN远程形式下的VPN服务器访问。在用户对校园网络资源的访问过程中,并利用远程协助的方式开展时,需要通过Access VPN技术将其实现。VPN技术会创设在校园网络的内部,对于创设基础环境的选择,则需要选取Linux操作平台,Linux操作平台一方面拥有着免费、容易扩展的特点,另一方面还拥有着较高的性能,可以与Windows Server平台相提并论[3]。
在校园网络中传输的数据想要确保其安全性,需要应用NAT技术以及防火墙,因为在传输层中是SSL VPN在工作,可以涉及到全部的NAT设备与防火墙,确保了VPN技术用户能够实时的对校园网络进行连接。并且,远程的VPN用户在对校园网络进行访问的时候,要设置内网的IP地址,所以DHCP的架设是必不可少的,该服务器能够对IP地址的分配任务合理达成。针对外部网络的用户必须要与VPN服务器相连,并创建DNS域名服务器才能够进入到校园网络。这种方式的采用,能够将屏蔽校园网络结构的目的实现,确保了校园网络的安全性[4]。
5.2 校区之间的网络互联能够运用Intranet VPN来实现。首先需要在每一校区中接入网络连接,将网络出口定制在一个校区中,同时所有的校区之间所开展的信息化系统管理,要利用此网络连接将信息互通完成,包含:教务、人事、财务、一卡通等管理系统。想要确保传输数据的安全性,需要通过IPSec VPN技术,加密应用系统中的相关数据,保证传输数据时的安全性与可靠性。一些用户对信息安全方面有着较高的要求,例如:后勤、财务部门的用户,需要通过二层隔离的方式进行校园网的接入,然后需要利用二层OSPF协议安全的传输到核心型交换机,达成校区与校区之间的加密信息传输。针对普通的用户在访问的过程中,因为具备较低的安全级别,需要将安全要求降低,以此有效的提高VPN服务器的性能[5]。
6 总结
根据以上的论述,各大院校纷纷应用了VPN技术,本文主要设计和规划了VPN技术的应用方案,为的是将校园网络中的安全体系能够体现出可靠性的特点,从而实现校园内部协调管理的模式。
参考文献:
[1]邱建新.基于IPSec的VPN技术在校园网络中的应用研究[J].浙江交通职业技术学院学报,2013,12(09):124-126.
[2]陈恒法,曾碧卿.虚拟专网(VPN)技术在校区网络互联中的应用[J].科技咨询导报,2013,11(07):126-127.
[3]刘巨涛.网络安全技术在校园网络建设中的应用研究[J].内蒙古农业大学学报:社会科学版,2013,10(02):168-170.
[4]邹,刘婷,范志勤.校园网络安全体系的设计与应用分析[J].长沙民政职业技术学院学报,2013,5(04):187-188.
[5]何来坤.VPN技术在校园网络中的应用[J].杭州师范学院学报:自然科学版,2013,14(06):156-159.
园区网络建设篇(7)
【关键词】中学校园 网拓扑结构 升级运维
教育信息化是校园网建设的主要目标,同时也是提升中学教学质量,丰富教学方式,转变教学观念的重要保证。结合当前校园网的综合现状,不断研究和分析制约校园网进一步提升效率的原因,对当前校园网的升级改造有着至关重要的作用。这不仅是对教育资源的充分利用,也是对教育信息化建设的重要推动。
1 校园网升级改造背景与需求分析
1.1 常德市二中校园网升级改造背景
常德市第二中学系常德市教委直属示范性完全中学,占地面积10万平方米,校园环境优美,文化底蕴深厚。经过二十一世纪初期校园网建设,学校已经初步具备了网络化办公和教学的雏形。校园网分布青莲楼、文昌楼等多座教学楼和办公楼,同时接入男女生公寓、电子备课室、计算机教室和教职工宿舍等地点。采用单线接入,多线分布的网络拓扑结构设计。随着现代计算机性能的不断进步,现代办公设备对网络办公的要求也在不断提高,原有的网络带宽和内网资源已经难以满足教职工的办公需要。同时,校园网采用STAR-S2150G型核心交换机,机型老旧,购买时间较长,难以承载当前校园网新的功能,同时也不利于后期运维管理,因此校园网亟需进一步升级改造。
1.2 常德市二中校园网存在的具体问题
1.2.1 网络性能落后
