公務(wù)員期刊網(wǎng) 精選范文 校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案主題范文,僅供參考,歡迎閱讀并收藏。

校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案

第1篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

關(guān)鍵詞:移動(dòng)學(xué)習(xí);學(xué)習(xí)環(huán)境;校園網(wǎng);無線網(wǎng)絡(luò)

中圖分類號(hào):G434 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1673-8454(2014)07-0087-03

一、引言

移動(dòng)學(xué)習(xí)是要實(shí)現(xiàn)學(xué)習(xí)者在任何時(shí)間、任何地點(diǎn),通過任何終端設(shè)備都能進(jìn)行學(xué)習(xí)活動(dòng)的學(xué)習(xí)方式。[1]其系統(tǒng)環(huán)境包括三個(gè)層次:移動(dòng)學(xué)習(xí)裝備環(huán)境(DE)、移動(dòng)學(xué)習(xí)支持環(huán)境(LE)和移動(dòng)學(xué)習(xí)服務(wù)環(huán)境(SE),并且基于技術(shù)驅(qū)動(dòng)逐步進(jìn)行演化發(fā)展。[2]

如圖1所示,移動(dòng)學(xué)習(xí)中的每個(gè)環(huán)節(jié)都依賴于網(wǎng)絡(luò),為了提供移動(dòng)學(xué)習(xí)的便捷性,實(shí)現(xiàn)真正意義上的任何地點(diǎn)和任何終端,僅靠單一性的無線網(wǎng)絡(luò)無法滿足需求,必須實(shí)現(xiàn)無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的融合,通過有線無線一體化的網(wǎng)絡(luò)來提供基礎(chǔ)網(wǎng)絡(luò)的支撐。

二、網(wǎng)絡(luò)一體化設(shè)計(jì)

移動(dòng)網(wǎng)絡(luò)的帶寬及學(xué)習(xí)者的成本直接關(guān)系到移動(dòng)學(xué)習(xí)是否能被接受,而移動(dòng)網(wǎng)絡(luò)的速率制約著教學(xué)資源開發(fā)和學(xué)習(xí)活動(dòng)的質(zhì)量。WLAN(無線局域網(wǎng))作為傳統(tǒng)有線網(wǎng)絡(luò)的補(bǔ)充,在覆蓋率和移動(dòng)性方面具有非常大的優(yōu)勢,在速率上要優(yōu)于2G,在自費(fèi)上又優(yōu)于基于流量計(jì)費(fèi)的3G。[3]《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》中對(duì)信息化公共支撐環(huán)境提出了要求,各個(gè)學(xué)校在既有網(wǎng)絡(luò)基礎(chǔ)上,大力建設(shè)WLAN,但是經(jīng)費(fèi)的不足是眾多學(xué)校面臨的最大問題,積極引進(jìn)社會(huì)資金進(jìn)行校園信息化建設(shè)是目前許多高校的流行做法。

校園網(wǎng)的商業(yè)投資運(yùn)營模式多種多樣,利用運(yùn)營商的資金,既能解決學(xué)校經(jīng)費(fèi)問題,又能創(chuàng)建良好的網(wǎng)絡(luò)環(huán)境。校園網(wǎng)的主要用途是為教學(xué)科研服務(wù),是非營利性質(zhì),無論選擇何種模式,學(xué)校必須堅(jiān)持的原則是校園網(wǎng)必須處于學(xué)校監(jiān)管之下,在運(yùn)維管理上學(xué)校要掌握主動(dòng)權(quán)。

運(yùn)營商投資校園網(wǎng)建設(shè)能實(shí)現(xiàn)雙方某些方面的優(yōu)勢互補(bǔ),合作是把雙刃劍,利用好雙方受益;利用不好,合作中不斷產(chǎn)生摩擦造成不愉快,最后不歡而散。校園網(wǎng)和企業(yè)網(wǎng)在運(yùn)維和管理上存在差異,在合作過程中,學(xué)校出讓網(wǎng)絡(luò)運(yùn)維管轄權(quán)由企業(yè)壟斷運(yùn)行,但內(nèi)部資源共享,保密信息保障,網(wǎng)絡(luò)輿情實(shí)時(shí)監(jiān)控并及時(shí)響應(yīng)是必須解決的。學(xué)校和運(yùn)營商的利益訴求也存在差異,運(yùn)營商投資勢必注重收益,企業(yè)形象和用戶固然重要,經(jīng)濟(jì)利益是企業(yè)的生命,運(yùn)營商往往將投資成本轉(zhuǎn)嫁給用戶,額外增加用戶的負(fù)擔(dān)。因此,如何找到平衡點(diǎn)才是重中之重,處理好雙方的關(guān)鍵在于處理好建設(shè)、管理和受益的關(guān)系。

在校企合作中,一種模式是運(yùn)營商代建代維。這種模式完全由運(yùn)營商主導(dǎo),從方案的規(guī)劃、設(shè)計(jì)、建設(shè)和運(yùn)維完全由運(yùn)營商負(fù)責(zé),這種模式一般在中小學(xué)和職業(yè)類院校中較多。出于學(xué)校財(cái)力和信息化技術(shù)水平的因素,在新建網(wǎng)絡(luò)或者大規(guī)模網(wǎng)絡(luò)改造時(shí),完全交由運(yùn)營商負(fù)責(zé),學(xué)校放棄主動(dòng)權(quán)。另一種是學(xué)校建設(shè),運(yùn)營商租用運(yùn)維。這種是學(xué)校先期投入,但是由于配套運(yùn)維的人力和財(cái)力有限,為了使得系統(tǒng)能穩(wěn)定持續(xù)的運(yùn)行,必須由外部公司介入;或者運(yùn)營商強(qiáng)行介入學(xué)校的網(wǎng)絡(luò)。有時(shí)學(xué)校又不想完全放棄管理權(quán)或者在放棄一段時(shí)間后又想收回,因此有可能出現(xiàn)校方與運(yùn)營商共同運(yùn)維。

以上兩種方式各有優(yōu)缺點(diǎn),都不是最好的,最優(yōu)的方案是運(yùn)營商建設(shè),學(xué)校運(yùn)維。這種模式是方案的規(guī)劃和設(shè)計(jì)由雙方共同商定,由運(yùn)營商出資建設(shè),后期由學(xué)校運(yùn)維,在收益上與運(yùn)營商分成。由運(yùn)營商投資建設(shè)學(xué)校無線網(wǎng)絡(luò),并負(fù)責(zé)基礎(chǔ)設(shè)備和線路維護(hù),學(xué)校負(fù)責(zé)核心設(shè)備和骨干線路的維護(hù)監(jiān)管。運(yùn)營商提供學(xué)校出口鏈路,增加出口帶寬,提供公網(wǎng)地址用于NAT。無線網(wǎng)絡(luò)通過唯一出口與校園網(wǎng)連接,此模式建設(shè)的無線網(wǎng)絡(luò)是校園網(wǎng)的一部分,學(xué)生可以自由選擇無線接入或有線接入,訪問校內(nèi)資源不受運(yùn)營商的限制,訪問外網(wǎng)必須經(jīng)過學(xué)校的認(rèn)證計(jì)費(fèi)和審計(jì)系統(tǒng),因此,網(wǎng)絡(luò)和用戶都處于學(xué)校的監(jiān)管中。作為投資回報(bào),用戶選擇無線網(wǎng)絡(luò)接入時(shí),需要支付一定的接入費(fèi),該費(fèi)用必須雙方協(xié)商,充分考慮了學(xué)生的承受能力后制定。

三、建網(wǎng)方案

1.網(wǎng)絡(luò)架構(gòu)

學(xué)校在建設(shè)無線網(wǎng)絡(luò)過程中,不希望改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)或者盡量減小。根據(jù)學(xué)校原有組網(wǎng)模式,在已有教學(xué)科研子網(wǎng)、學(xué)生公寓子網(wǎng)、圖書館子網(wǎng)和一卡通專網(wǎng)基礎(chǔ)上,新建無線子網(wǎng)。[4]無線網(wǎng)絡(luò)獨(dú)立成網(wǎng),通過多臺(tái)OLT實(shí)現(xiàn)各個(gè)校區(qū)互聯(lián),校區(qū)間通過內(nèi)部光纖互聯(lián),無線子網(wǎng)只有唯一出口,并與校園網(wǎng)核心路由器連接,而不是通過運(yùn)營商的線路直接與互聯(lián)網(wǎng)連接。這樣無線網(wǎng)絡(luò)無需改變校園網(wǎng)現(xiàn)有架構(gòu),新建的網(wǎng)絡(luò)屬于校園網(wǎng)的一部分,是成為有線網(wǎng)絡(luò)的的補(bǔ)充。從圖2中可以看出,WLAN屬于學(xué)校網(wǎng)絡(luò)的一部分,非獨(dú)立運(yùn)行網(wǎng)絡(luò),這就避免了將用戶全部移交給運(yùn)營商,用戶將脫離學(xué)校的管理,同時(shí),不影響用戶訪問校內(nèi)資源。

WLAN使用開放頻段,在2.4G頻段只有3個(gè)不重疊信道,有的學(xué)校采取的是雙通道方式,即分成兩個(gè)SSID,一個(gè)訪問校內(nèi)資源、一個(gè)訪問校外資源,兩者不能同時(shí)共享,訪問連接校內(nèi)資源訪問的SSID不能放問校外資源,必須重新選擇信號(hào)。在多個(gè)運(yùn)營商進(jìn)入學(xué)校需要共用一套系統(tǒng)時(shí),就無法區(qū)分,需要通過新建一套系統(tǒng),這樣避免不了信號(hào)的干擾。因此按照“多SSID”方式共享WLAN的設(shè)計(jì)方案,目前在AP上提供CMCC-EDU SSID,如果后期其他運(yùn)營商需進(jìn)入校園,只需租用,并廣播ChinaUnicom-EDU或ChinaNet-EDU SSID,分別對(duì)應(yīng)運(yùn)營商各自的業(yè)務(wù)VLAN,在AP級(jí)聯(lián)交換機(jī)上進(jìn)行業(yè)務(wù)區(qū)分,并連接到運(yùn)營商各自的業(yè)務(wù)平臺(tái)上,與各自的原WLAN業(yè)務(wù)采用同樣的認(rèn)證、計(jì)費(fèi)方式。[5]

2.認(rèn)證計(jì)費(fèi)

采用“運(yùn)營商建設(shè)學(xué)校運(yùn)維”模式的WLAN,由于需要對(duì)接學(xué)校和運(yùn)營商的系統(tǒng),因此認(rèn)證計(jì)費(fèi)更復(fù)雜,為避免由此帶來用戶體驗(yàn)的影響,需要在業(yè)務(wù)流程上進(jìn)行優(yōu)化,綜合考慮與有線網(wǎng)絡(luò)的整合,采用有線無線一體化認(rèn)證設(shè)計(jì)方案,盡量將操作交由系統(tǒng)完成,實(shí)現(xiàn)用戶一次操作即可訪問網(wǎng)絡(luò)。學(xué)校將有線和無線網(wǎng)絡(luò)納為一體化管理后,在資源訪問上帶來方便,用戶可根據(jù)自己的上網(wǎng)需求選擇不同的計(jì)費(fèi)策略,按照上網(wǎng)接入類型的不同和上網(wǎng)時(shí)長的不同,共有以下8中組合可選,如表所示。

認(rèn)證計(jì)費(fèi)系統(tǒng)硬件上采用集中式的BAS,所有用戶的認(rèn)證都由該設(shè)備管理控制,這樣既實(shí)現(xiàn)了多運(yùn)營商共享WLAN前端設(shè)備、后端區(qū)分各自的用戶,又能實(shí)現(xiàn)有線無線用戶的統(tǒng)一管理。采取DHCP加Portal方式,用戶的賬號(hào)都是由Portal進(jìn)行認(rèn)證,采用基于Radius CoA的方式,由BAS設(shè)備與統(tǒng)一的Radius進(jìn)行互動(dòng),進(jìn)行基于用戶的策略,免去客戶端軟件相對(duì)繁瑣的接入要求。Portal把賬號(hào)信息轉(zhuǎn)交付給后臺(tái)Radius,由Radius自帶的用戶賬號(hào)數(shù)據(jù)庫(或通過接口使用數(shù)字化校園的用戶帳號(hào)數(shù)據(jù)庫)進(jìn)行認(rèn)證。Radius認(rèn)證結(jié)束后,一方面會(huì)通知Portal給出相關(guān)提示給用戶,如“認(rèn)證通過,可以訪問網(wǎng)絡(luò)”,也可能是“認(rèn)證失敗,用戶名或密碼錯(cuò)誤”等。另一方面Radius同時(shí)會(huì)根據(jù)認(rèn)證結(jié)果通知BAS設(shè)備進(jìn)行相關(guān)策略調(diào)整,讓認(rèn)證通過的用戶可以連接到外網(wǎng)資源,讓認(rèn)證未通過的用戶無法接入到外網(wǎng)。

采用有線無線一體化認(rèn)證,賬戶使用學(xué)號(hào)和教工號(hào),而無線網(wǎng)絡(luò)是否能夠接入取決于該用戶在運(yùn)營商的認(rèn)證計(jì)費(fèi)系統(tǒng)中是否有相應(yīng)的權(quán)限,因此,學(xué)校的認(rèn)證計(jì)費(fèi)系統(tǒng)需要實(shí)現(xiàn)學(xué)校賬戶和運(yùn)營商手機(jī)賬戶的雙重校驗(yàn),由于運(yùn)營商的系統(tǒng)不能直接控制,所以通過Radius的方式來實(shí)現(xiàn)。如圖3所示,通過BAS上獲取用戶接入的NAS-PORT-TYPE屬性區(qū)分用戶是通過有線還是無線方式接入網(wǎng)絡(luò),有線用戶采用出網(wǎng)認(rèn)證,如果是有線用戶在獲取地址后,可以直接訪問校內(nèi)資源,訪問校外時(shí)彈出Portal頁面進(jìn)行認(rèn)證,認(rèn)證通過后可以訪問其他資源;無線網(wǎng)絡(luò)由運(yùn)營商投資,使用無線網(wǎng)絡(luò)需要收取資源使用費(fèi),因此采用入網(wǎng)認(rèn)證方式,首先將Portal傳遞的學(xué)號(hào)在本地Radius中進(jìn)行校驗(yàn)是否為合法用戶,通過后將學(xué)號(hào)轉(zhuǎn)換成對(duì)應(yīng)的手機(jī)號(hào),并根據(jù)號(hào)段通過Radius協(xié)議發(fā)送到對(duì)應(yīng)的運(yùn)營商系統(tǒng)中認(rèn)證,認(rèn)證通過后返回本地Radius,然后再進(jìn)行本地的計(jì)費(fèi)策略。[6]

