高职院校校园网建设的几点思考

2012-08-15于杰

吉林建筑大学学报 2012年2期

于杰

(长春职业技术学院，长春 130033)

0 引言

高职院校校园网络建设以“先进、实用、经济、合理，用管两便、安全可靠，易于扩展”［1］为指导思想，采用先进成熟的主流技术，充分考虑新建系统的可扩充性和与原有系统的兼容性，并体现科学规划、合理布局、预留充分、应用方便的特点，达到现代化、高效、舒适、安全、节能的人文办公环境的要求．可从校园网软硬件基础建设、资源中心与信息系统环境建设、校园网安全体系建设3个方面入手．

1 完善校园网软硬件基础建设

校园网软硬件基础建设主要包括防火墙、路由器、核心交换机、汇聚交换机、接入交换机等建设．

网络建设之初要决定构造什么样的校园网和选购网络设备，要多向本科院校成熟的校园网进行充分调研，依据高职院校的特点，本着为学院教学、科研、管理服务的主要思想，既要考虑学院发展的长远规划又要从学院实际情况出发，依据长期规划，围绕网络拓扑图逐步建设网络．网络设备周期一般在三至五年．同时还要考虑网络的可扩展性，根据资金实际情况，在内网建设方面做出抉择．

衡量防火墙的一个重要指标是并发连接数，衡量路由器要考虑NAT地址数量，衡量交换机要考虑端口数量、转发速率、背板带宽、MAC地址数量等主要参数［2］，要充分考虑到冗余．在宏观上规划基础网络建设要依据学院实际出发，选择适合学院发展的硬件设备，还要充分考虑学院教师与学生规模数量，在主体构建上保证网络畅通性．如在交换机骨干传输中，要正确选择万兆做主干、千兆到桌面还是选择千兆做主干、百兆到桌面，这要依据选购交换机要保证高可扩充性、高性价比、内置安全机制等功能，准确计算有效通信数据中背板带宽，保证交换机做到无阻塞传输，适当考虑堆叠与TRUNK级联，发挥交接机最佳性能，要采用分层设计按核心层、汇聚层、接入层架构［3］．核心层设备将占投资的主要部分，要适当考虑冗余设计，保证冗余能力、可靠性和高速的传输．网络的控制功能最好不在核心层上设计实施．汇聚层设计上，主要保证核心层的安全和稳定，同时提供接入层VLAN之间的互连，控制和限制接入层对核心层的访问．接入层设计上主要采用性价比高的设备，允许教师及学生终端用户连接到网络中．

在网络介质输入方式上，楼宇之间尽量采用单模光纤布置且要采用备份线路，楼层之间采用多模光纤或双绞线．采用双绞线时要注意最大连接距离，采用光纤时要注意端接光纤跳线接法及光纤模块，要根据交换机板卡是GIBC模块还是SFP模块进行相应选择SC到ST跳线还是LC到ST跳线．

2 做好资源中心与信息系统环境建设

在资源中心与信息系统环境建设方面，主要是中心机房中服务器建设、存储，UPS、数据中心等建设．服务器建设要选择知名品牌且要有本地售后服务，服务器硬盘要选够数量做好硬盘备份，如RAID5．存储方面可根据实际情况选择存储区域网络(SAN)、网络连接存储(NAS)结构，在服务器与网络存储之间依据网络连接方式，可选择光纤通道连接或双绞线连接，要从性能及可靠性进行选择，如果从网络可行及性价比等方面推荐，可采用基于IPSAN结构的网络存储．服务器最好选择多块网卡，其中一块网卡相连至核心交换机，另一块网卡连接一台千兆交换机，网络存储也相连至这台千兆交换机．从而，网络存储与内外网隔离开来，充分发挥千兆交换机高速转发等特点．服务器提供网络服务方面如WWW服务、FTP服务、内外网OA等都存储至网络存储内，而每个网络服务，从数据库日积月累的发展来看，数据库文件越来越大，因此数据库建设要做好统一规划设置，从单一的数据库向网络的分布式数据库发展;从单一的网络存取方式向网络的按需、易扩展的云计算存储设计发展．

UPS主要是保证中心机房服务器和存储数据正常稳定的运行，因此，要计算好每一台服务器及交换机、路由器等电压，合算总值配置有效稳定的UPS设备．UPS设备相对柴油发电机组，具有体积小、效率高、无噪声振动、维护费用低、可靠性高等优点，但容量相对较小．

中心机房建设要保证网络设备运行正常，同时还要考虑温度与湿度，选择适合相对封闭机房的空调也是必须的．以北方地区为例，夏天较短，如果仅从通风窗户进行网络设备散热，不仅对网络的可靠性运行启不到保护作用，反而会加速网络设备的老化，使得使用寿命大为降低;而冬天如果采用暖气或中央空调，如果没有达到室内标准温度，一样会使网络设备使用处于不正常的工作状态，还会影响网络设备正常稳定的运行．

中心机房建设中还要考虑消防安全，选购通风良好的网络机柜，布置合理的强电系统，安放漏电保护电闸，UPS设备安放到中心机房最好隔离开来，在消防器材选购上要以保护网络设备为前提，采用惰性气体设备灭火．还要注意网络设备定期检查、防止老化、自燃等情况发生．

中心机房数据中心建设要统一思想，依据高职院校特点，使统一身份认证得以体现，也就是说在身份认证上尽可能采用一次认证就能访问网络数据资源，这就要求数据中心建设上要做好数据库之间的关联，举例来说，一般高职院校都有学生处、招生处、就业处、财务处等部门，而其相关联的就是学生信息，而各部门分工不一致，要求格式也不一样，这就要求数据库建设过程中要尽可能完善，才能互通有无，具体可通过直接操作或通过中间层、数据源进行通讯来实现．同时还要考虑数据中心的扩展性，结合服务器与网络存储，采用分布式集群部署统一资源．

3 加强校园网安全体系建设，从软硬件上加强网络入侵与防范

在校园网安全体系建设方面，主要包括服务器网页防篡改部署、IPS、有线用户认证、无线安全统一认证、在防火墙、路由器、核心交换机、汇聚交换机、接入交换机布置策略进行防范与控制等等．

服务器由于提供WEB，FTP，MAIL等外网服务，更易受到网络攻击，因此从软、硬件上加强安全防护，尤为迫切［4］．网站采用开发软件ASP，JAVA，PHP等多种多样，但提供用户只有静态或动态网页两种形式，静态网页被攻击几率相对较小，动态网页如果交互较多则易被攻击，而网页防篡改软硬件设备均有，部署时不能只单对一台服务器，要考虑服务器集群的情况．针对每天病毒、木马的变种大量出现，还可以通过引进IPS网络设备对服务器区域进行统一保护，现在IDS技术已经很成熟，但IPS上还是相对有些缺陷，这与厂商的技术研发投入力量有关．

对于校园网内部网络用户合理使用网络方面，采取先进网络管理软件，部署有线与无线统一身份认证接入，要具有用户安全准入控制，支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等．预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素带来的安全威胁，并可根据终端的安全状态实现终端下线、隔离、提醒、监控等多种控制策略．