经过数期校园建设后,常德二中校园网已初步完善,但是由于建设期间设备型号和性能参差不齐,部分设施老旧,无法实现网络资源的充分利用。存在外网运行速度较慢、韧打开速度较慢、时常崩溃等问题。而且网络控制性能较差,对于部分大流量视频和软件的下载控制能力较弱,干扰其它学活动的正常进行,不利于校园网的管理。
1.2.2 网络功能单一
随着校园信息化建设的不断提升,校园网的功能和发展方向也在日益进步。常德二中校园网在网络功能的拓展中也存在一定的问题。比如难以管理认证和计费、难以控制不同区域的上网流量、校园网络多媒体资源的使用限制等,都导致了当前校园网的建设还需要进行进一步的升级。
1.2.3 网络覆盖率和网络安全隐患
当前校园网已经进入无线网络阶段,但是常德市二中校园网尚未构建无线网络。除此之外,受校园布局等原因限制,公共区域无法布线,使校园网络难以覆盖。同时,校园外网安全防护能力不足,教师用机经常受到木马病毒的攻击。
2 校园网升级改造及运维管理措施
2.1 升级网络硬件设施
完成中学校园网的升级与改造,需要针对当前教学和管理的功能,提升网络硬件设施的具体性能,同时还要参考硬件设施的综合性价比进行采购。以网络交换机为例,常德二中所配备的大多是锐捷网络交换设备。该品牌设备虽然性能较强但更新换代速度较快,换代成本较高。同时,常德二中网络结构的中心设施功能负担压力较大,时常陷入数据的传输瓶颈,不仅导致网络瘫痪,也不利于网络的进一步扩展。对此,需要结合校园建设的具体要求,选择性价比更为符合当前需要的网络硬件设施。具体可以选择华为和华三通信(H3C)等品牌网络设施逐步替代原有的老旧设备,做到最大兼容性与设备性能的统一。实现不同网络环境下网速的均匀分布,满足校园教学和办公使用的需要。
2.2 升级网络拓扑结构
当前不少中学校园的校园网络拓扑结构都采用星型单核结构。常德二中网络中心设备采用锐捷S6806E,使用1000M多模光纤与各个教学楼、办公楼进行连接。而且每个楼都配置一台主交换机(汇聚交换机),再使用楼层分机与各个电脑连接。这种星型连接的布局结构设置简单,运维灵活方便,容易进行定期的维护。但是随着信息技术的发展和校园网使用需求的不断提升,该结构会出现网络使用高峰期的地址表象溢出。为了解决上述问题,需要对网络拓扑结构进行升级改造,将校园网根据使用功能进行分类,按照教学、办公和宿舍、管理将网络分为两部分,增加备用的核心交换机,实行双核心配置,这样在教学园区和住宿园区进行不同规模的网络资源配置,一方面可以根据校园实际的网络需求来安排网络资源,另一方面也可以根据不同园区的功能来设计网络升级方向,保证在出现问题和故障的同时能够在网络方面进行临时的应急,保证学校的正常运转。
2.3 升级身份认证体系
随着信息流量的不断增加,教学过程中使用的网络资源也会逐渐拓展,这就需要建立符合校园需求的网络认证制度,建立网络应用的准入门槛。常德二中原有的校园网络尚未建立完善的用户准入制度,校园网络大多属于不计费认证。住宿园区小部分计费认证采用的802.1x认证。这不仅不利于校园网络的充分利用,同时也增加了校园网的运维管理难度。对此,应当建立内网资源的登陆检测系统,网络资源要建立802.1x认证与Portal二次身份认证相结合的登陆认证制度,通过身份认证登陆来控制好网络资源的分配和管理,及时了解每台电脑的上网时间,提高对网络使用的审核和记录效率,促进校园网更加严格的运维管理改革。
3 结束语
校园网的升级改造与运维管理是校园信息化建设的重要过程,也是当前教育部门对教育教学方式转变,教学效率提升的重要保证。提升校园网的利用效率,加快校园网的升级改造,要充分结合校园网网络拓扑结构改造和网络设施升级这两个方面,实现内网资源的充分供给和网络资源的充分利用,全面提升校园网安全防护能力,发挥网络在信息传递中的重要作用,实现数字化的校园网络建设。
参考文献
[1]王伟.浅析中学校园网对教育教学的作用[J].信息化建设,2016(08).
[2]郭玉川.数字化中小学校园网的优化设计与建设[D].南开大学,2015.
[3]张淋江,周红雷,刘志龙.基于SOA校园网运维网络平台建设探讨[J].价值工程, 2015(25):212-213.