當(dāng)用戶需要下線時(shí),通過在Portal頁面上點(diǎn)擊下線按鈕,Radius系統(tǒng)將發(fā)送下線信息到BAS,對(duì)用戶做下線處理。而當(dāng)用戶沒有點(diǎn)擊下線按鈕,而是直接關(guān)機(jī)或者拔掉網(wǎng)線時(shí),則通過BAS上的DHCP lease time(一般設(shè)置為5分鐘)來控制,當(dāng)超出DHCP租期時(shí),自動(dòng)斷開用戶連接,并發(fā)送下線信息到后臺(tái)的Radius系統(tǒng),同時(shí)由Radius將下線請(qǐng)求發(fā)送給運(yùn)營商的計(jì)費(fèi)平臺(tái),實(shí)現(xiàn)用戶的計(jì)費(fèi)終止功能。

四、小結(jié)

隨著虛擬化、云計(jì)算和物聯(lián)網(wǎng)的發(fā)展,學(xué)校、社會(huì)教育機(jī)構(gòu)及運(yùn)營商共同建設(shè)軟件即服務(wù)(SaaS)的教育云。由運(yùn)營商和學(xué)校共同建設(shè)基礎(chǔ)網(wǎng)絡(luò),教育工作者進(jìn)行學(xué)習(xí)資源建設(shè)和教學(xué)設(shè)計(jì),管理人員保障設(shè)備和系統(tǒng)的穩(wěn)定運(yùn)運(yùn)營,通過統(tǒng)一信息門戶為公眾提供服務(wù),使得移動(dòng)學(xué)習(xí)成為實(shí)現(xiàn)學(xué)習(xí)社會(huì)化和終身化的重要途徑。

參考文獻(xiàn):

[1]Desmond Keegan.從遠(yuǎn)程學(xué)習(xí)到電子學(xué)習(xí)再到移動(dòng)學(xué)習(xí)[J].開放教育研究,2000(5):6-10.

[2]方海光,王紅云,黃榮懷.移動(dòng)學(xué)習(xí)的系統(tǒng)環(huán)境路線圖[J]. 現(xiàn)代教育技術(shù),2011(1):14-20.

[3]R.Housley, T. Moore. Certificate Extensions and Attributes Supporting Authentication in Point-to-Point Protocol (PPP) and Wireless Local Area Networks (WLAN). IETF RFC 3770, May 2004; /rfc/rfc3770.txt.

[4]涂中群.一種基于流量域的功能分區(qū)組網(wǎng)新模式[J].通信技術(shù),2008(10):154-156.

第2篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

【關(guān)鍵詞】網(wǎng)絡(luò)數(shù)字化;架構(gòu);數(shù)字化校園

一、校園數(shù)字化概述

數(shù)字化校園的基本定義:以網(wǎng)絡(luò)為基礎(chǔ),利用先進(jìn)的信息手段和工具,將學(xué)校的各個(gè)方面,從環(huán)境(包括網(wǎng)絡(luò)、設(shè)備、教室等)、資源(如圖書、講義、課件等)、到活動(dòng)(包括教、學(xué)、管理、服務(wù)、辦公等)數(shù)字化,逐步形成一個(gè)數(shù)字空間,從而使現(xiàn)實(shí)校園在時(shí)間和空間上獲得延伸,在現(xiàn)實(shí)校園基礎(chǔ)上形成一個(gè)虛擬校園。數(shù)字化校園旨在用層次化、整體性的觀點(diǎn)來實(shí)施校園信息化建設(shè),利用校園網(wǎng)把教學(xué)資源和管理信息更好地組織分類,為教學(xué)工作提供基于網(wǎng)絡(luò)環(huán)境的信息化教學(xué)平臺(tái),為管理、科研工作提供基于網(wǎng)絡(luò)環(huán)境的信息化管理平臺(tái)。普校信息化建設(shè)從上個(gè)世紀(jì)90年代開始,信息化建設(shè)取得了顯著成果。伴隨著校校通工程、班班通、金教工程等戰(zhàn)略項(xiàng)目,校園基礎(chǔ)網(wǎng)臺(tái)、信息平臺(tái)、應(yīng)用平臺(tái)、手機(jī)一卡通、安防監(jiān)控、多媒體等信息化在全國各地廣泛建設(shè),校園信息化對(duì)學(xué)校教學(xué)、管理、生活、服務(wù)等進(jìn)行資源整合,提供統(tǒng)一服務(wù),并產(chǎn)生了重要的經(jīng)濟(jì)價(jià)值。

根據(jù)目前學(xué)校業(yè)務(wù)應(yīng)用的使用情況,大體上把業(yè)務(wù)系統(tǒng)分為三類,教學(xué)管理、行政管理及特色應(yīng)用等。行政管理中的業(yè)務(wù)系統(tǒng)的服務(wù)端大部分在信息中心,學(xué)校作為客戶端使用,主要是為了提高行政管理的效率,包括OA辦公、一卡通、人事管理、財(cái)務(wù)管理等;教學(xué)管理中的大部分業(yè)務(wù)系統(tǒng)各個(gè)學(xué)校都會(huì)獨(dú)立建設(shè),主要是為了提高教學(xué)管理的質(zhì)量,包括數(shù)字廣播、備課系統(tǒng)、多媒體錄播系統(tǒng)等,實(shí)際上,目前行政管理和教學(xué)管理的業(yè)務(wù)系統(tǒng)基本上各地都已經(jīng)建設(shè)了,差別在于,特色應(yīng)用中的業(yè)務(wù)系統(tǒng)各個(gè)學(xué)校根據(jù)自己的情況建設(shè)的側(cè)重點(diǎn)不一樣,如各地目前關(guān)注度比較高的特色業(yè)務(wù)系統(tǒng)包括網(wǎng)上閱卷系統(tǒng)、多媒體錄播系統(tǒng)、同步課堂等。

二、數(shù)字化校園的發(fā)展階段和趨勢

校園數(shù)字化不可能一蹴而就,它的實(shí)現(xiàn)是一個(gè)長期努力的過程,學(xué)校數(shù)字化有一個(gè)從無到有的過程,從初級(jí)階段不斷深入發(fā)展走向高級(jí)階段的過程,從全國數(shù)字化校園的現(xiàn)狀和發(fā)展趨勢分析,數(shù)字化校園建設(shè)經(jīng)歷了四個(gè)階段,包括網(wǎng)絡(luò)集成、系統(tǒng)集成、應(yīng)用集成、數(shù)據(jù)集成共四個(gè)階段。

第一階段網(wǎng)絡(luò)集成,主要以基礎(chǔ)網(wǎng)絡(luò)建設(shè)為主,大部分普通中小學(xué)處于網(wǎng)絡(luò)集成這一階段,考慮的是基礎(chǔ)網(wǎng)絡(luò)如何建設(shè),如怎么建設(shè)有線校園網(wǎng)、無線校園網(wǎng)、校園網(wǎng)安全加固等。

第二階段系統(tǒng)建設(shè),以服務(wù)于系統(tǒng)建設(shè)為主,大部分重點(diǎn)中小學(xué)在這一階段,考慮業(yè)務(wù)系統(tǒng)如何建設(shè),如一卡通系統(tǒng),是作為刷卡消費(fèi),還是門禁控制、電梯控制,課程管理、多媒體錄播系統(tǒng)怎么建設(shè),如何監(jiān)控這些業(yè)務(wù)系統(tǒng)的運(yùn)行,業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全保證等。

第三階段應(yīng)用集成,主要是做統(tǒng)一身份認(rèn)證平臺(tái)、單點(diǎn)登陸系統(tǒng)等,信息化做的比較好的重點(diǎn)中小學(xué)在規(guī)劃應(yīng)用集成,如何把有線、無線、遠(yuǎn)程VPN等各種不同接入方式統(tǒng)一納入一個(gè)平臺(tái)進(jìn)行管理,多媒體錄播、OA系統(tǒng)、視頻監(jiān)控等一系列業(yè)務(wù)系統(tǒng),如何實(shí)現(xiàn)單點(diǎn)登陸,方便師生的使用。

第四階段數(shù)據(jù)集成,主要實(shí)現(xiàn)數(shù)據(jù)開發(fā)標(biāo)準(zhǔn)、數(shù)據(jù)結(jié)構(gòu)的統(tǒng)一,實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)實(shí)時(shí)共享,由于數(shù)據(jù)集成涉及到應(yīng)用系統(tǒng)的大量開發(fā)工作,周期長,投入大,目前,普教學(xué)校涉及應(yīng)用集成方面比較少。

三、3+N+1架構(gòu)

針對(duì)目前的數(shù)字化校園信息建設(shè)的發(fā)展,提出3+N+1解決方案,3表示3個(gè)平臺(tái),基礎(chǔ)設(shè)施平臺(tái)、應(yīng)用支撐平臺(tái)、公共認(rèn)證平臺(tái),1指的是通過單點(diǎn)登錄實(shí)現(xiàn)1個(gè)統(tǒng)一門戶,N指的是重點(diǎn)中小學(xué)的N個(gè)業(yè)務(wù)系統(tǒng)。

數(shù)字化校園建設(shè)的核心是教育信息化業(yè)務(wù)系統(tǒng)的建設(shè),業(yè)務(wù)系統(tǒng)向下由三個(gè)平臺(tái)進(jìn)行支撐保障,向上形成單點(diǎn)登錄、統(tǒng)一門戶,為學(xué)生、教師、領(lǐng)導(dǎo)、家長、公眾等提供服務(wù)。

在數(shù)字化校園整體架構(gòu)中,網(wǎng)絡(luò)涉及到基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、公共認(rèn)證平臺(tái)、運(yùn)維支撐平臺(tái)及單點(diǎn)登陸統(tǒng)一信息門戶的建設(shè),具體如下:

(1)基礎(chǔ)網(wǎng)絡(luò)平臺(tái):包括有線、無線、核心平臺(tái)、網(wǎng)絡(luò)出口等基礎(chǔ)網(wǎng)絡(luò)建設(shè)。

基礎(chǔ)網(wǎng)絡(luò)平臺(tái)要具備智能的特點(diǎn),包括智能高可用的核心平臺(tái)、智能安全的網(wǎng)絡(luò)出口、智能的接入、智能的網(wǎng)絡(luò)管理。比如網(wǎng)絡(luò)出口要能智能轉(zhuǎn)發(fā),智能帶寬優(yōu)化、雙風(fēng)扇、雙電源保障高可用,采用雙鏈路、雙核心的拓?fù)?;其次是智能,出現(xiàn)問題時(shí)能自動(dòng)檢測和緊急恢復(fù)。

(2)公共認(rèn)證平臺(tái):通過有線、無線、VPN等各種不同方式的統(tǒng)一實(shí)名接入,實(shí)現(xiàn)網(wǎng)絡(luò)層的實(shí)名認(rèn)證、實(shí)名訪問權(quán)限控制、實(shí)名流控及實(shí)名審計(jì)等。

建立校園網(wǎng)公共認(rèn)證平臺(tái),可實(shí)現(xiàn)有線用戶、無線用戶、遠(yuǎn)程訪問的VPN用戶的統(tǒng)一認(rèn)證,每個(gè)用戶有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、VPN訪問使用同一份身份信息、同一套賬號(hào)密碼,同時(shí),可以實(shí)現(xiàn)有線無線的統(tǒng)一拓?fù)涔芾?、批量配置及?shí)時(shí)告警等功能。

(3)業(yè)務(wù)支撐平臺(tái):通過核心組件支撐,運(yùn)維體系及日志系統(tǒng)。通過接入交換機(jī)、無線設(shè)備、出口設(shè)備等相互聯(lián)動(dòng)實(shí)現(xiàn)校園網(wǎng)的整體安全,同時(shí),通過業(yè)務(wù)運(yùn)維管理系統(tǒng)實(shí)現(xiàn)整體業(yè)務(wù)的運(yùn)維管理。

業(yè)務(wù)支撐平臺(tái)作為3+N+1架構(gòu)中的三個(gè)平臺(tái)中的重要組件之一,向下保障眾多的基礎(chǔ)設(shè)施等更好的統(tǒng)一運(yùn)行、統(tǒng)一管理,充分發(fā)揮硬件資源的利用率,避免各自為政、單點(diǎn)故障等;向上保障教育業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行,保障用戶的良好體驗(yàn),包括運(yùn)維體系和安全體系的設(shè)計(jì)。通過運(yùn)維體系實(shí)時(shí)展示業(yè)務(wù)系統(tǒng)的運(yùn)行和使用情況,可視化的展示IT資源,另外,還可綜合分析業(yè)務(wù)系統(tǒng)和IT資源的歷史使用情況,為教育信息化的升級(jí)改造提供有利的數(shù)據(jù)支撐和依據(jù)。數(shù)字化校園的安全設(shè)計(jì)需要考慮用戶身份安全、主機(jī)安全、網(wǎng)絡(luò)安全、安全策略管理等四個(gè)主要方面。

(4)統(tǒng)一門戶、單點(diǎn)登陸由核心組件RG-SSO支撐,實(shí)現(xiàn)各種業(yè)務(wù)系統(tǒng)的單點(diǎn)登陸。

