陈桂芝

（广东省粤东高级技工学校，广东 汕头 515021）

1 当前网络现状

广东省粤东高级技校创办于1970年,目前有金新、北山湾两个校区及12个分布于粤东各地区的分教点。其中金新校区为学校的老校区，校区一共有16大部门，分别为管理机构（办公室、党委办公室、教务处、学生工作处、招生就业办公室、总务处、保卫处），教学机构（机械工程部、电气工程部、化工部计算机部、旅游与酒店管理部、服装设计与建筑装潢部、基础部），教辅机构（技能实训中心、职业技能培训中心）。2007年校区对原有的网络进行过升级，主要是将教学楼、科技楼、实训中心通过连接入网。组成一个较为完整的校园网。

1.1 网络拓扑结构

广东省粤东高级技工学校金新校区网络设计拓朴图如下（图1）：

图1

本校区的核心层交换机使用三层交换技术，路由器、核心层交换机、各服务器及科技楼的汇聚层交换机，都集中在科技楼六楼的中控室内。其中核心层与汇聚层的连接采用光纤连接。教学楼一楼的汇聚层交换机与宿舍楼2、宿舍楼1和小黄楼由于距离都超过100米，故采用光纤进行连接。服务器与路由器及核心交换机之类采用六类线双绞线连接。其它工作站与交换机之间均采用超五类双绞线连接。校区与Internet的连接采用10M光纤接入方式。

1.2 网络管理模式

由于校区网络规模较小，计算机室一般情况下又没有连接入校园网，实际办公上网的计算机在150台左右。在网络管理方面使用工作组模式跟VLAN模式相结合的方式。一方面，同一个部门组成一个工作组。如将办公室成员A跟B的计算机名设置为BGS-A跟BGS-B，工作组名设置为为BGS；另一方面，将学校分成三个VLAN。各行政办公处室为VLAN2，各教学教研科为VLAN3，各计算机室为VLAN4。各VLAN之间无法直接访问，同VLAN的部门使用工作组管理模式，可以进行文件共享、打印共享。

2 网络管理存在问题

2.1 访问互联网缓慢

校区采用10M光纤接入方式。经常访问Internet的用户数大概150台左右。工作站访问Internet都要通过网络行为管理系统，输入用户名及密码进行认证。一方面网络行为管理系统自身的配置较低，在用户访问高峰期经常出现无法认证或认证出错。另一方面网络行为管理系统没有对P2P等流媒体进行限制，导致接入带宽供不应求，访问互联网缓慢。

2.2 网络安全没有保障

本校区没有将内网与外网通过硬件防火墙进行可靠隔离，没有将对外的公开服务器（WEB服务器）与内网的服务平台完全隔离。这种情况下会产生以下几个问题：外网的非法用户和未经选择并授权允许的应用协议可以轻易进入内部网络；WEB服务器时常会受到外部攻击，容易感染各种病毒，进而在内网中迅速蔓延。

内网方面，在当前的管理模式下，将办公教学教研划分为3个VLAN，但VLAN范围过大，包含好几个部门，工作站太多，使得部门之间没有得到有效的隔离，经常受网络病毒比如ARP病毒的攻击，用户会出现不间断的断网。

2.3 网络稳定性较差

校区网络稳定性差主要体现在以下几个方面：网络行为管理系统放置失当，将网络行为管理系统放置于路由器与交换机之间，一旦系统出现问题，将会导致整个网络无法连接Internet；滥用光纤收发器，所有的光纤连接均使用光纤收发器，导致网络中间接头在多，故障率高；辅助系统不足，主机房网络设置以及服务器都没有交流供电稳压装置。

2.4 共享上网失控

学校的教职工在工作或者休息时均可以上网浏览网页，进行各种网络操作，甚至使用BT等P2P软件进行大量下载或玩网络游戏，在这种情况下，网络资源的利用率大大减少，使得校园网络变得十分缓慢，甚至由于路由器交换机的长时间超负荷运转，导致路由器和交换机死机，造成整个网络瘫痪。

