郑宏涛燕敏。
随着网络的不断发展和进步,校园。
网的用户规模和业务应用也在不断地增加。伴随手机、平板电脑等智能终端逐。
渐普及,3g和移动互联网等新技术快速发展,校园网用户对访问网络的便捷。
性、易用性等提出了新的要求。因此,面对建立可运行、可管理的高效校园网需求,校园网的运行管理在新形势下面。
临着新的挑战和机遇。
校园网除了一般网络所具有的特点之外,还具有以下特殊的需求:
.校园网的用户具备一定的网络知识和较强的动手能力,乐于尝试各种新。
鲜的事情。校园网作为支持教学和科研基础设施,成为实验网络理论的天然场所,其中不乏以恶作剧为目的的网络攻击行为。
.作为支持学校教学科研的基础设。
施,用户在访问校内资源时不应受到任何限制。计费策略仅在用户访问校外资。
源时生效。.带宽使用具有明显的峰谷规律:上午与下午的上课时间流量明显低于晚。
上**时段,中午也是带宽使用的小高。
峰。.流量行为具有明显的应用分类特。
征:如果不采取流控策略,10的用户。
有可能消耗掉90%的带宽,且其中90%以上的均为p2p流量。所以必须在整个。
校园网出口对外网带宽进行合理的分配和调度,保证web****、vo等实时性强的业务,适当限制p2p等大。
量消耗带宽的应用,确保高峰期每位用。
往校园网粗放管理的运行模式,提供更户也能顺畅地浏览网页和****。
多人性化的便捷服务。
.校园网上应用和系统的安全问。
题。校园网大量使用真实的教育网地址,如果没有一定的安全策略,这些系统及。
两方面优化网络结构。
校内的应用将直接暴露在网络上,一旦西安石油大学于201年5月份升。
被黑客攻击或者利用将对校园网的安全。
级了出口带宽,总带宽由原来的500和稳定造成巨大危害。
电信+34教育网提高到3条500电针对以上五个问题,在校园网运行。
信+30联通+10教育网+20管理中必须切实做到以人为本、效率优ipv出口带宽扩容消除了原有出口带先,精细管理、提高体验。以人为本、宽绝对不足的客观问题,同时也带来了效率优先即在校园网运行管理中要坚持。
新的问题。原有的核心交换设备、计费。
网络服务教学科研的基本原则,为广大设备、流控设备和出口网关设备均为师生提供良好的网络服务;维持校园网千兆设备,在出口为534时可以满足安全稳定运行,保障基于校园网的各项要求,在升级带宽后无法满足新的要求,业务和应用能够持续正常开展。精细管。
需要对核心和出口设备进行升级改造。
理、提高体验即校园网运行管理中运行。
目前学校使用作为网。
策略制定和实施要坚持以用户为需求导络的核心交换设备,计费采用的城市热。
向,尽量提高用户的上网体验。改变以。
点万兆计费网关(测试),出口采用。
测试)作为出口网关。学生区用户目前采用dhc
认证方式,家属区采用静态ip+认证方式,办公区使。
用静态ip方式接入。用户接入网络即可使用校园网资源,仅在访问校外资源时需要认证。在核心网万兆升级。
改造过程中,考虑目前网络的发展趋势和校园网用户的使用特点,从校园网结构和管理策略上进行大规模的改。
进和优化。图1万兆升级改造前拓扑。
网络结构优化主要从以。
o13中国教育网络55
高,存在潜在的**性能**的效率。接入层设备上部署新的安全瓶颈和arp表项不足问题。
策略,该策略主要针对校园网中容易出现。
.与其他校区核心设备之的局域网arp病毒攻击和学生在实践网间维护的静态路由条目繁络理论过程中可能出现的误操作对网络造。
多,管理复杂度增加。
进行万兆升级时充分。
成的影响。主要体现在以下四个方面:
以下安全防护策略主要以h3c设备。
考虑到二层的弊端及校园为例,其他厂家设备也具有类似的功能但。