公共認(rèn)證平臺(tái)必須實(shí)現(xiàn)單點(diǎn)登錄,不管是無線網(wǎng)絡(luò)的接入、有線網(wǎng)絡(luò)的接入,還是VPN用戶遠(yuǎn)程接入,網(wǎng)絡(luò)認(rèn)證作為單點(diǎn)登錄的唯一入口,通過的單點(diǎn)登陸系統(tǒng),實(shí)現(xiàn)對(duì)網(wǎng)上閱卷、OA辦公、人事系統(tǒng)、教育資源庫等各種業(yè)務(wù)系統(tǒng)的整合,實(shí)現(xiàn)業(yè)務(wù)層的單點(diǎn)登陸;若通過網(wǎng)絡(luò)層的認(rèn)證,登錄系統(tǒng)就會(huì)把與該用戶身份相關(guān)的業(yè)務(wù)系統(tǒng)登錄地址推送給該用戶;同時(shí),通過網(wǎng)絡(luò)層的安全控制,保障應(yīng)用層的賬號(hào)信息更安全,保障用戶的良好體驗(yàn)。對(duì)現(xiàn)有系統(tǒng)不需要做任何改動(dòng),師生的電腦上不需要安裝任何軟件,業(yè)務(wù)服務(wù)器上也不需要裝任何程序,就能實(shí)現(xiàn)登陸

四、數(shù)字化校園3+N+1解決方案的特點(diǎn)

網(wǎng)絡(luò)層的單點(diǎn)登陸,實(shí)現(xiàn)VPN、WLAN、LAN等多種接入形式的單點(diǎn)登陸及統(tǒng)一界面,方便學(xué)校樹立安全、良好的形象,網(wǎng)絡(luò)層與應(yīng)用層的單點(diǎn)登陸,方便師生訪問業(yè)務(wù)系統(tǒng),體現(xiàn)校園網(wǎng)建設(shè)的亮點(diǎn)。

(1)基于用戶名的應(yīng)用層流量控制,提高帶寬資源的利用率,較少抱怨和投訴,保障師生訪問網(wǎng)絡(luò)的良好體驗(yàn)。

(2)學(xué)校信息化技術(shù)力量薄弱,人員少,解決用戶接入不可控和審計(jì)難以真正定位到人的老難題,方便管理。

(3)滿足學(xué)校數(shù)字化校園信息規(guī)劃的需求,建設(shè)有特色的3+N+1數(shù)字化校園,體現(xiàn)學(xué)校信息化的水平。

(4)滿足公安部門、教育局等安全性檢查的要求。

參考文獻(xiàn):

[1]許志英.數(shù)字化校園建設(shè)的研究[J].計(jì)算機(jī)教育,2007,10.

第3篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

近年來,隨著我國社會(huì)經(jīng)濟(jì)的不斷發(fā)展,國家對(duì)教育事業(yè)的支持和投入不斷增加,我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強(qiáng)有力的支持手段,為教育模式的創(chuàng)新、先進(jìn)教育理念提供了可靠的實(shí)現(xiàn)方法。

高校信息化主要以數(shù)字化校園建設(shè)為主,主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等;大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案,確定數(shù)字化校園的體系結(jié)構(gòu),制定數(shù)字化校園的信息標(biāo)準(zhǔn),以及各系統(tǒng)之間的接口標(biāo)準(zhǔn),然后分階段實(shí)施。建立全校的網(wǎng)絡(luò)安全體系,保證校園網(wǎng)絡(luò)的安全,保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全,實(shí)現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運(yùn)行。

1教育信息化中的安全體系建設(shè)

在教育信息化建設(shè)過程中,信息安全體系是保障教育信息系統(tǒng)的信息完整、系統(tǒng)可用和信息保密的重要支撐體系,對(duì)各級(jí)學(xué)校、職業(yè)教育、教育主管機(jī)構(gòu)的正常工作起到了至關(guān)重要的保障作用。各級(jí)教育主管部門對(duì)教育信息系統(tǒng)的安全體系建設(shè)給予了充分的重視,也是由于教育信息系統(tǒng)的復(fù)雜性、多樣性、異構(gòu)性和應(yīng)用環(huán)境的開放性,給整個(gè)信息系統(tǒng)帶來了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例,高校數(shù)字校園信息系統(tǒng)的建設(shè)是由高校業(yè)務(wù)需求驅(qū)動(dòng)的,初始的建設(shè)大多沒有統(tǒng)一規(guī)劃,有些系統(tǒng)是獨(dú)立的網(wǎng)絡(luò),有些系統(tǒng)又是共用一個(gè)網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級(jí)、使用的對(duì)象、面對(duì)的威脅和風(fēng)險(xiǎn)各不相同。當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng),在支撐高校業(yè)務(wù)運(yùn)營、發(fā)展的同時(shí),信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點(diǎn)越來越多、信息安全風(fēng)險(xiǎn)日益突出,成為高校面臨的重要的、急需解決的問題之一。在進(jìn)行數(shù)字化校園建設(shè)的過程中,也曾發(fā)生不少信息安全事件,如某高校數(shù)據(jù)中心一臺(tái)服務(wù)器被黑客入侵,成為肉雞,被植入僵尸木馬程序,受黑客控制瘋狂往外網(wǎng)發(fā)包,導(dǎo)致學(xué)校網(wǎng)絡(luò)出口癱瘓;某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬、篡改,并且學(xué)校內(nèi)部也曾經(jīng)發(fā)現(xiàn)學(xué)生成績的數(shù)據(jù)庫,有被惡意篡改的痕跡。

2網(wǎng)絡(luò)安全威脅分析

(1)高校網(wǎng)站的安全威脅,包括高校門戶網(wǎng)站、高校招生網(wǎng)站、二級(jí)各院系等網(wǎng)站,由于高考、招生、學(xué)生就業(yè)等敏感時(shí)期,聚集了大量的學(xué)生及家長訪問流量,也引起黑客的關(guān)注,高校網(wǎng)站面臨的主要安全威脅有:網(wǎng)頁被掛馬、被篡改,黑客通過SQL注入、跨站腳本等攻擊方式,可以輕松的拿到高校網(wǎng)站的管理權(quán)限,進(jìn)而篡改網(wǎng)頁代碼;部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站,影響極其惡劣。每年高考招生及高校重要節(jié)日期間,高校門戶網(wǎng)站極易被DDOS攻擊,這種由互聯(lián)網(wǎng)上發(fā)起的大量同時(shí)訪問會(huì)話,導(dǎo)致高校網(wǎng)站負(fù)載加劇,無法提供正常的訪問。入侵者成功獲取WEB服務(wù)器的控制權(quán)限后,以該服務(wù)器為跳板,對(duì)內(nèi)網(wǎng)進(jìn)行探測掃描,發(fā)起攻擊,對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。(2)隨著校園網(wǎng)信息化的逐步深入,業(yè)務(wù)系統(tǒng)眾多,“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大高校采用,而這些系統(tǒng)由于管理及防護(hù)不到位,面臨著較嚴(yán)重的安全威脅:業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護(hù)手段,高校網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速,網(wǎng)絡(luò)帶寬及處理能力都有很大的提升,但是管理和維護(hù)人員方面的投入明顯不足,沒有條件管理和維護(hù)數(shù)萬臺(tái)計(jì)算機(jī)的安全,一旦受到黑客攻擊,無法阻斷攻擊并發(fā)現(xiàn)攻擊源;部分高?!耙豢ㄍā背渲迪到y(tǒng)與銀行互聯(lián),邊界缺乏必要的隔離和審計(jì)措施,出現(xiàn)問題不方便定位,難以追查取證;校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多,管理及維護(hù)方式也不盡相同,無法做到所有的系統(tǒng)實(shí)施統(tǒng)一的漏洞管理政策。同時(shí),對(duì)于存在安全隱患的配置檢查,也缺乏自動(dòng)化的高效檢查工具和控制手段;業(yè)務(wù)系統(tǒng)權(quán)限控制不合理,有安全隱患。

3需求分析

根據(jù)對(duì)高校校園網(wǎng)絡(luò)的威脅分析,得出在校園網(wǎng)絡(luò)安全體系建設(shè)中,各個(gè)網(wǎng)絡(luò)區(qū)域和業(yè)務(wù)系統(tǒng)的安全需求如下:

(1)校園網(wǎng)絡(luò)出口應(yīng)對(duì)可能發(fā)生的拒絕服務(wù)攻擊進(jìn)行有效識(shí)別、過濾、清洗,保證網(wǎng)絡(luò)出口的暢通,保證骨干鏈路的負(fù)載處于正常范圍之內(nèi)。(2)網(wǎng)絡(luò)出口鏈路應(yīng)有相應(yīng)措施,對(duì)來源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵、病毒傳播等安全威脅進(jìn)行實(shí)時(shí)識(shí)別與阻斷。(3)DMZ區(qū)及內(nèi)網(wǎng)服務(wù)器區(qū)出口鏈路上,應(yīng)對(duì)針對(duì)WEB應(yīng)用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進(jìn)行全面深入的防護(hù)。(4)應(yīng)對(duì)流經(jīng)核心交換區(qū)域的所有流量進(jìn)行深入的檢測,以識(shí)別內(nèi)部各網(wǎng)絡(luò)區(qū)域之間發(fā)生的入侵事件和可疑行為。(5)應(yīng)對(duì)內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為,如公網(wǎng)訪問、數(shù)據(jù)庫訪問等進(jìn)行全面的記錄和審計(jì),以滿足違規(guī)事件發(fā)生后的追查取證。(6)應(yīng)在不同校區(qū)之間的鏈路接口進(jìn)行訪問控制、病毒檢測、入侵防護(hù)等安全控制措施。

應(yīng)對(duì)全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行漏洞風(fēng)險(xiǎn)管理,實(shí)現(xiàn)漏洞預(yù)警、漏洞加固和漏洞審計(jì)的全程風(fēng)險(xiǎn)控制。(7)應(yīng)對(duì)全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行配置合規(guī)管理,實(shí)現(xiàn)違規(guī)配置及時(shí)識(shí)別、配置整改全面深入、配置風(fēng)險(xiǎn)全程可控。(8)應(yīng)對(duì)運(yùn)維管理人員進(jìn)行詳細(xì)嚴(yán)格的權(quán)限劃分,并通過技術(shù)手段控制運(yùn)維行為權(quán)限,對(duì)運(yùn)維行為進(jìn)行全程審計(jì),對(duì)違規(guī)運(yùn)維操作進(jìn)行實(shí)時(shí)告警。

4遵循等保要求

2009年11月,教育部為進(jìn)一步加強(qiáng)教育系統(tǒng)信息安全工作,由辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》(教辦廳函[2009]80號(hào)),決定在教育系統(tǒng)全面開展信息安全等級(jí)保護(hù)工作;等級(jí)保護(hù)不僅是對(duì)信息安全產(chǎn)品或系統(tǒng)的檢測、評(píng)估以及定級(jí),更重要的是,等級(jí)保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度,是一項(xiàng)基礎(chǔ)性和制度性的工作。通過等級(jí)化方法和高校信息安全體系建設(shè)有效結(jié)合,設(shè)計(jì)一套符合高校需求的信息安全保障體系,是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個(gè)非常有效的方法。

5網(wǎng)絡(luò)安全建設(shè)方案

(1)在校園網(wǎng)出口處旁路部署抗拒絕服務(wù)攻擊系統(tǒng)(ADS)對(duì)拒絕服務(wù)攻擊流量進(jìn)行清洗,并且旁路部署網(wǎng)絡(luò)流量分析系統(tǒng)(NTA)對(duì)網(wǎng)絡(luò)流量組成和DDOS攻擊成分進(jìn)行分析和判斷。在正常環(huán)境下,旁路部署的ADS不參與網(wǎng)絡(luò)出口流量的路由和交換,邊界路由器通過NETFLOW等技術(shù)將流量信息發(fā)送給NTA,由NTA分析流量特征,判斷是否遭受DDOS攻擊。當(dāng)發(fā)現(xiàn)遭受DDOS攻擊時(shí),NTA將激活A(yù)DS,由ADS向邊界路由器發(fā)送針對(duì)特定防護(hù)目標(biāo)IP的路由,將所有去往被攻擊目標(biāo)IP的流量牽引至ADS設(shè)備。ADS系統(tǒng)進(jìn)行惡意流量的識(shí)別和清洗,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發(fā)送至目標(biāo)IP。(2)在出口鏈路部署入侵防護(hù)系統(tǒng),對(duì)接入互聯(lián)網(wǎng)的訪問流量進(jìn)行深入過濾,有效抵御源自公網(wǎng)的入侵威脅,消除安全風(fēng)險(xiǎn)。(3)在DMZ區(qū)和內(nèi)網(wǎng)服務(wù)器出口處部署WEB應(yīng)用防火墻,對(duì)服務(wù)器區(qū)的WEB服務(wù)器進(jìn)行全方面的防護(hù),對(duì)針對(duì)WEB站點(diǎn)的黑客攻擊,惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網(wǎng)頁篡改等攻擊手段進(jìn)行深入防護(hù)。保障網(wǎng)站、電子教務(wù)系統(tǒng)、一卡通系統(tǒng)等應(yīng)用系統(tǒng)的正常工作。(4)在核心交換區(qū)旁路部署安全審計(jì)系統(tǒng),通過將核心交換機(jī)上各端口的流量鏡像到安全審計(jì)系統(tǒng)的監(jiān)聽鏈路,實(shí)現(xiàn)對(duì)流經(jīng)核心交換機(jī)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行全程的審計(jì)和過濾。通過制定詳細(xì)的安全審計(jì)策略,對(duì)違反審計(jì)策略的網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)告警。此外,安全審計(jì)系統(tǒng)由部署在網(wǎng)絡(luò)運(yùn)維區(qū)的安全中心進(jìn)行統(tǒng)一監(jiān)控與策略下發(fā),并實(shí)時(shí)收集網(wǎng)絡(luò)時(shí)間日志和告警信息。(5)在核心交換區(qū)域的出口鏈路部署下一代防火墻,實(shí)現(xiàn)出口鏈路的流量檢測和安全過濾,保護(hù)內(nèi)部網(wǎng)絡(luò)安全。建議在核心交換區(qū)域與各個(gè)校區(qū)的網(wǎng)絡(luò)邊界處部署下一代防火墻,通過下一代防火墻對(duì)應(yīng)用層攻擊、病毒進(jìn)行全面阻斷,可實(shí)現(xiàn)基于源/目的IP地址、協(xié)議/端口、時(shí)間、用戶、VLAN、VPN、安全區(qū)的訪問控制,保證不同網(wǎng)絡(luò)區(qū)域之間的安全防護(hù)邊界完整。同時(shí),通過安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對(duì)該設(shè)備進(jìn)行全面的管理。

