校园网络维护的研究与探索

摘要：该文从网“路”管理、流量控制、用户行为、网络安全等四个方面对校园网中出现的各种问题进行分析和研究。对各种情况，提出相应的解决方法，以保证网络有效运行。

关键词：流控；网络安全；防火墙；校园网；用户行为；虚拟局域网

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）30-6748-03

良好的网络运维管理是硬件设备保值增值、效益最大化的关键。网络运维管理分为四方面：一方面是对网“路”的维护，比如对网内的路由器、交换机等硬件以及它们之间的链路进行管理；第二方面则是全网流量控制管理；第三方面对网络用户进行上网行为管理，第四方面网络安全管理。

1 网“路”管理

网“路”的维护，就是从用户pc到出口设备之间所有的实际和虚拟线路的管理，包括网内的路由器、交换机等硬件以及它们之间的链路进行管理，如图1。具体的说，包括网络设备信息、在线状态、全网流量信息、以及应用系统对资源的占用情况等。

作为一个网管对自己管理的网络、机房拓扑结构都会很熟悉，对关键的核心设备也会倍加关注，但对于位于远端楼宇机房的接入设备就会疏于管理了。而这些接入设备可能就是麻烦始作俑者，通常一些网络病毒就是首先攻击这些设备，导致设备CPU、内存等资源过高，用户体验网速太慢，甚至导致设备死机，网络彻底瘫痪。解决这个问题，就要使用一些专门的网络管理软件了。基于SNMP的专业网络管理软件会提供设备管理、真实面板管理、告警管理等在内的管理功能，通过设备的和链路的不同颜色直观的显示在拓扑图上。如果出现故障，会通过告警模块提醒，快速定位并解决。

2 流量控制管理

网“路”的管理是网络管理的基础，流量控制管理则属于精细化管理阶段。

校园网络信息点数通常都是千余台，甚至达到数万个；同时网络应用也是多种多样，如果不对全网流量进行科学的规划和有效的管理，网络基本没法使用。针对特定的网络应用（如http、httpDownload等）进行带宽保证，对其他P2P、迅雷等进行适当的限制，从宏观上保证有限的总出口带宽的利用率。同时对于单个主机也必须进行了连接会话数和上下行速率进行灵活控制，使整个网络得以畅通的运行，如图2。

3 网络用户行为管理

用户行为管理是帮助用户控制和管理对网络资源的使用，包括对网页访问过滤、网络应用控制、信息收发审计、用户行为分析。实现对互联网访问行为的全面管理，在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面都有较好的作用。

基于安全考虑，校园网用户一般都是要经过基于802.1X的radius认证或者PPPOE的认证，这样系统可以记录用户的MAC地址，保证了该用户上网行为的可追溯性；同时系统提供了日志服务，可提供基于源和目的IP地址上网行为的查询。

这儿介绍下我校学生公寓的具体做法。我校采用二级认证的做法，第一级认证采用基于802.1X的radius认证，通过后可以免费不限时访问指定的网站，比如学校内网资源和数字期刊等。第二级认证为Web认证，通过后可以访问外网资源。为了保证同学们的正常休息，防止沉迷于网络，根据学校的作息时间对网络开放时间进行管理。节假日开放时间为凌晨6：30至晚上12：15，其他时间为凌晨7：00至晚上23：45分。

4 网络安全管理

由于计算机网络具有形式多样性，终端分布不均匀性和网络的开放性，互连性等特征，使得网络信息安全日益成为一个至关重要的问题。计算机校园网络系统是学校重要的现代化基础设施，应为学校的师资培训、教学科研、科室办公、现代化管理等提供先进、可靠、安全、快捷的计算机网络环境。因此，保障校园网络信息安全越来越成为一个不可回避的问题。我们从三方面进行了管理：通过访问控制列表（ACL）进行接入的控制；通过VLAN（虚拟局域网）技术对广播包进行隔离；通过防火墙，防止外部网络用户以非法手段通过外部网络进入内部网络。

4.1接入的控制

访问控制列表（ACL）是应用在交换机接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以接收、哪能数据包需要拒绝。通过它可以对用户进入网络的数据进行筛选，防止攻击。下面是我校部分ACL指令的截图，如图3。

4.2虚拟网划分

以太网从本质上基于广播机制，但是采用了基于交换机端口的VLAN就将广播风暴控制在本VLAN，有效的限制了攻击存在的范围。Vlan的划分采用以院系为单位的逻辑区域，每个院系的用户在同一个Vlan里，保证了类似网络共享的应用，同时如果该区域出现网络攻击，不会泛滥到别的院系。

4.3防火墙

在内外网间使用网络防火墙加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

在数据中心的服务器群前也应该部署防火墙对应用服务器进行安全防护，对进出的包根据事前设定的策略进行深层次的过滤，如图4。

5 结束语

网络维护是一个相当琐碎的工作，涉猎面广，工作量大，还有比如终端用户的病毒防护等很多问题也应该被重视。总之，网络维护必须要防微杜渐，有备无患。我们希望这些在实际工作中总结、探索出来的方法可以为同行借鉴，以保证网络安全、有效的运行。

参考文献：

[1] 殷卫红，耿新民.基于SNMP协议的网络管理实现技术[J].微计算机信息，2006（27）.

[2] 张运凯，王方伟，张玉清等.蠕虫病毒的传播机制研究[J].计算机应用研究，2005（4）.

[3] William Stallings.胡成松，汪凯译.SNMP网络管理[M].北京：中国电力出版社，2001.

[4] 张毅，高东怀，许卫中.校园网网络用户安全身份认证体系分析[J].医疗卫生装备，2008（3）.