徐俊梅 合肥科技职业学院电子信息系

关键字：网络 校园网 网络管理 网络安全 网络行为管理

绪论

随着互联网信息技术的不断进步，网络已经成为生活中必不可少的一项基本需求，作为教育前沿的高职类院校，要校园内部署了校园网，让教师和同学可以享受互联网带来的各种便利和乐趣。但是，在方便使用的同时也出现了一系列问题：个别教师或同学过量下载一些大容量的娱乐性质的影视资料，占用了校园网的网络带宽资源，造成校园网上网速度骤减，影响了校园网的正常的教学工作和学生管理工作。因此，对校园网内教师和同学的上网行为进行合理的管理已迫在眉睫。而对于校园网行为管理比较容易实现和安全的就是安装上网行为管理路由器。

1 上网行为管理路由器相关分析

1.1 上网行为管理路由器的基本功能

上网行为管理路由器需要满足的条件，保障校园网内所有师生畅通无阻地使用网络，同时合理分配带宽资源；规范部分校园网内师生的上网行为，保证上网安全。

上网行为管理路由器功能如下：进行网页监控、实现下载限制、对游戏限制、上对在线视频限制、实现邮件内容和论坛发帖内容监控、实现网速和流量管理。

1.2 上网行为管理路由器常见模式

网御设备可支持三种网络部署模式：路由模式能实现NAT、路由、防火墙等基本网关功能，比较适合网络结构简单的小型企业；桥接模式适用于需要对网络数据及行为进行全面审计和管控，但无需提供网关类功能的场合；旁路模式比较适合网络流量较大、更关注于信息审计的大型单位。

2 校园网部署的网络模式

根据某职业院校的具体情况，基本的网络已全部部署，师生流量较大，网络管理人员相对缺少的情况下，我们选择桥接模式。

2.1 单桥组模式

因为Leadsec ACM在路由器和内网交换机之间，并且它们之间只有一条链路，我们需要配置正确的网关和DNS才能更新协议库和URL库，当网络中无法为桥组分配IP地址时，我们必须配置专门的网口。

通过以上配置，设备就成功的以桥接模式接入到网络，对原来的拓扑基本没有改变。

2.2 多桥组模式

因为Leadsec ACM在路由器和内网交换机之间，当它们之间有两条链路时，我们需要配置正确的网关和DNS才能更新协议库和URL库，当网络中无法为桥组分配IP地址时，我们必须配置专门的网口。

3 上网行为管理

3.1 用户管理

我们通过用户管理模块，可以进行用户组配置和用户配置，以及用户认证方式的配置和查看认证日志等操作。在用户组配置方面，可以根据IP地址段将不同的用户划分到不同的部门。在用户配置方面，分为设备识别用户和管理用户。在这里我们将校园网根据各个职能部门的工作人员信息进行整理，按照各个部门来进行分作。如经贸系、管理系等。

3.2 上网策略配置

根据不同职能部门进行不同的策略配置、带宽设置、应用设置、审计设置等。

3.3 网络应用管理

(1）流量分析

我们记录并分析所有经过设备的网络流量，然后按照对象和应用进行分类。设备提供了丰富的组合查询方式，通过查看实时统计信息，可以了解当前网络带宽的使用情况。实时统计配置页面提供了开启和关闭实时统计状态的开关，并且可以查看和设置实时流量统计的时间粒度。

校园网某天实时流量统计如图2-1所示。

图2-1流量实时统计设计界面

通过历史流量分析，我们可以查询历史流量走势，统计历史应用排名和历史用户排名。

历史流量综合是将历史流量走势、历史流量排名和历史应用排名汇总在同一个页面中显示，以便于网络管理员直观的了解网络的历史流量信息。

(2）审计查询

通过审计查询，我们可以查询用户的上网行为，如：网站浏览、网页发贴，电子邮件、网络搜索、网络聊天、网络游戏、文件传输等。

(3）浏览网站

通过浏览网站审计功能，可以对用户访问网站的行为进行记录。

(4）应用统计

我们将用户及应用类型进行递进式分析，可以先查询数据概要并一步一步按个人所需查询到详尽数据。

4 小结

根据本方案的设计，大部分职业类院校校园网在网络行为管理方面可以从部署的网络模式的选择、用户管理、用户认证、上网策略设计、网络应用管理等各个方面来进行设计，既可以降低人员管理成本，又可以保证校园网的管理和安全。