第4篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

關(guān)鍵詞:無線校園網(wǎng);移動(dòng)終端;無線建設(shè)調(diào)研

0引言

進(jìn)入2014年,國內(nèi)的高校似乎不約而同的達(dá)成了一個(gè)統(tǒng)一認(rèn)識(shí),需要建立無線校園網(wǎng),在移動(dòng)互聯(lián)網(wǎng)如火如荼發(fā)展的新形式下,已在高校內(nèi)成熟運(yùn)行的有線網(wǎng)絡(luò),逐漸不能滿足新的移動(dòng)終端的需求。無線技術(shù)初始大規(guī)模應(yīng)用于筆記本電腦,極大提升了筆記本移動(dòng)辦公的效率,然而,在筆記本黃金發(fā)展時(shí)期,并沒有帶來無線網(wǎng)絡(luò)的迅速普及,從2008年起,Google了第一款基于Android系統(tǒng)的智能手機(jī),短短6年間,Android智能手機(jī)以壓倒性的優(yōu)勢占據(jù)了國內(nèi)外手機(jī)市場,蘋果的IOS平臺(tái)和微軟的wP作為令外兩大智能機(jī)系統(tǒng)平臺(tái)也毫不示弱,智能機(jī)雨后春筍般的爆發(fā)帶來了一個(gè)迫在眉睫的問題――網(wǎng)絡(luò)問題,如何高效接入互聯(lián)網(wǎng)。

當(dāng)越來越多的移動(dòng)智能設(shè)備在校園內(nèi)使用,學(xué)校層次不得不考慮如何有效地跟隨信息化發(fā)展的脈搏,恰如其時(shí)的進(jìn)行移動(dòng)校園網(wǎng)的建設(shè),滿足師生員工日益增長的移動(dòng)網(wǎng)絡(luò)需求。一旦產(chǎn)生建設(shè)無線校園網(wǎng)的想法后,我們首先所要做的事情就是去有無線校園網(wǎng)的兄弟院校進(jìn)行調(diào)研,與公司進(jìn)行技術(shù)交流。本文將在調(diào)研過程中一些觀點(diǎn)和共識(shí)經(jīng)驗(yàn)予以闡述。

2無線校園網(wǎng)的定位與特點(diǎn)

無線網(wǎng)絡(luò)可以定義為有線網(wǎng)絡(luò)的補(bǔ)充,也可以定義為一種全新的符合信息化時(shí)代應(yīng)用發(fā)展潮流的主導(dǎo)網(wǎng)絡(luò)。對(duì)于高校信息化建設(shè),我們需要對(duì)用戶日益增長的無線網(wǎng)絡(luò)需求具有前瞻性,今年以來含有WIFI模塊的移動(dòng)設(shè)備逐漸遍及校園,對(duì)無線網(wǎng)絡(luò)的需求也越來越迫切,特別是圖書館、教學(xué)樓等用戶集中的場所,未來將毫無疑問的是無線網(wǎng)絡(luò)的領(lǐng)域?;诓煌亩ㄎ?,未來網(wǎng)絡(luò)規(guī)劃以及資金的投入將會(huì)有大不同。

相比于公共場所的無線網(wǎng),校園內(nèi)的無線網(wǎng)絡(luò)應(yīng)避免過于強(qiáng)調(diào)覆蓋區(qū)域的大小而不考慮是否能使用,應(yīng)做到無線覆蓋到哪兒,哪里就能正常的使用,否則將不利于無線校園網(wǎng)的實(shí)際應(yīng)用及后續(xù)建設(shè),甚至?xí)绊懙浇ㄔO(shè)單位的聲譽(yù)。因此既要限定AP的發(fā)射功率在國際標(biāo)準(zhǔn)范圍內(nèi)(緩解用戶健康安全的擔(dān)憂),又要保證既覆蓋就能通信。這是區(qū)別于運(yùn)營商自建無線網(wǎng)絡(luò)的最大區(qū)別。

無線網(wǎng)絡(luò)由于其物理層載波技術(shù)的特點(diǎn),任意時(shí)刻AP只能與一個(gè)終端進(jìn)行通信,必須要采用合適的流控手段限制用戶的最大并發(fā)數(shù),讓如P2P之類的軟件能工作,又要減少用戶自身行為導(dǎo)致的上網(wǎng)速度慢和影響他人使用無線網(wǎng)絡(luò)等問題。

3無線校園網(wǎng)的規(guī)劃

建設(shè)無線校園網(wǎng)的最終目標(biāo)是做到全校覆蓋,完全做到并超過有線網(wǎng)絡(luò)的覆蓋度,并能做到無縫漫游。在實(shí)際建設(shè)中,需要根據(jù)整體規(guī)劃將無線校園網(wǎng)建設(shè)分為若干期進(jìn)行建設(shè),主要有如下幾點(diǎn)的考慮:

資金問題:要做到一次性全部覆蓋,存在巨大的資金壓力,即使有運(yùn)營商的共建模式,較好的建設(shè)方式也是先試點(diǎn)某些區(qū)域。

建設(shè)過程的總結(jié):無線校園網(wǎng)的建設(shè)過程,是一個(gè)學(xué)習(xí)的過程,不斷地積累方能在后期建設(shè)中予以應(yīng)用,對(duì)于節(jié)約建設(shè)周期、少走彎路、減少出現(xiàn)的問題是相當(dāng)有益的。

建設(shè)區(qū)域的特殊性:不同的區(qū)域有不同的應(yīng)用需求,同時(shí)區(qū)域內(nèi)的電磁環(huán)境也相差極大,需要采用不同的建設(shè)策略、設(shè)備選型以及技術(shù)方案。

4無線校園的技術(shù)細(xì)節(jié)

AP總量的規(guī)劃:從實(shí)際情況以及應(yīng)用經(jīng)驗(yàn)看,如教室、圖書館的用戶密集場所,每人持有的無線終端數(shù)量可能不止1個(gè)。因此AP實(shí)際能支持的最大用戶數(shù)并發(fā)數(shù)是非常重要的指標(biāo)。部署AP的數(shù)量應(yīng)保證其支持的用戶數(shù)接入數(shù)不少于座位數(shù),且應(yīng)預(yù)留網(wǎng)點(diǎn)以備將來能新增AP。

集中轉(zhuǎn)發(fā)與本地轉(zhuǎn)發(fā):實(shí)際應(yīng)用中,在不同的場景下考慮不同的轉(zhuǎn)發(fā)模式,整網(wǎng)不必局限于一種固定的模式。在圖書館、教室、大型會(huì)議場所等高密度用戶場所,可采用本地轉(zhuǎn)發(fā)模式,其余場所則可采用集中轉(zhuǎn)發(fā)模式。在集中轉(zhuǎn)發(fā)下,大流量會(huì)對(duì)AC性能產(chǎn)生影響,而本地轉(zhuǎn)發(fā)對(duì)AP的配置要求相對(duì)復(fù)雜,因此建議將兩種方式結(jié)合以各取所長,分別用于不同的場景。

Portal認(rèn)證模式下請(qǐng)求攻擊:在Portal認(rèn)證模式下,Portal認(rèn)證服務(wù)器會(huì)攔截用戶的HTTP請(qǐng)求,予以重定向,返回認(rèn)證頁面,實(shí)際情況下,非瀏覽器的行為發(fā)生的HTTP請(qǐng)求相當(dāng)多,如后臺(tái)運(yùn)行的軟件更新請(qǐng)求,這些大量的、無效的HTTP請(qǐng)求會(huì)嚴(yán)重降低認(rèn)證服務(wù)器的性能,直接導(dǎo)致認(rèn)證頁面遲遲不能打開,在密集場所,此現(xiàn)象更為突出,建議部署一臺(tái)跳轉(zhuǎn)服務(wù)器,專門用戶處理HTTP請(qǐng)求。

同頻干擾問題:目前業(yè)界采用的微蜂窩技術(shù)(以junipe、銳捷、H3C等廠家)和同頻部署技術(shù)(梅魯)。微蜂窩技術(shù)類似于GSM基站的安放模式,合理選點(diǎn),降低功率,相鄰信道隔開,使用頻分和時(shí)分技術(shù);梅魯?shù)耐l部署由于同一片區(qū)域內(nèi)AP都工作于同一頻率,無需頻分,只需要時(shí)分技術(shù),同時(shí)時(shí)分技術(shù)也是梅魯最先提出并實(shí)現(xiàn)的,由于同頻工作的原理,決定了AC的負(fù)載變大,待機(jī)數(shù)量減少,且如果是本地轉(zhuǎn)發(fā),各AP需要接受AC的策略協(xié)商處理轉(zhuǎn)發(fā)。

vlan劃分與用戶認(rèn)證:如果所有的AP處于同一vlan下,用戶不存在vlan之間的漫游,在AP間切換時(shí),無需再次認(rèn)證,但此時(shí)來自網(wǎng)絡(luò)的風(fēng)暴會(huì)影響無線網(wǎng)絡(luò)的正常運(yùn)行,且不能定位到用戶所在區(qū)域信息;將AP按區(qū)域劃分到不同的vlan,用戶在vlan間切換時(shí),如果不做特殊處理,認(rèn)證設(shè)備需要用戶重新認(rèn)證,用戶體驗(yàn)不好。

5無線產(chǎn)品測試環(huán)節(jié)

無線產(chǎn)品的測試是理性的獲知產(chǎn)品的性能,為后期的招標(biāo)提供參考依據(jù),從純粹測試的角度出發(fā),逐項(xiàng)功能測試是不可行的,學(xué)校不是測試機(jī)構(gòu),也不具有專業(yè)的測試設(shè)備,一般會(huì)選擇關(guān)注的要素進(jìn)行測試。在學(xué)校制定的測試項(xiàng)中,接入能力、吞吐率以及并發(fā)用戶數(shù)是必須要測試的,這些是由區(qū)域的高密度接入所決定的,同時(shí)為了公平起見,建議由校方準(zhǔn)備測試終端,避免測試廠商疑慮對(duì)方的測試終端是不是特別優(yōu)化過。

6無線校園網(wǎng)的運(yùn)維管理

無線校園網(wǎng)屬于基礎(chǔ)網(wǎng)絡(luò),建議校方行政規(guī)定要有絕對(duì)的控制權(quán),不宜由運(yùn)營商獨(dú)建,即使是共建模式,應(yīng)確保設(shè)備以及線路都屬于校方,出于校內(nèi)安全問題的考慮,線路的運(yùn)維由校方負(fù)責(zé),運(yùn)營商分?jǐn)傔\(yùn)維費(fèi)用。

(1)有線無線一體化。包含運(yùn)維一體化、資費(fèi)一體化等。在現(xiàn)有運(yùn)維管理軟件中要體現(xiàn)出無線設(shè)備的狀態(tài),監(jiān)控POE交換機(jī)的工作狀態(tài),及時(shí)定位故障AP;有線、無線的計(jì)費(fèi)應(yīng)使用一套計(jì)費(fèi)系統(tǒng),有線最佳的計(jì)費(fèi)策略是計(jì)時(shí),而無線的最佳計(jì)費(fèi)策略是計(jì)流量,這是由他們的使用場景所決定的。進(jìn)行適當(dāng)?shù)膿Q算,以精簡的計(jì)費(fèi)策略供用戶選擇,不僅方便用戶,更在運(yùn)維層面減少大量工作。

(2)無線網(wǎng)絡(luò)精細(xì)化管理??紤]到不同區(qū)域,不同時(shí)間,不同用戶組,認(rèn)證系統(tǒng)需要和無線網(wǎng)管系統(tǒng)相互配合,動(dòng)態(tài)下發(fā)控制策略,滿足不同群體的需求,如接入保密區(qū)域的終端不能上外網(wǎng),離開之后,接入其他AP則可以訪問Internet;考試期間,教學(xué)樓里面的無線對(duì)學(xué)生而言只能上校園網(wǎng),而教師則可以接入外網(wǎng)等。

第5篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

【關(guān)鍵詞】校園網(wǎng) 虛擬化 VMware vSphere 測試

【中圖分類號(hào)】G434 【文獻(xiàn)標(biāo)識(shí)碼】B 【文章編號(hào)】2095-3089(2014)7-0236-03

目前校園網(wǎng)在前期的系統(tǒng)架構(gòu)建設(shè)中,一般都依托IT 技術(shù)的發(fā)展,大多建立了基于服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、終端和各類應(yīng)用系統(tǒng)的IT傳統(tǒng)架構(gòu)。隨著信息化建設(shè)的進(jìn)行,往往形成有十幾套隨著數(shù)十套各類應(yīng)用系統(tǒng)在傳統(tǒng)IT架構(gòu)上運(yùn)行。這對(duì)整個(gè)運(yùn)維工作帶來了巨大的挑戰(zhàn)。然而隨著全球IT技術(shù)的快速發(fā)展,虛擬化架構(gòu)的出現(xiàn)和應(yīng)用被逐漸證明是更加適應(yīng)各類企業(yè)、學(xué)校、政府等的IT架構(gòu),同時(shí)也更加綠色環(huán)保,并且在管理上也更加的快捷、方便。本文以VMware公司所開發(fā)的VMware vSphere在校園網(wǎng)中的適用性進(jìn)行探究。

1、傳統(tǒng)校園網(wǎng)IT架構(gòu)的特點(diǎn)及主要存在的問題

1.1 校園網(wǎng)IT架構(gòu)特點(diǎn)

校園網(wǎng)的建設(shè)是為學(xué)校教學(xué)、教育科研提供優(yōu)質(zhì)的網(wǎng)絡(luò)化教學(xué)環(huán)境服務(wù)的,是具有交互功能和專業(yè)性較強(qiáng)的計(jì)算機(jī)局域網(wǎng)絡(luò)。除了有必備的硬件設(shè)備和操作系統(tǒng)平臺(tái)外,還提供多媒體教學(xué)資源、教師備課系統(tǒng)、電子圖書閱覽檢索、多媒體教學(xué)軟件開發(fā)平臺(tái)、校園網(wǎng)站和教學(xué)資源網(wǎng)站建設(shè)、教學(xué)教務(wù)管理及行政事務(wù)管理等。并且提供包括提供Internet服務(wù)、遠(yuǎn)程教育服務(wù)、電子論壇、視頻會(huì)議等通信功能。因此,校園網(wǎng)是集有教學(xué)、管理、通信等三大功能為一體的綜合性網(wǎng)絡(luò)架構(gòu)。