3 校园网络整改思路

3.1 调整网络结构

对拓朴结构进行调整：增加代理服务器；启用路由器的防火墙功能，并将WEB服务器放置于DMZ里面；增加域服务器；调整网络行为管理系统的接入方式，它是公安部门指定安装产品,但该设备配置较低无法满足网络需求,故将其由原先的直通式调整为旁听式,仅保留其网络使用记录功能；取消原有的光纤收发器接入，使用模块化接入。

3.2 更新管理模式

原有的工作组管理加VLAN管理模式虽然将办公、教学和教研划分为不同VLAN，缩小了广播范转，但同一VLAN中工作站总数过多，部门与用户之间无法完全隔离。

经过分析本校区的网络存在的问题，决定将现有VLAN加工作组管理模式进行更新为工作组加域两种管理模式。具体如下：各行政办公处室使用域管理模式；各教学教研科使用域管理模式；将各计算机室工作组管理模式。

工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中，以方便管理。工作组管理优点是容易搭建和组网，操作简单，成本低；其缺点是部门与用户之间无法隔离，难管理，不安全，容易产生网络瓶颈和网络风暴。工作组管理模式只适合30个工作站以下，没有网络管理需求，不运行信息经软件，只用户日常办公，文字处理和上网。

VLAN指的是在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN管理优点是网络管理简单直观，能提高网络整体的安全性，能有效隔离及缩小广播范围，控制广播风暴的产生。其缺点是网络管理策略受节点带宽的限制。

域管理通过对每一台联入网络的计算机和用户验证工作严格控制共离资源的流失和保障网络的安全。域管理模式可以实现对用户账户集中管理，对网络资源进行层级管理，对共享资源采用授权形式进行访问。能有效保证整个网络的安全。

3.3 增设网络监控

所谓网络监控，是指对计算机网络进行监测和控制，其主要作用有两个：一是，实时监测网络的各项性能指标和数据流量，为系统优化提供可靠的依据；二是，及时发现网络上的各种不良现象，使管理员能够有针对性地排查和解决网络故障。

3.4 强化网络安全

针对校区网络现状存在的问题，决定启用路由器中的防火墙功能。所有服务器和工作站都要统一安装瑞星杀毒软件网络版，利用计划任务每周定期进行升级以及杀毒。使整个网络达到预期目标，形成一个且有技术先进性，可靠性，系统可管理性的扩展性的网络结构。

3.5 上网流量控制

本校区与互联网的连接采用中国电信光纤接入形式，其带宽为10M。而P2P的出现带来了巨大的好处的同时也造成网络带宽的巨大浪费，尤其在被用来进行大量数据下载，这给网络整体应用带来了巨大的压力，所以控制全网P2P应用，控制上网流量，可大大提高网络的带宽及稳定性。所以在代理服务器上安装上个第三方的软件，根据用户工作性质的不同，对用户访问互联网进行流量控制。

另一方面，实现域管理后，网络管理员先安装好的各类办公软件。用户如需安装软件，要先向管理员提出申请，经管理员同意后并为其安装。

4 校园网络整改实施

经过对本校区网络现状的分析，综合现有网络管理中的存在问题，决定将现有的工作组加VLAN管理模式更新为工作组加域控制管理模式。

4.1 拓朴结构调整

启用路由器的防火墙功能，并把WEB服务器跟邮件服务器放在DMZ区中。将网络行为管理设备设置成旁路侦听模式。增加主域服务器及辅域服务器。调整后的拓朴结构如下（图2）：

