大学校园网络运维体系研究

2014-03-19李可

网络安全技术与应用 2014年1期

李可

（贵州大学网络与信息化管理中心贵州 550025）

0 引言

校园网络教学、远程教育的开展以及在网络空间中共享各种教育资源，都在无形中使校园网的功能性得以提升。鉴于校园网在学校运行管理中的重要性，其运维质量的好与坏，直接关系到整个学校各方面工作的正常开展。做好校园网络的运维工作成为了大学网络管理的重要环节。

1 大学校园网络运维体系研究现状

现在校园网络的建立主要使用的是宽带网络连接，其优势在于，可以提高网络的运行效率。但是，由于高校人群密集，而且网络的利用率非常高，因此总是会出现网速慢的问题。为了实现宽带的升级，一些高校采用了多种新型的网络数据。比如，P2P封杀工具可以在一定程度上解决网络资源大量消耗的问题，但是，这种简单的封杀也仅仅是暂时性的应用，从根本上解决网速的途径是对于带宽进行扩容，并将网络资源进行优化，以提高网络的利用率按照传统的校园网络运维观念，其是以网络设备的维护为主要工作内容而建立起来的网络运维体系。随着各种先进的管理思想的引进，网络的运维已经被划归到服务的范畴，于是在管理模式上就定位在服务体系的建立，这就使运维的事后服务转变为主动性的事先管理，并将网络运维贯穿网络管理的各个环节当中。另外，从网络技术管理的层面，仅仅考虑硬件的升级显然是不够的，对带宽进行升级虽然能够满足用户的需求，但是其中还存在着资源浪费的问题，所以，对于带宽的流量进行有效管理是非常必要的。代理服务器的应用成为了一个有效的途径。

校园网一旦投入到运行状态，在运行维护管理上，还要注意抗风险性。网络是开放性的，在网络空间中可以实现资源共享的同时，也会给各种病毒提供了可乘之机。随着网络病毒的快速升级，对于校园网络带来了极大的威胁。恰当地使用各种防病毒软件，对于维护校园网络安全运行是非常重要的。构建校园网络运维体系，将整个运维服务中的各种元素在体系中运行，不但能够使运维管理实现优化，而且能够提高工作效率。校园网运维体系的信息架构要符合 ITIL标准，而且其中将技术设备和网络运行流程结合人的需要建立成为有机的整体，并在网络数据库的基础上得以展开，从而实施了网络运维的流程化管理。

2 大学校园网络运维体系架构

建立大学校园网络运维体系的目的，是为了确保网络系统能够安全稳定地运行，并在系统出现故障的时候得以及时解决，以最大程度地满足网络用户的需求。在大学校园网络的运维管理中，主要包括网络管理、系统管理，除此之外，校园网络的安全也被列入到了管理范畴当中。

2.1 网络管理

在校园网络设计上，网络中心机房为网络的核心层，校园各个建筑物的总弱电间为汇聚层，建筑物各个弱电间为接入层。相应的设备被接入到合适的位置后，将桌面电脑与接入层设备之间实现连接，通常情况下是100M到桌面；1000M接口的汇聚层设备上，有些汇聚层设备会配置10000M上联口。当所有的这些连接都完成之后，汇聚层设备与网络中心机房的核心层设备进行连接整个的网络结构就连接完成了，并集中由网络中心来控制。如此所连接的网络不但性能稳定而可靠，而且具有一定的扩展空间。

2.1.1 网络设备管理

（1）配置管理

对于网络设备的管理，一般会采用网管软件，完成配置任务的方式主要是通过登录设备所提供的配置命令来实现的。但是，由于设备制造商所设计的设备往往不具有通用性，因此其被局限在特定的型号的配置功能上。设备配置管理软件如果没有通用的标准和协议，那么在管理上就会出现很多障碍，同时也出现了功能上的局限性，很难于满足用户的需求。

（2）性能管理

网络的性能管理，是对于所收集的数据进行中生成新能报表报告，其是判断性能管理系统运行是否正常的关键。

（3）故障管理

采集信息存在故障，就要对其来源以及严重性进行检测，然后通过后台处理引擎对于所获得的信息进行过滤，实施数据翻译，对于所有的信息进行分类，并在相互之间建立起关联，最后实施报警。

2.1.2 用户故障管理

当出现网络故障的时候，一般是网络不通畅或者是应用程序出现了运行障碍的问题。运维服务人员在为用户处理问题之前，首先要明确故障发生的状态，尽量电话解决。诸如校园网络问题，网线松动的问题等等，都具有明确的问题解决方向。而对于用户端的问题，处理的程序就会很繁琐。这就需要运维人员不断地总结经验，并提高专业知识技术水平。