1.2 主要面臨的問題

1.2.1服務(wù)器資源沒有充分利用

由于校園網(wǎng)承擔(dān)了多樣化的任務(wù),因此在建設(shè)中往往在購買服務(wù)器的一般都按較高配置采購,以保障應(yīng)用在高峰期能夠正常使用并為后續(xù)使用負(fù)載留足資源。但如此一來服務(wù)器資源有相當(dāng)部分沒有得到充分的利用,特別是在非高峰期時(shí)。一般來說在90%的非高峰期內(nèi),有70%的服務(wù)器資源的閑置的,實(shí)際利用的只有30%左右。這樣不僅造成了資源的浪費(fèi)和運(yùn)維費(fèi)用的高企,還使得管理人員運(yùn)行維護(hù)工作量和難度的增加,對(duì)整體系統(tǒng)穩(wěn)定運(yùn)行也埋下了隱患。

1.2.2 應(yīng)用服務(wù)多元化

隨著信息系統(tǒng)的建設(shè),各類應(yīng)用服務(wù)不斷增多,校園網(wǎng)中不僅有基于B/S模式系統(tǒng)結(jié)構(gòu)的,也有基于C/S模式系統(tǒng)結(jié)構(gòu)的。并且這些應(yīng)用系統(tǒng)對(duì)操作系統(tǒng)、數(shù)據(jù)庫等需求不一,開發(fā)環(huán)境各異,如JSP、ASP、PHP等。

1.2.3 業(yè)務(wù)連續(xù)性存在隱患

由于傳統(tǒng)系統(tǒng)架構(gòu)一般都采用硬件+操作系統(tǒng)+應(yīng)用系統(tǒng)的構(gòu)架,一旦其中有一項(xiàng)出現(xiàn)問題都會(huì)對(duì)業(yè)務(wù)的連續(xù)性造成很大的影響。雖然也有相應(yīng)的技術(shù)方案和備份系統(tǒng),但實(shí)際實(shí)施成本較高,難度大,并且恢復(fù)時(shí)間也相對(duì)較長。

2、VMware vSphere系統(tǒng)架構(gòu)

2.1 vSphere的體系結(jié)構(gòu)

VMware vSphere設(shè)計(jì)為將整個(gè) IT 基礎(chǔ)架構(gòu)(如服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò))實(shí)現(xiàn)虛擬化。vSphere是一個(gè)整體架構(gòu)而非單個(gè)產(chǎn)品,它將這些不同種類的資源組合起來,使嚴(yán)密、不靈活的基礎(chǔ)架構(gòu)得以轉(zhuǎn)換為位于虛擬化環(huán)境中的簡單、統(tǒng)一、易于管理的組件集合。在邏輯上其由三個(gè)層構(gòu)成:虛擬化層、管理層和界面層。

2.2 vSphere 數(shù)據(jù)中心

典型的 vSphere 數(shù)據(jù)中心包含多種基本物理構(gòu)造塊,如 x86 計(jì)算服務(wù)器、存儲(chǔ)網(wǎng)絡(luò)和陣列、IP 網(wǎng)絡(luò)、管理服務(wù)器和桌面客戶端。它包含以下組件:

計(jì)算服務(wù)器:計(jì)算服務(wù)器是指在裸機(jī)上運(yùn)行 ESXi 的業(yè)界標(biāo)準(zhǔn) x86 服務(wù)器。ESXi 軟件運(yùn)行虛擬機(jī)并為其提供資源。

存儲(chǔ)網(wǎng)絡(luò)和陣列: 光纖通道存儲(chǔ)區(qū)域網(wǎng)絡(luò) (FC SAN) 陣列、iSCSI(小型計(jì)算機(jī)系統(tǒng)接口)SAN 陣列和網(wǎng)絡(luò)連接存儲(chǔ) (NAS) 陣列是 vSphere 支持且廣泛應(yīng)用的存儲(chǔ)技術(shù),可滿足不同數(shù)據(jù)中心的存儲(chǔ)需求。

IP 網(wǎng)絡(luò):每個(gè)計(jì)算服務(wù)器都可擁有多個(gè)物理網(wǎng)絡(luò)適配器,并以此為整個(gè) vSphere 數(shù)據(jù)中心提供高帶寬和可靠的網(wǎng)絡(luò)。

vCenter Server:借助 vCenter Server,可以對(duì)數(shù)據(jù)中心進(jìn)行單點(diǎn)控制。它提供基本的數(shù)據(jù)中心服務(wù),如訪問控制、性能監(jiān)視以及配置。它可將各個(gè)計(jì)算服務(wù)器的資源整合起來,以供整個(gè)數(shù)據(jù)中心內(nèi)的虛擬機(jī)共享。

管理客戶端:vSphere 5.0 為數(shù)據(jù)中心管理和虛擬機(jī)訪問提供許多界面,如 vSphere Client 和 vSphere Web Client。

2.3 vSphere的分布式服務(wù)

vSphere的分布式服務(wù),如 vSphere vMotion、vSphere Storage vMotion、vSphere DRS、vSphere Storage DRS、Storage I/O Control、VMware HA 和 Fault Tolerance,這些資源可實(shí)現(xiàn)虛擬機(jī)的高效自動(dòng)化資源管理和高可用性。

vMotion 實(shí)現(xiàn)了虛擬機(jī)在物理服務(wù)器間的實(shí)時(shí)遷移,真正地使操作系統(tǒng)和應(yīng)用程序的工作負(fù)載不再受限于底層物理硬件。Storage vMotion則可在不停機(jī)的情況下將虛擬機(jī)的存儲(chǔ)實(shí)時(shí)遷移到新的數(shù)據(jù)存儲(chǔ)中。DRS通過跨物理主機(jī)平衡 CPU 和內(nèi)存工作負(fù)載,將物理主機(jī)集群作為單個(gè)計(jì)算資源進(jìn)行管理。VMware HA 對(duì)虛擬機(jī)駐留所在的 ESXi 主機(jī)進(jìn)行池化,形成一個(gè)集群,從而為虛擬機(jī)和其中運(yùn)行的應(yīng)用程序提供高可用性。集群中的主機(jī)將受到持續(xù)監(jiān)視。發(fā)生故障時(shí),故障主機(jī)上的虛擬機(jī)將會(huì)試圖在其他主機(jī)上重新啟動(dòng)。Fault Tolerance(FT)通過創(chuàng)建一個(gè)虛擬機(jī)一個(gè)完全相同的副本,實(shí)現(xiàn)了兩個(gè)虛擬機(jī)保持相同狀態(tài),可以在一臺(tái)虛擬機(jī)出現(xiàn)問題時(shí),進(jìn)行零宕機(jī)切換。

3、VMware vSphere系統(tǒng)在校園網(wǎng)適用性測試

對(duì)于VMware vSphere系統(tǒng)是否在校園網(wǎng)中適用,擬主要從系統(tǒng)穩(wěn)定性、系統(tǒng)故障切換等方面進(jìn)行測試。

3.1 測試環(huán)境搭建

測試環(huán)境服務(wù)器采用2臺(tái)Dell R520服務(wù)器,分別命名為VM1和VM2。其主要配置為2*E5-2420(1.90GHz)、 16GB內(nèi)存、300GB*2 SAS硬盤、H310 RAID卡及雙千兆網(wǎng)卡。存儲(chǔ)設(shè)備采用1臺(tái)支持iSCSI的希捷NAS,容量為4TB。服務(wù)器安裝Dell官網(wǎng)的EXSi 5.5系統(tǒng),并通過iSCSI與NAS相連,虛擬機(jī)文件均存儲(chǔ)在NAS上。另用一臺(tái)服務(wù)器安裝VMware vCenter用于配置、管理、監(jiān)控EXSi主機(jī),并根據(jù)實(shí)際情況進(jìn)行相關(guān)網(wǎng)絡(luò)方面配置,以保障網(wǎng)絡(luò)連通性和網(wǎng)絡(luò)帶寬。

3.2 系統(tǒng)穩(wěn)定性測試

對(duì)于系統(tǒng)穩(wěn)定性方面的測試主要從VMware EXSi主機(jī)和在其中運(yùn)行的虛擬機(jī)兩方面進(jìn)行。主要測試其在系統(tǒng)高負(fù)載工作狀態(tài)下,系統(tǒng)的穩(wěn)定性。測試方法為在虛擬機(jī)連續(xù)運(yùn)行拷機(jī)軟件48小時(shí),期間觀察VMware EXSi主機(jī)和虛擬機(jī)的狀態(tài),并在測試結(jié)束后檢查VMware EXSi主機(jī)和虛擬機(jī)是否還能正常工作。

首先在一臺(tái)VM1主機(jī)新建2臺(tái)Windows2008 R2虛擬機(jī)和1臺(tái)Linux 虛擬機(jī),每臺(tái)虛擬機(jī)分配8個(gè)CPU內(nèi)核和4G內(nèi)存。然后在Windows2008 R2虛擬機(jī)上運(yùn)行Prime95軟件,在Linux虛擬機(jī)上運(yùn)行mPrime軟件,軟件運(yùn)行參數(shù)均設(shè)為默認(rèn)值,運(yùn)行時(shí)間為48小時(shí)。

經(jīng)過實(shí)際測試,在拷機(jī)過程中,在vCenter上會(huì)持續(xù)報(bào)警VM1主機(jī)CPU利用率異常,并從監(jiān)控界面上可以看到VMware EXSi主機(jī)CPU利用率一直維持100%,但對(duì)主機(jī)操作、功能均正常進(jìn)行??綑C(jī)48小時(shí)后,3臺(tái)虛擬機(jī)也均正常運(yùn)行,未出現(xiàn)異?,F(xiàn)象。測試結(jié)果表明,VMware vSphere系統(tǒng)在高負(fù)載環(huán)境無論主機(jī)和虛擬機(jī)均能穩(wěn)定運(yùn)行,可以滿足校園網(wǎng)的需求,在將多臺(tái)物理服務(wù)器合并到一起時(shí)能保障運(yùn)行的穩(wěn)定性。

3.3 系統(tǒng)故障切換測試

對(duì)系統(tǒng)故障切換測試主要是考察VMware HA是否能及時(shí)發(fā)現(xiàn)故障主機(jī)和及時(shí)進(jìn)行故障切換。測試方法是將VM1主機(jī)連接的網(wǎng)線拔除,模擬主機(jī)發(fā)生故障,測試vCenter能否在第一時(shí)間發(fā)現(xiàn)并及時(shí)將在VM1上運(yùn)行的虛擬機(jī)切換到VM2上重新啟動(dòng)運(yùn)行。

首先在vCenter中將VM1和VM2兩臺(tái)主機(jī)加入同一個(gè)集群中,并在集群中新建1臺(tái)虛擬機(jī)(命名為TestHost1),并手動(dòng)指定其在VM1主機(jī)中運(yùn)行。當(dāng)虛擬機(jī)在VM1中正常啟動(dòng)后,使用一臺(tái)終端持續(xù)Ping虛擬機(jī)IP地址。之后將VM1主機(jī)的網(wǎng)線拔除,模擬主機(jī)出現(xiàn)故障。這時(shí)觀察到vCenter立刻報(bào)警VM1主機(jī)離線,并且顯示TestHost1在VM2上重新啟動(dòng)。同時(shí)Ping命令在顯示超時(shí)丟包5個(gè)以后,重新ping通,并且遠(yuǎn)程登錄TestHost1測試,系統(tǒng)正常。測試表明VMware HA可以在一臺(tái)主機(jī)發(fā)生故障時(shí)能在很短時(shí)間內(nèi)對(duì)系統(tǒng)進(jìn)行切換,縮短業(yè)務(wù)中斷時(shí)間,可以滿足校園網(wǎng)對(duì)于業(yè)務(wù)連續(xù)性的要求。

對(duì)于Fault Tolerance(FT)功能,筆者也對(duì)其進(jìn)行了測試,方法和環(huán)境同上,只是對(duì)于虛擬機(jī)有特殊要求,如只能配置為單個(gè)CPU,不能使用快照功能,不能使用3D視頻功能,不支持storage vMotion,DRS自動(dòng)配置為禁用,不支持USB和聲音,不支持網(wǎng)卡直通等。測試過程中,Ping命令始終顯示正常,只是在進(jìn)行切換時(shí)有個(gè)相對(duì)較高的數(shù)據(jù)包延遲。結(jié)果表明Fault Tolerance(FT)可以在服務(wù)完全不中斷的情況下進(jìn)行故障主機(jī)切換。這對(duì)于性能要求不高,但對(duì)連續(xù)性要求高的應(yīng)用適用該功能。

4、結(jié)語

VMware vSphere虛擬架構(gòu)不僅降低了運(yùn)營和維護(hù)成本,無論從數(shù)據(jù)中心的空間、服務(wù)器數(shù)量、電力消耗、空調(diào)和人力成本各方面都有顯著改善;而且也大大的提高了效率,減少了新應(yīng)用部署的時(shí)間,大大降低了服務(wù)器重建的時(shí)間。并且vCenter還提供了集中化管理、自動(dòng)化操作、資源優(yōu)化和高可用性。提升了數(shù)據(jù)中心的響應(yīng)能力、維護(hù)效率和可靠性級(jí)別。

參考文獻(xiàn):

[1] VMware.VMware vSphere 文檔.,2014-5-5

[2] 陳斌.VMware 服務(wù)器虛擬架構(gòu)解決方案在數(shù)字圖書館中的應(yīng)用[J] .農(nóng)業(yè)圖書情報(bào)學(xué)刊,2012(09):70-73

第6篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

關(guān)鍵詞:校園網(wǎng);網(wǎng)速度慢;網(wǎng)絡(luò)安全;認(rèn)證服務(wù)器;防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2011)20-4838-02