图2

4.2 搭建域服务器

广东省粤东高级技工学校金新校区拟采用工作组加域控制管理模式，有以下原因：其一，各计算机室都是教学及实验使用，不宜给予过多限制，故使用工作组管理模式，其二，办公及教研的各工作站属于教职员工使用，各工作站的非必要频繁互访，容易诱发内网的广播风暴和访问互联网缓慢，故有必要采用域控制管理模式来隔绝部门与部门之间的非必要互访及限制用户随意更改主机设置。

金新校区一共有16大部门，在六楼网络中心设定一台服务器作为主域服务器，校区所有办公及教研主机都加入到本域中。为了更好满足管理的需求，现增购2台服务器，一台作为主域服务器，另一台作为辅域服务器。

服务器的选型方面建议主域服务器采用联想T350 G6 S5405服务器，辅域服务器采用联想T168 G5 xeon 3220/2.4四核/750G。

4.3 增设网络监控

网络监控的主要对象有用户接入、网卡地址、IP地址、ARP、TCP、UDP等广播数据帧、网络利用率、网络数据流、系统资源等。

网络监控方面，通过增加除了用操作系统自带的网络监视器、性能监视器、任务管理器、事件查看器等，还用到了百络网警的网络监控软件。

4.4 网络安全管理

考虑到原先的校区没有硬件防火墙，现决定购买使用联想万全T168 G6(Xeon X3430/2GB/500GB)（1000M）作为代理服务器，将内网、外网进行有效隔离，避免与外部网络的直接通信。

在各服务器上安装瑞星杀毒软件网络版，建立网站各主机和服务器的安全保护措施，保证它们的系统安全。

4.5 共享接入管理

对于用户访问互联网的流量控制，需要在代理服务器安装一个第三方的流量控制软件。在此选用“聚生网管标准版”软件，根据每个信息点不同的工作性质，规定每个用户访问互联网的带宽。

5 校园网络整改效果

5.1 有效地抑制网络瓶颈及广播风暴

原来的管理模式下，校区各办公教研室组成的网络完全处于失控状态；网络资源得不到有效管理，造成资源的浪费，同时由于计算机长时候占用信道，网络经常遭受网络风暴。现更新为工作组加域管理模式，部门之间在域管理下得到很好的隔离，又通过权限的合理配置可以使组与组之间实现相互通信，有效地抑制网络瓶颈及广播风暴。

5.2 大大改善网络安全性

经过这次网络整改。更新为域管理模式，所有的用户均使用USER权限进行登录，并在BIOS进行加密，这样使各个用户无法随意更改计算机的软硬件配置，降低因文件传输而感染病毒的机率；其次使用代理服务器作为连接内外网的桥梁，结合杀毒软件有效保证内网的安全；每周进行定时升级以及杀毒，大大降低病毒对网络的威胁；同时增加辅域服务器，使得各种文件资料得到保护和备份，均衡了服务器的负载。

5.3 网络传输速度得到保证

通过网络整改，利用代理服务器及网络行为管理系统，对用户访问互联网进行有效的监控及合理的分配，减少各工作站对上网信道的占用率，提高访问互联网及服务器的速度。

内网方面，通过使用域控制管理模式，合理规划网络资源及网络权限，工作站之间的互访得到有效合理的控制，网络传输速度得到保证。

6 总结

本次对校园网络的整改工作达到了以下两个主要目的：首先，管理模式的改变，解决了各部门的分组管理以及网络资源的合理分配。其次，网络安全性提高到一个新的层次，实现网络对病毒和不法行为的抵御。在校园网络整改过程中，根据学校的实际情况，以切合实际的网络管理规划和设置步骤，取得了一定的成功经验。

［1］雷震甲,主编.网络工程师教程[M].北京：清华大学出版社,2007.

［2］刘晓辉,杨兴明,编著.中小企业网络管理员实用教程[M].北京：科学出版社,2004.

［3］毕卡秋,编著.计算机网络基础教程[M].北京：冶金工业出版社,2006.

［4］王群,编著.最新局域网管理与维护全接触[M].北京：清华大学出版社,2004.