2.2 系统管理

校园网络的系统部分，主要是指校园网络上所应用的网络服务器，其功能是为全校提供各种网络服务。

2.2.1 域名解析系统（DNS）

域名解析系统（DNS）在 Internet网络环境中是较为常用的系统，执行域名解析系统的，即为DNS Server。域名解析系统的运作所采用的是使用层方式。由于某大学主页的命名是从.edu.cn 所分配下来的，所以，其名称会被定为www.XXXX.edu.cn，这其中的“.cn”，就是从“根域”而来。

2.1.2 WWW（主页）服务器

网页浏览器在 WWW 的服务器工作环境中具有一定的控制作用。当用户将 Internet 地址输入之后，网页浏览器会据此与远程的主页服务器相互连接，以获得一个主页服务器上的WEB 文档。也就是说，我们在网站上浏览的时候，打开每一个网页，都是在建立以此连接，然后再断开。

2.2.3 邮件（Email）服务器

电子邮件以其方便、快捷的特性而被广泛使用，其传递可以以各种方式实现，除了文字之外，包括声音、图像，甚至于大容量的电影等等，都能够在几秒钟内传送到世界各地。随着电子邮件的多功能化，一些专题邮件以及免费的新闻都可以轻松获得。一般每申请一个Internet 帐号，其格式为：abc@xyz，“@”后面的字符串即为电子邮件服务商名称。

2.2.4 代理（proxy）服务器

代理服务器的基本工作程序是，当用户使用浏览器提出访问请求，首先是由代理服务器接受，然后向目的主机提出请求。当目的主机的数据传送到代理服务器之后，被存储在其硬盘当中，再将符合用户需求的数据传送给用户。

2.2.5 数据库服务器

在网络中，很多的应用系统都是在数据库的支持下运行的，所以，数据库服务对于网络服务器至关重要。在校园网的运维工作中，以备份工作为主，除此之外，还要定期地清理服务器的日志，查看服务器的账号，并对于用户的账号进行及时处理等等。服务器会由于各种因素而导致死机现象或者是拒绝提供服务，因此做好数据备份工作是非常必要的。

2.3 安全管理

2.3.1 网络防火墙

目前很多校园网已经于外网建立了连接，这种开放式的资源共享为用户带来了诸多的便利，同时也为各种不良入侵提供了可能。建立防火墙，可以较为有效地阻挡住外网黑客的入侵，因此被校园网络所普遍使用。

防火墙的主要技术包括有包过滤型、网络地址转化—NAT、代理型、监测型四种。

包过滤型防火墙产品属于是防火墙的初级产品，其所采用的是分包传输技术。每一个数据包都含有特定的数据，通过对于数据进行读取，就可以对于来自外网的信息作出判断。如果发现数据包有危险性，防火墙就会将其阻挡在外。

网络地址转化—NAT，就是设置一个IP屏障，使其转换成为私有访问权限。对外部网络，这个网络地址就被隐藏了起来，并通过安全网卡生成一个伪装的端口或者是地址。当有外部网络通过非安全网卡试图访问的时候，就会通过这个开放的端口提出请求。防火墙会按照规则进行判断，将不安全用户拒之门外。

代理服务器也具有防火墙的作用，其可以对于应用层的数据信息进行扫描，因此具有较高的安全性。

监测型防火墙具有较强的检测作用，各层的数据都会通过实时监测来保证运行的安全。对于进出的用户信息，检测防火墙都可以进行有效地分析，并作出较为准确地判断。此外，监测型防火墙不但能够对于外网的不良信息进行检测，而且还会对于内部网络的恶意破坏进行及时而有效地防范。

2.3.2 入侵检测系统

入侵检测系统（IDS）是一种监视系统，其作用是对于不良入侵行为进行监测和控制。一般在网络运维管理中，都将这一系统作为防火墙的补充，以提高网络系统的安全管理能力。如果说防火墙是维护校园网络的第一道防线，其主要的作用是控制外网的入侵，那么，入侵检测系统则是对于绕过防火墙的不良入侵进行处理的第二道防线。入侵检测系统具有较强的检测功能，而且并不会对于网络性能造成影响，更不会妨碍到网络的正常运行。

入侵检测分析技术包括签名分析法、统计分析法、数据完整分析法。

签名分析法的检测是对于攻击模式进行检测，将其编写到入侵检测系统的代码中，并进行签名分析。其主要是对于系统的漏洞攻击行为进行检测。

统计分析法是将常规行为定义为一种规律，当发现某个操作不符合规律的时候，就会对其实施检测。

数据完整分析法理论是建立在密码学的基础之上的，用来检测文件是否被修改。