2010年3月致5月,廣州城建職業(yè)學(xué)院學(xué)院進(jìn)行了網(wǎng)絡(luò)管理系統(tǒng)的升級(jí)整改工作,作者有幸參與了校園網(wǎng)第三期工程方案的規(guī)劃、設(shè)計(jì)并組織參與了整個(gè)項(xiàng)目的招標(biāo)、評(píng)標(biāo)、工程建設(shè)、并承擔(dān)了該網(wǎng)絡(luò)的運(yùn)維工作,該三期網(wǎng)絡(luò)項(xiàng)目共投入經(jīng)費(fèi)275萬元。該項(xiàng)目的具體介紹如下:

1 網(wǎng)絡(luò)現(xiàn)況

1.1 覆蓋范圍

該校園網(wǎng)于1999年開始建設(shè),經(jīng)過一二期的建設(shè),已有信息點(diǎn)15000余個(gè),網(wǎng)絡(luò)采用了三層網(wǎng)絡(luò)架構(gòu),信息點(diǎn)都采用了UTP5 類雙絞線連接致接入交換機(jī)、接入交換機(jī)有實(shí)達(dá)1926+和部分長城6126承擔(dān)。接入層交換機(jī)通過雙絞線匯入到每層的匯聚交換機(jī)上,匯聚交換機(jī)有CISCO3550承擔(dān),匯聚交換機(jī)再通過單模光纖接入核心交換機(jī)4006上。該校共有兩個(gè)校區(qū),校區(qū)之間相距大概1公里左右,校區(qū)面積加起來共有1000余畝。,校園內(nèi)共有14棟樓房,4棟是學(xué)生宿舍樓,3棟教師宿舍樓,2棟教學(xué)樓,實(shí)訓(xùn)樓(1樓是圖書館和電子閱覽室,2樓是實(shí)驗(yàn)教室,3到7樓是計(jì)算機(jī)教室,其中4樓為校園網(wǎng)絡(luò)中心)、辦公樓、體育館、商店、學(xué)生食堂各有1棟,樓與樓之間的距離:40-1000米;園內(nèi)有管道敷設(shè)。

1.2 信息點(diǎn)的特點(diǎn)

這方面的需求不同學(xué)校有著明顯不同,大體都可以分為,教學(xué)、辦公、服務(wù)這四方面應(yīng)用。如對(duì)教學(xué)、科研方面的網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮穩(wěn)定、擴(kuò)展、安全等問題;辦公、服務(wù)等帶寬是要著重考慮的方面,所以學(xué)校應(yīng)該根據(jù)自己的實(shí)際情況來考慮網(wǎng)絡(luò)的結(jié)構(gòu),及安全問題。

1.3 軟硬件配置

接入交換機(jī)由實(shí)達(dá)1926+和部分長城6126承擔(dān),匯聚層交換機(jī)由CISCO3550承擔(dān),匯聚交換機(jī)再通過單模光釬接入核心交換機(jī)CISCO 4006上。網(wǎng)關(guān)由redhat9.0服務(wù)器承擔(dān),在此上運(yùn)行了NAT和計(jì)費(fèi)軟件。出口有兩個(gè)分別是100M的chinanet電信網(wǎng)絡(luò)和10M的cernet教育網(wǎng)絡(luò)。

1.4 當(dāng)前管理模式

由于校園網(wǎng)絡(luò)采用基于IP網(wǎng)關(guān)的認(rèn)證計(jì)費(fèi)方式,網(wǎng)絡(luò)用戶登錄外網(wǎng)必須在網(wǎng)關(guān)出口處認(rèn)證,網(wǎng)絡(luò)使用高峰時(shí)段網(wǎng)絡(luò)系統(tǒng)出現(xiàn)瓶頸,導(dǎo)致網(wǎng)絡(luò)用戶登錄外網(wǎng)困難、上網(wǎng)掉線。無管理軟件,全是管理人員手工進(jìn)行管理。

2 當(dāng)前存在的管理問題

2.1 網(wǎng)速問題

開學(xué)以來新開用戶劇增,總用戶數(shù)量較大,較前期最高增加30%,最大同時(shí)在線人數(shù)已達(dá)6000以上,現(xiàn)有校園網(wǎng)絡(luò)系統(tǒng)(網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)系統(tǒng)、出口帶寬、交換設(shè)備等)不堪重負(fù),已超出其使用極限,網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)設(shè)備在近期的運(yùn)行中暴露出諸多問題,主要表現(xiàn)在:

2.1.1 網(wǎng)絡(luò)結(jié)構(gòu)不合理

由于校園網(wǎng)絡(luò)采用基于IP網(wǎng)關(guān)的認(rèn)證計(jì)費(fèi)方式,網(wǎng)絡(luò)用戶登錄外網(wǎng)必須在網(wǎng)關(guān)出口處認(rèn)證,網(wǎng)絡(luò)使用高峰時(shí)段網(wǎng)絡(luò)系統(tǒng)出現(xiàn)瓶頸,導(dǎo)致網(wǎng)絡(luò)用戶登錄外網(wǎng)困難、上網(wǎng)掉線;

2.1.2 網(wǎng)絡(luò)主要設(shè)備性能不夠

由于專用的路由和NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)硬件設(shè)備由服務(wù)器替代,網(wǎng)絡(luò)使用高峰時(shí)段服務(wù)器資源利用率接近100%,導(dǎo)致用戶上網(wǎng)速度慢,打開網(wǎng)頁困難;

2.1.3 網(wǎng)絡(luò)出口帶寬不夠

現(xiàn)有出口帶寬(CHIANNET:100M,CERNET:10M)不能滿足現(xiàn)有校園網(wǎng)絡(luò)用戶的上網(wǎng)要求,網(wǎng)絡(luò)使用高峰時(shí)段出口帶寬一直處于滿負(fù)載狀態(tài);

2.2 網(wǎng)絡(luò)安全問題

網(wǎng)絡(luò)整體安全性較差:在校園網(wǎng)絡(luò)前期建設(shè)中使用的交換機(jī)性能較好,但無法進(jìn)行有效的網(wǎng)絡(luò)安全管理,盜用IP地址、利用ARP欺騙、私設(shè)等情況日益嚴(yán)重;

2.3 網(wǎng)絡(luò)失控

網(wǎng)絡(luò)管理難度加大:隨著接入用戶的增加,無論是維護(hù)、收費(fèi)還是管理難度越來越大,網(wǎng)絡(luò)設(shè)備的維護(hù)工作量劇增;內(nèi)網(wǎng)資源少:校園網(wǎng)絡(luò)沒有建立內(nèi)網(wǎng)資源庫、學(xué)習(xí)資源庫平臺(tái)、安全穩(wěn)定的郵件系統(tǒng),為用戶提供的應(yīng)用服務(wù)少。在校園網(wǎng)絡(luò)前期建設(shè)中使用的交換機(jī)性能較好,但無法進(jìn)行有效的網(wǎng)絡(luò)安全管理,盜用IP地址、利用ARP欺騙、私設(shè)等情況日益嚴(yán)重;

現(xiàn)有出口帶寬(CHIANNET:100M,CERNET:10M)不能滿足現(xiàn)有校園網(wǎng)絡(luò)用戶的上網(wǎng)要求,網(wǎng)絡(luò)使用高峰時(shí)段出口帶寬一直處于滿負(fù)載狀態(tài);由于專用的路由和NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)硬件設(shè)備由服務(wù)器替代,網(wǎng)絡(luò)使用高峰時(shí)段服務(wù)器資源利用率接近100%,導(dǎo)致用戶上網(wǎng)速度慢,打開網(wǎng)頁困難。

3 整改思路

根據(jù)此種情況,計(jì)劃在近期進(jìn)行校園網(wǎng)的改造升級(jí),提出了校園網(wǎng)的升級(jí)改造要求:

1) 校園網(wǎng)是應(yīng)用為主的一項(xiàng)基本建設(shè)工程,校園網(wǎng)應(yīng)將其根本目的定位在為教學(xué)、科研、管理及生活服務(wù)上,以滿足學(xué)校事業(yè)發(fā)展為第一目的;

2) 根據(jù)學(xué)校的財(cái)政狀況,不盲目追求設(shè)備的先進(jìn)性,而注重投資的效益;

3) 充分利用先進(jìn)的網(wǎng)絡(luò)技術(shù)及設(shè)備滿足校園網(wǎng)要求,所采用的技術(shù)及設(shè)備具有滿足近期(3年內(nèi))學(xué)校發(fā)展的需求并有較大的升級(jí)改選余地;

4) 強(qiáng)化管理功能,校園網(wǎng)建設(shè)重要,管理更重要。要管理好校園網(wǎng),除了網(wǎng)管人員的專業(yè)素質(zhì)和道德水準(zhǔn)外,網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備的選擇非常重要;

5) 校園網(wǎng)絡(luò)建設(shè)的重點(diǎn)是應(yīng)用,各種網(wǎng)絡(luò)應(yīng)用與服務(wù)需要開展。

4 整改實(shí)施方案

4.1 拓?fù)浣Y(jié)構(gòu)

一個(gè)好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的設(shè)計(jì),在本次網(wǎng)絡(luò)工程方案設(shè)計(jì)中仍然采用三個(gè)層結(jié)構(gòu):接入層(訪問層)、匯聚層、以及核心層。案設(shè)計(jì)中仍然采用三個(gè)層結(jié)構(gòu):接入層(訪問層)、匯聚層、以及核心層。考慮到兩個(gè)校區(qū)人員都比較多,核心交換機(jī)CISCO 4006明顯不堪重負(fù),且南校區(qū)匯聚層都直接接入核心,南北校區(qū)之間的光纖已經(jīng)無冗余,股采購一個(gè)全新的性能高好的核心交換機(jī),把現(xiàn)在的CISCO4006潛入南區(qū),作為南區(qū)的核心交換機(jī),這樣南區(qū)以后再建網(wǎng)絡(luò)項(xiàng)目可以直接接入它即可。本次核心交換機(jī)我們選擇了銳捷RG8606三層交換機(jī),該交換機(jī)具備冗余電源模塊,有10/100/1000B ASE-T電口60個(gè),1000BASE-LX接口數(shù)40個(gè),并有擴(kuò)展槽。能夠滿足當(dāng)前以及今后3-5年需要。接入交換機(jī)選擇RG-2150G交換機(jī),該交換機(jī)具有802.1x認(rèn)證功能,具有50口,只需要20臺(tái),每臺(tái)通過雙絞線連接致匯聚交換機(jī)3550上,匯聚交換機(jī)通過光纖連接時(shí)南區(qū)的CISCO 4006上,使用多鏈路捆綁技術(shù),從而達(dá)到帶寬倍增,均衡流量等目的。

4.2 網(wǎng)絡(luò)安全控制

部署了基于802.1X的RADISU認(rèn)證服務(wù)的SAM系統(tǒng),做到全網(wǎng)統(tǒng)一身份認(rèn)證,SAM系統(tǒng)實(shí)現(xiàn)了全體學(xué)生宿舍、教師宿舍、辦公區(qū)域和公用機(jī)房的身份認(rèn)證。系統(tǒng)基于802.1X技術(shù),實(shí)現(xiàn)了對(duì)用戶對(duì)用戶的身份和IP、MAC、交換機(jī)端口、交換機(jī)IP等信息嚴(yán)格綁定,一旦出現(xiàn)安全事件,可迅速追查到人;針對(duì)網(wǎng)絡(luò)中的安全事件(網(wǎng)絡(luò)攻擊、異常數(shù)據(jù)流、蠕蟲病毒等),能夠自動(dòng)發(fā)現(xiàn),并可以依據(jù)預(yù)定的策略自動(dòng)進(jìn)行處理,保障網(wǎng)絡(luò)安全,提供強(qiáng)大的實(shí)時(shí)在線升級(jí)功能,抵御最新的網(wǎng)絡(luò)攻擊和病毒。對(duì)于存在安全問題的用戶,系統(tǒng)將自動(dòng)告警,提示用戶可能存在的問題,以及處理方式;提升用戶安全意識(shí),讓用戶切身體會(huì)到安全問題的嚴(yán)重性,網(wǎng)絡(luò)安全組件統(tǒng)一管理,協(xié)同工作。構(gòu)建一個(gè)全局安全網(wǎng)絡(luò)。整套系統(tǒng)管理簡單,后期需投入的管理工作量小,所有安全設(shè)備均旁路部署,不形成性能瓶頸和單點(diǎn)故障;部署完成后將極大的提升現(xiàn)有網(wǎng)絡(luò)性能。

4.3 出口設(shè)備的選擇

以前由于經(jīng)費(fèi)問題沒有購買硬件網(wǎng)關(guān),出口網(wǎng)關(guān)一直有一臺(tái)安裝了LINUX9.0的IBM@346服務(wù)器承擔(dān),在其上配置IPTABLES實(shí)現(xiàn)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換和實(shí)現(xiàn)簡單網(wǎng)路安全功能。但是由于上網(wǎng)認(rèn)識(shí)的增多,網(wǎng)絡(luò)使用高峰階段,服務(wù)器CPU資源使用率接近100%,導(dǎo)致用戶上網(wǎng)速度慢,打開網(wǎng)頁困難,況且也不安全。所以這次我們采用了銳捷公司的RG-1600防火墻,該防火墻具有10/100/1000base-T端口4個(gè),吞吐量達(dá)到2GBbps,最大并發(fā)連接數(shù)達(dá)到2000000,每秒鐘新建連接數(shù)也大于50000,VPN隧道數(shù)大于5000個(gè),策略數(shù)大于10000個(gè)。部署以后,不再是網(wǎng)絡(luò)瓶頸。隨后我們?cè)诜阑饓ι蠁⒂昧朔廊湎x病毒功能,啟用了對(duì)常見P2P軟件的流量限制功能,保證率網(wǎng)絡(luò)帶寬的合理利用,由于學(xué)員有電信和教育網(wǎng)雙出口,我們亦在防火墻上開啟了策略路由和負(fù)載均衡技術(shù)。

4.4 網(wǎng)絡(luò)管理模式

目前,GSN系統(tǒng)正在對(duì)全網(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。通過這種實(shí)時(shí)全網(wǎng)偵測,可以在第一時(shí)間內(nèi)將網(wǎng)絡(luò)異常現(xiàn)象通過接入層隔離出網(wǎng)絡(luò),使得網(wǎng)絡(luò)異?,F(xiàn)象完全不影響核心網(wǎng)絡(luò);在發(fā)現(xiàn)安全問題后能自動(dòng)對(duì)用戶進(jìn)行安全事件告警,并迅速根據(jù)用戶身份選擇將用戶隔離到安全修復(fù)區(qū)域或自動(dòng)阻斷異常數(shù)據(jù)流。該系統(tǒng)部署完成后一個(gè)月的穩(wěn)定運(yùn)行中,對(duì)網(wǎng)絡(luò)內(nèi)的安全事件和網(wǎng)絡(luò)病毒進(jìn)行了有效抑止,最直接的例證就是:全國蔓延并造成嚴(yán)重影響的各種病毒,在我學(xué)就悄然無聲。另外,通過GSN的主機(jī)完整性(Host Integrity)規(guī)則約定了對(duì)用戶主機(jī)的準(zhǔn)入標(biāo)準(zhǔn)。通過GSN先進(jìn)的“免疫型”防ARP欺騙/攻擊手段,能夠徹底解決ARP攻擊帶來的斷網(wǎng)事件的發(fā)生。

從系統(tǒng)提供的安全事件的統(tǒng)計(jì)報(bào)表對(duì)比來看,學(xué)校園網(wǎng)絡(luò)中的安全事件已經(jīng)較部署前有了大幅度的減少,網(wǎng)絡(luò)質(zhì)量得到了顯著改善,校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識(shí)也有了很大的提升。GSN系統(tǒng)極大保證了網(wǎng)絡(luò)的安全性,提升了網(wǎng)絡(luò)管理效率。

4.5 傳輸介質(zhì)

我們學(xué)院分為南北兩個(gè)校區(qū),相距1公里左右,且中間有高速公路隔開,網(wǎng)絡(luò)信息中心在北區(qū)辦公樓605室,在這次方案中有新建網(wǎng)網(wǎng)絡(luò)項(xiàng)目分別是汽車試驗(yàn)大樓和南區(qū)2棟學(xué)生宿舍大樓,故在本次方案中匯聚層交換機(jī)與核心層交換機(jī)使用單模光纖,匯聚層交換機(jī)與接入層交換機(jī)以及接入層交換機(jī)到桌面都在一棟大樓內(nèi),距離沒有查過100米,故采用超5類非屏蔽雙絞線,100Mbps帶寬。

5 結(jié)束語

本校園網(wǎng)三期擴(kuò)建改造項(xiàng)目于2010年5月25日基本完工,并投入運(yùn)行。并與8月25日驗(yàn)收通過,并對(duì)對(duì)結(jié)構(gòu)化布線工程的光纖及雙絞線性能參數(shù)、網(wǎng)絡(luò)流量進(jìn)行了相關(guān)測試。本工程項(xiàng)目加快了網(wǎng)絡(luò)速度,加強(qiáng)了網(wǎng)絡(luò)安全,得到了學(xué)院領(lǐng)導(dǎo)和學(xué)生用戶的一致好評(píng)。

參考文獻(xiàn):

[1] 陶嘉慶.信息安全保障建設(shè)時(shí)間的思考[J].廣播與電視技術(shù),2007(8):136-137.

第7篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;分布式拒絕服務(wù)攻擊;流量控制;流量清洗

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology, Anhui University Finance & Economics, Bengbu 233041, China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status, the establishment of a business model, a flow of cleaning equipment functional requirements, design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology, trigger technology, clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,各類政府部門、高校、科研機(jī)構(gòu)信息化水平的持續(xù)提高,各項(xiàng)業(yè)務(wù)對(duì)于互聯(lián)網(wǎng)的依賴性越來越大。同時(shí),由于網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)攻擊手段的不斷發(fā)展和演變,使得這類用戶的互聯(lián)網(wǎng)業(yè)務(wù)面臨著極大的威脅和風(fēng)險(xiǎn)。其中,分布式拒絕服務(wù)型攻擊(Distributed Denial of Services,簡稱DDoS攻擊)是目前互聯(lián)網(wǎng)中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊不但能夠給各類互聯(lián)網(wǎng)用戶和服務(wù)提供商造成業(yè)務(wù)中斷、系統(tǒng)癱瘓等嚴(yán)重后果,同時(shí)也嚴(yán)重威脅到高校校園網(wǎng)的基礎(chǔ)設(shè)施。

目前,由于商業(yè)競爭、政治情緒、經(jīng)濟(jì)勒索等因素的驅(qū)動(dòng),DDoS攻擊越來越呈現(xiàn)出組織化、規(guī)模化、專業(yè)化的特點(diǎn),攻擊流量動(dòng)輒數(shù)G、十幾G,攻擊頻率也大有愈演愈烈之勢。在這種緊迫形勢下,配合當(dāng)前數(shù)字化校園的建設(shè)戰(zhàn)略,建設(shè)專門的DDoS 攻擊流量監(jiān)測和清洗平臺(tái)是一個(gè)必然之選?;谠撈脚_(tái),一方面可以為校園網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障,有效提高校園網(wǎng)網(wǎng)絡(luò)的健壯性;另一方面能夠結(jié)合數(shù)字化校園應(yīng)用系統(tǒng)的安全需求提供DDoS 攻擊的防護(hù)業(yè)務(wù),從而達(dá)到提高網(wǎng)絡(luò)帶寬高利用率和網(wǎng)絡(luò)高可用性的目的。

1 校園網(wǎng)網(wǎng)絡(luò)現(xiàn)狀

在網(wǎng)絡(luò)資源方面,現(xiàn)在高校校園網(wǎng)通過多期擴(kuò)容工程,已經(jīng)形成了核心、匯接、接入三個(gè)網(wǎng)絡(luò)層次,這種清晰的網(wǎng)絡(luò)層次,給實(shí)施流量的監(jiān)控、控制提供了良好的網(wǎng)絡(luò)基礎(chǔ)。在設(shè)備資源方面,各高校校園網(wǎng)核心層以及匯接層大部分采用了Cisco、Juniper、華為等主流廠商的高端設(shè)備,支持Netflow功能,性能上可以提供保障,支持DDoS 攻擊防護(hù)平臺(tái)的建設(shè)實(shí)施。

可以說,目前高校校園網(wǎng)網(wǎng)絡(luò)已經(jīng)具備了建設(shè)DDoS 攻擊防護(hù)平臺(tái)所需要的網(wǎng)絡(luò)和設(shè)備資源。除此之外,需要相關(guān)的管理部門盡量落實(shí)建設(shè)方案,包括規(guī)劃、設(shè)計(jì)、實(shí)施以及業(yè)務(wù)維護(hù)等各個(gè)環(huán)節(jié)所涉及的服務(wù)隊(duì)伍。

高校校園網(wǎng)網(wǎng)絡(luò)分為核心層、匯接層、邊緣層和業(yè)務(wù)層,核心層、匯接層、邊緣層節(jié)點(diǎn)根據(jù)業(yè)務(wù)發(fā)展需要配置相應(yīng)檔次的路由器。核心節(jié)點(diǎn)設(shè)備及之間的互連鏈路、核心節(jié)點(diǎn)設(shè)備與匯接節(jié)點(diǎn)設(shè)備的互連鏈路以及匯接節(jié)點(diǎn)的設(shè)備組成的網(wǎng)絡(luò)定義為骨干層。校園網(wǎng)網(wǎng)絡(luò)的其他部分為接入層,具體包括各接入節(jié)點(diǎn)設(shè)備間互連鏈路、接入節(jié)點(diǎn)設(shè)備與邊緣層設(shè)備的互連鏈路。

2 業(yè)務(wù)需求分析

2.1 用戶分析

目前,各高校校園網(wǎng)通常通過互聯(lián)網(wǎng)向外提供各種應(yīng)用和業(yè)務(wù),如網(wǎng)站門戶、遠(yuǎn)程教學(xué)、電子郵件、教學(xué)科研管理等等。他們對(duì)業(yè)務(wù)的連續(xù)性要求較高,DDoS 攻擊造成的業(yè)務(wù)中斷會(huì)對(duì)高校造成非常大的經(jīng)濟(jì)或社會(huì)利益的損失。高校校園網(wǎng)內(nèi)部也需要建立一套有效的異常流量監(jiān)控和控制機(jī)制來保護(hù)其基礎(chǔ)業(yè)務(wù)系統(tǒng)。愈演愈烈的DDoS 攻擊,可在短時(shí)間內(nèi)使網(wǎng)絡(luò)堵塞、關(guān)鍵節(jié)點(diǎn)資源耗盡,給校園網(wǎng)基礎(chǔ)業(yè)務(wù)系統(tǒng)系統(tǒng)的穩(wěn)定性、安全性帶來嚴(yán)重的威脅。

2.2 業(yè)務(wù)模型分析

DDOS 攻擊防御系統(tǒng)主要為用戶提供的業(yè)務(wù)模式為:1)長期在線檢測和清洗;2)長期在線監(jiān)測,觸發(fā)清洗。

為校園網(wǎng)所能夠提供的基礎(chǔ)服務(wù)可以包括:

1)資源預(yù)留:在DDoS 攻擊防護(hù)平臺(tái)上為校園網(wǎng)應(yīng)用保留攻擊防護(hù)所必須的資源,包括流量采樣和分析設(shè)置、流量清洗空間(空間大小根據(jù)流量清洗需求及清洗設(shè)備能力確定)、牽引/回注電路及相關(guān)網(wǎng)絡(luò)設(shè)備及其配置等。

2)制定安全基線:通過分析校園網(wǎng)業(yè)務(wù)流量特征、常見攻擊流量特征,構(gòu)建校園網(wǎng)安全基線和基礎(chǔ)攻擊防護(hù)策略。

3)7*24實(shí)時(shí)監(jiān)控:校園網(wǎng)安全專家運(yùn)維團(tuán)隊(duì)對(duì)針對(duì)校園網(wǎng)的流量進(jìn)行7*24實(shí)時(shí)采集和分析,對(duì)異常流量進(jìn)行跟蹤并記錄,對(duì)可能造成校園網(wǎng)業(yè)務(wù)中斷的惡意攻擊啟動(dòng)預(yù)警機(jī)制。

4)安全事件通告:對(duì)造成業(yè)務(wù)影響的惡意攻擊或其他異常及時(shí)以約定的響應(yīng)模式告知用戶并與用戶進(jìn)一步協(xié)商應(yīng)對(duì)策略。

5)流量分析報(bào)告:按照約定時(shí)間周期為用戶提供流量采樣的分析報(bào)告,無論此間是否收到攻擊或者啟動(dòng)過防護(hù)措施。

3 流量清洗設(shè)備功能要求

1)流量清洗設(shè)備必須滿足能夠有效防護(hù)目前常見的DDoS 攻擊類型,具體為:Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 連接耗盡、HTTP Get Flood、CC、UDP FLOOD 攻擊等。通過軟件升級(jí),以保證流量清洗設(shè)備能夠防御新型的DDoS攻擊。

2)流量清洗設(shè)備滿負(fù)荷運(yùn)行時(shí),對(duì)攻擊流量的清洗精度應(yīng)大于99%,對(duì)合法用戶流量誤判率應(yīng)小于0.1%。

3)系統(tǒng)流量清洗與DDoS 過濾的方式與原理,包括過濾,反欺騙,異常識(shí)別,協(xié)議分析,速率限制等盡可能多的方式方法。

4)當(dāng)流量監(jiān)控設(shè)備發(fā)現(xiàn)DDoS 攻擊流量時(shí),流量監(jiān)控設(shè)備直接觸發(fā)流量清洗設(shè)備以啟動(dòng)對(duì)目標(biāo)攻擊流量的流量清洗操作:

5)設(shè)備提供二次開發(fā)接口,當(dāng)通過IDS/IPS 或其它方式發(fā)現(xiàn)DDoS 攻擊后,網(wǎng)管系統(tǒng)可通過SSH-script 等方式向流量清洗設(shè)備發(fā)出啟動(dòng)指令;

6)支持旁路(Offline)工作模式。當(dāng)發(fā)生DDoS攻擊時(shí),清洗設(shè)備可通過BGP路由宣告的方式將去向被保護(hù)目標(biāo)的流量導(dǎo)入流量清洗進(jìn)行處理。

4 總體建設(shè)方案

DDoS攻擊防護(hù)系統(tǒng)的建設(shè)是在降低對(duì)現(xiàn)有網(wǎng)絡(luò)的影響,保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性的基礎(chǔ)上,針對(duì)不斷發(fā)展的攻擊形式,有效地進(jìn)行檢測和清洗。防護(hù)平臺(tái)涉及兩個(gè)關(guān)鍵系統(tǒng),及異常流量檢測系統(tǒng)和DDoS 攻擊清洗系統(tǒng),平臺(tái)架構(gòu)可以參照?qǐng)D1。

1)異常流量檢測系統(tǒng)

提供對(duì)DDoS 攻擊行為的深入分析。檢測設(shè)備被動(dòng)監(jiān)測網(wǎng)絡(luò)業(yè)務(wù),搜尋與“正?!?行為的偏差或DDoS 攻擊的基本行為。攻擊被識(shí)別后,檢測設(shè)備發(fā)警報(bào)給清洗設(shè)備,觸發(fā)清洗設(shè)備啟動(dòng),以實(shí)現(xiàn)清洗設(shè)備對(duì)正常流量中的攻擊流量進(jìn)行清洗,同時(shí)也支持提供攻擊報(bào)警來通知相關(guān)的維護(hù)人員,以手工啟動(dòng)清洗設(shè)備以及相關(guān)的快速響應(yīng)措施。異常流量檢測設(shè)備由綜合網(wǎng)管系統(tǒng)提供,主要支持手動(dòng)啟動(dòng)清洗。

2)DDoS 攻擊清洗系統(tǒng)

DDoS 攻擊防護(hù)解決方案的關(guān)鍵部件。該設(shè)備是一個(gè)高性能DDoS 攻擊緩解設(shè)備,當(dāng)流量被“牽引”到該設(shè)備后,能通過流量分析驗(yàn)證技術(shù)對(duì)正常業(yè)務(wù)流量和惡意攻擊流量進(jìn)行識(shí)別和分離,通過限速或過濾等手段遏制攻擊流量,同時(shí)保證合法的數(shù)據(jù)包能繼續(xù)傳送到目標(biāo)地址。

圖1 平臺(tái)構(gòu)架示意圖

5 DDOS攻擊清洗方案

5.1 流量牽引技術(shù)

流量牽引主要指將去往被攻擊目標(biāo)的流量重路由到一個(gè)用于攻擊緩解的流量清洗中心,以便在清洗中心中處理, 丟棄攻擊流量。當(dāng)發(fā)現(xiàn)了一個(gè)攻擊時(shí),流向攻擊目標(biāo)的流量需轉(zhuǎn)移到一個(gè)清洗中心。有多種技術(shù)都可觸發(fā)這種流量轉(zhuǎn)移,觸發(fā)可為集中或分布式,手動(dòng)或自動(dòng)進(jìn)行。

5.2 集中觸發(fā)與分布式觸發(fā)

集中觸發(fā)是在安全管理中心配置一個(gè)“觸發(fā)器”,所有的轉(zhuǎn)移動(dòng)作從這個(gè)觸發(fā)器觸發(fā)。觸發(fā)就是在路由器上增加一條靜態(tài)路由添加一個(gè)特殊標(biāo)記,隨后重到BGP中。當(dāng)攻擊結(jié)束以后,可以刪除這條路由,停止?fàn)恳?。集中轉(zhuǎn)移觸發(fā)的主要優(yōu)勢在于,流量轉(zhuǎn)移由網(wǎng)絡(luò)中的單一點(diǎn)控制,管理和觸發(fā)轉(zhuǎn)移過程更方便,但是需要單獨(dú)購置攻擊觸發(fā)設(shè)備。

分布式觸發(fā)是當(dāng)清洗中心的清洗設(shè)備需要工作時(shí), 它們各自向網(wǎng)絡(luò)中的一個(gè)路由器發(fā)送一個(gè)BGP更新,將到目標(biāo)地址的下一跳設(shè)置為它們自身。采用分布式觸發(fā)的主要優(yōu)勢在于,它能靈活地將清洗設(shè)備資源分配給遭受攻擊的特定用戶。

由于校園網(wǎng)需要對(duì)全網(wǎng)進(jìn)行保護(hù),把攻擊流量在盡可能靠近攻擊源的地方消滅,所以可采用集中觸發(fā)。

5.3 流量清洗技術(shù)

流量“牽引”到清洗設(shè)備后,通過流量分析驗(yàn)證技術(shù)對(duì)正常業(yè)務(wù)流量和惡意攻擊流量進(jìn)行識(shí)別和分離,丟棄攻擊流量,保留正常流量。

典型的流量清洗的過程由五個(gè)模塊(步驟)組成:

1)過濾:包括靜態(tài)和動(dòng)態(tài)的DDoS 過濾器filters。

2)反欺騙:用以驗(yàn)證進(jìn)入系統(tǒng)的數(shù)據(jù)包沒有欺騙信息。

3)異常識(shí)別:監(jiān)測所有通過了filter 和反欺騙模塊的流量,并將其與隨時(shí)間紀(jì)錄的基準(zhǔn)行為相比,搜尋那些非正常的流量,識(shí)別惡意包的來源。

4)協(xié)議分析:處理反常事件識(shí)別模塊發(fā)現(xiàn)的可疑數(shù)據(jù)流,目的是為了識(shí)別特定的應(yīng)用攻擊,例如http-error攻擊。

5)速率限制:提供了另一個(gè)執(zhí)行選項(xiàng),防止不正當(dāng)數(shù)據(jù)流攻擊目標(biāo)。

5.4 流量回注技術(shù)

經(jīng)過流量清洗后,正常流量被重新轉(zhuǎn)發(fā)回網(wǎng)絡(luò),到達(dá)原來的目標(biāo)地址。根據(jù)網(wǎng)絡(luò)環(huán)境不同,目前主要有以下幾種注入方式:

1) L2 injection:注入路由器和清洗設(shè)備在同一個(gè)二層子網(wǎng);

2) PBR based injection:通過策略路由實(shí)現(xiàn)流量注入;

3) GRE Injection in an IP Core:注入通過一個(gè)GRE 隧道實(shí)現(xiàn)。GRE隧道發(fā)起在清洗設(shè)備, 終結(jié)在CPE 設(shè)備;

4) VRF Injection in an MPLS core:流量通過一個(gè)獨(dú)立的“inject” VRF進(jìn)行注入;

6 小結(jié)

DDOS攻擊防御業(yè)務(wù)平臺(tái)將根據(jù)校園網(wǎng)自有異常流量檢測和分析系統(tǒng)、IDS或者其它網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)DDOS攻擊檢測結(jié)果,或者應(yīng)用戶申告對(duì)相應(yīng)用戶進(jìn)行DDOS攻擊防御。項(xiàng)目建設(shè)范圍將包括針對(duì)DDOS 攻擊的流量引導(dǎo)、清洗和回注過程等的前端功能實(shí)體以及后端業(yè)務(wù)管理平臺(tái)和設(shè)備系統(tǒng)管理平臺(tái),針對(duì)DDOS 攻擊的檢測和分析綜合網(wǎng)管工程等其它工程完成。它的建成將極大地緩解高校校園網(wǎng)由于DDOS攻擊造成的弊端,最終更好地為教學(xué)和科研工作服務(wù)。

參考文獻(xiàn):

[1] 尹春霖,張強(qiáng),李鷗.基于IXP1200平臺(tái)的DDoS防御系統(tǒng)實(shí)現(xiàn)[J].信息工程大學(xué)學(xué)報(bào),2005,6(4):59-62.

[2] 蓋凌云,黃樹來.分布式拒絕服務(wù)攻擊及防御機(jī)制研究[J].通信技術(shù),2007,(6):32-33.

[3] 吳瀟,沈明玉.基于流量牽引和陷阱系統(tǒng)的DDoS防御技術(shù)[J].合肥工業(yè)大學(xué)學(xué)報(bào):自然科學(xué),2008(01):25-28.

第8篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

感動(dòng)新生,加油精品網(wǎng)絡(luò) 實(shí)施細(xì)則: 針對(duì)**大中專院校較少的現(xiàn)實(shí)情況,分公司運(yùn)維部主要把精力放在話務(wù)量較多的梁中、紅中等縣內(nèi)知名高中,同時(shí)會(huì)同市場部在縣內(nèi)各中小學(xué)校重點(diǎn)推行“園丁卡”,提高在校園市場的現(xiàn)有占有率。對(duì)在開學(xué)期間和“教師節(jié)”期間產(chǎn)生的局部時(shí)段話務(wù)沖擊,及時(shí)進(jìn)行監(jiān)控?cái)U(kuò)容,保證校園網(wǎng)絡(luò)質(zhì)量和話務(wù)吸納。 2、

激情節(jié)日,暢通網(wǎng)絡(luò) 實(shí)施細(xì)則: (1)與市場部聯(lián)系,及時(shí)了解節(jié)日期間話務(wù)高峰區(qū),對(duì)本縣國慶、中秋、圣誕和元旦等重大節(jié)假日以及重要大型活動(dòng)進(jìn)行話務(wù)預(yù)測和分析,提前作好相應(yīng)基站的擴(kuò)容工作。(2)在“第二屆雙桂旅游文化節(jié)”活動(dòng)期間,對(duì)“雙桂堂”、“小峨嵋”、 “明月湖”、“百里竹海”等重要旅游景點(diǎn)提前做好擴(kuò)容和線網(wǎng)設(shè)備的優(yōu)化工作,保證話務(wù)的最大吸收。(3)在保證網(wǎng)絡(luò)安全的基礎(chǔ)上,利用負(fù)荷分擔(dān)、載波池和半速率等技術(shù)手段,盡可能地吸收國慶、中秋、圣誕和元旦等重大節(jié)假日的話務(wù)高峰,減少擁塞,提升收益。特別是對(duì)分公司市場部大眾街營業(yè)廳開業(yè)慶典活動(dòng)、客戶聯(lián)歡活動(dòng)、VIP客戶金秋釣魚活動(dòng)做好網(wǎng)絡(luò)支撐工作。 3、

傾網(wǎng)之戀,甘為孺子牛 實(shí)施細(xì)則: (1)通過擴(kuò)容和SDCCH的處理解決高擁塞小區(qū),疏導(dǎo)和吸納局部突發(fā)高話務(wù)。(2)開展基礎(chǔ)維護(hù)競賽活動(dòng),促近運(yùn)維人員的主動(dòng)維護(hù)意識(shí),提升網(wǎng)絡(luò)的健康狀態(tài),減少故障及帶來的損失。 (二)網(wǎng)絡(luò)宣傳 1、

第9篇:校園網(wǎng)絡(luò)運(yùn)維服務(wù)方案范文

>> 為孕婦量身打造的移動(dòng)電子病歷軟件 基于SNMP++網(wǎng)絡(luò)管理軟件的編程實(shí)現(xiàn) 網(wǎng)絡(luò)監(jiān)控管理軟件的設(shè)計(jì) 管理軟件的未來 為你量身打造的早餐計(jì)劃 為中國的公務(wù)航空量身打造 為男士量身打造 為網(wǎng)吧量身打造 施耐德電氣為發(fā)電行業(yè)量身打造的預(yù)測性資產(chǎn)分析套件軟件解決方案 警報(bào)管理軟件的實(shí)現(xiàn) SAN存儲(chǔ)管理軟件的研究 健康儲(chǔ)備管理軟件的應(yīng)用 企業(yè)管理軟件的未來 管理軟件的“天王”時(shí)代 管理軟件架構(gòu)的架構(gòu) 管理軟件企業(yè)的戰(zhàn)略轉(zhuǎn)型 管理軟件的SOA攻略 管理軟件:理性的蛻變 一種基于NAS的網(wǎng)絡(luò)存儲(chǔ)管理軟件的設(shè)計(jì)與應(yīng)用 IT運(yùn)維管理軟件:為客戶“而生” 常見問題解答 當(dāng)前所在位置:

快車代碼:CF0805SBRJ01

常見問題處理

登錄客戶端問題 處理流程

1.提示賬號(hào)密碼錯(cuò)誤 進(jìn)入服務(wù)管理工具,點(diǎn)擊“用戶資料”查詢,確認(rèn)賬號(hào)或其他資料是否正確,如用戶密碼丟失,可在確認(rèn)用戶身份后找管理員修改賬號(hào)密碼。

2.提示登錄或注銷超時(shí)失敗 先中斷連接,再檢查物理鏈路,也可通過訪問內(nèi)網(wǎng)服務(wù)器來判斷問題。

3.提示請(qǐng)?jiān)谥付ǖ刂返卿?該賬號(hào)已綁定MAC或IP地址,該賬號(hào)只能在指定的MAC或IP地址里使用。

4.提示費(fèi)用已超支,或費(fèi)用不足 說明余額不足,要充值。

3.登錄成功但無法訪問外網(wǎng) 如不能訪問上一級(jí)網(wǎng)關(guān),則點(diǎn)擊“管理員系統(tǒng)設(shè)置用戶資料”查詢,查詢是否有效;或檢查MAC和IP是否正確。

小編帶你訪陳總

Q:我在網(wǎng)上見過有對(duì)城市熱點(diǎn)的破解,你們對(duì)破解有什么看法?是否已經(jīng)對(duì)你們帶來了很壞的影響?貴公司以后在軟件上是否有新的發(fā)展方向?

A:被破解代表著軟件有價(jià)值,而且會(huì)有很多人在使用,其實(shí)這是用戶對(duì)產(chǎn)品的一個(gè)肯定。我們不是靠直接賣桌面軟件,所以破解對(duì)我們的影響不是很大。城市熱點(diǎn)今年發(fā)展方向除了在傳統(tǒng)的有線寬帶計(jì)費(fèi)認(rèn)證領(lǐng)域之外,已經(jīng)完成了第二戰(zhàn)場的開辟,無線寬帶的認(rèn)證和應(yīng)用,發(fā)展嵌入式的系統(tǒng)軟件和無線終端的軟件開發(fā),主要的產(chǎn)品有Wi-Fi定位系統(tǒng)和多媒體廣播系統(tǒng),主要用在運(yùn)動(dòng)會(huì)、展會(huì)、旅游景點(diǎn)和小區(qū)。

更多采訪內(nèi)容見CFan博墅(.cn/index.php/76976/action_viewspace_itemid_281228)。

客戶端技巧秘技

用客戶端登錄和Web登錄都可,但客戶端登錄更方便、安全。雙擊“ 寬帶登錄客戶端”運(yùn)行后,點(diǎn)擊“登錄”并輸入賬號(hào)和密碼即可完成。成功后能看到上次的上網(wǎng)時(shí)間和流量。

小編手記:因?yàn)椴捎昧藢?shí)名制身份認(rèn)證,所以能查詢用戶的訪問記錄和統(tǒng)計(jì)連接曲流量。

點(diǎn)擊“設(shè)置”,我們可以“啟用自動(dòng)登錄模式”,以后就可直接登錄。并可以選擇“登錄成功后自動(dòng)最小化”,能在登錄成功后自動(dòng)將窗戶最小化。

常見問題幫你解

運(yùn)行客戶端時(shí)提示“控制端口被其他程序占用”,一般的癥狀是打不開任何網(wǎng)頁但能ping通。

解決:點(diǎn)擊“開始運(yùn)行”,輸入“CMD”后回車,在命令行窗口輸入“netsh winsock reset”,重啟即可正常。

啟動(dòng)客戶端時(shí)總提示“登錄超時(shí)失敗”。

解決:先上校園網(wǎng),如上不了說明是線路問題,或檢查自己的IP設(shè)置是否正確。如果能上校園網(wǎng),就查看一下DNS服務(wù)器配置是否正確。當(dāng)然,你也可以直接將防火墻關(guān)閉或卸載。