网用户的特殊需求,本部名称可能不同。所有区域的网络结构进行1.开启设备的功能,防分层整合和优化。升级后的拓扑如图2所示,去掉。
原有的所有区域的汇聚设备与核心设备通过osp协议连接,用户图2万兆升级改造后拓扑。
网关终结在各区域的汇聚设备上。跨区域的vla的网关设置在核心设备上,区域之间通过tru透传。
由于跨区vla大多是一**、监控等特殊应用,不存在用户vla中的病毒攻击问题,因此不会对。
核心设备造成太大的压力。升级后,核心设备负责所有校区数据包的高速**和交换,区域汇聚设备负责本区用户的交换和对外。
图3 d工作流程。
访问的**,用户因为操作不当或者病毒攻击对网。
下两个方面进行:1.改变原有的本部校区络所造成影响被隔离在本区域内部,降低的二层网络结构,部署三层网络结构;2.在了整个校园网的运行风险。接入设备上部署安全防护策略,彻底杜绝。
核心交换机通过osp协议与各区私设dhc服务器和arp病毒引起的用域之间连通,各区域分配不同are户侧网络故障。nu区域内的变化通过osp的在校园网升级万兆之前,网络拓扑are交换到所有其他区域。减少了所如图1所示。
本部所有的用户网段网关均有区域都在are时路由变化所引起的集中在本部实际拓扑为二层osp计算开销,保证校园网骨干网络保网络。缺点则表现为:1.个别区域如果发持稳定和安全。
为进一步提高设备的**生病毒攻击网关,将会对核心650交换效率,缩短**时路由查找时间可以选择机造成很大压力进而影响整个本部其他区设置stu设置stu后汇聚设域的网络服务,不利于校园网整体的稳定备仅保留本区内的直连路由,目的地址为和安全;2.所有用户网关都集中在一个设区域外的数据包统一经过默认路由发送,备上对该设备的硬件性能和稳定性要求太可以极大减少汇聚设备的路由数量,提高56 国教育网络201
止非法接人的dhc服务器影响用户上网。dh工作流程如图3所示,dh
noo的工作原理是仅允许合法的dhc服务器发送信息,其中包含分配给客户端的ip
地址和dns信息,非法的信息将被丢弃掉,同时生成ip地址和mac的对应关系表。根据此思路需要在将连接dhc服务器所在的端口设置为信任端口。
以便合法的dhc信息能顺利通过,其他端口设置为非信任端口,阻止非法的。
hcp信息通过。
经过上述设置后,如果某用户的设用。
路由器未关闭dhc功能,其影响范围只局限在与该路由器在同一上联口的用户,减轻了网络运维的工作量,同时方便运维。
人员定位网络故障。2.开启arp入侵检测功能:ar
与配合,可以有效防止黑客或攻击者通过arp报文实施“中间人”攻击。该vla内所有。
rp非信任端口接收到的arp请求与。
回应)报文将重定向到cpu进行报文的。
合法性检查:如果认为该arp报文合法,则进行**;否则直接丢弃。该vla内信任端口接收的arp报文正常**,不进行合法性检查。此处的合法性检查指对。
rp报文内的源i
与mac的对应关系与1中的生成的表象进行对。
比和判断,与表项相符的则允许通过,否。
则丢弃该数据包。
经过上述设置后可以防止各种伪造源。
地址的arp病毒,常见的是网关欺骗类。
rp病毒的攻击。用类型,按照时效性的原则对流量进行归带宽常常处于相对饱和状态,由于用户基。
.开启arp限速功能:ar类。网页浏览、vo等实时性强的归为数较大,每位用户的平均带宽实际很小。
保障类,****、单线程**等实时l生针对校园网用户的使用规律和流量行为特。
一。开启原因包括两个方面:在2开启的般的归为普通类,p2等**类应用归征,建立校内的热点资源站可以有效减轻。
出口压力,丰富校园网应用,增强校园网。
经过本次万兆升级和网络调整后,功能,每个arp报文都会被为第三类。保障类应用具有最高优先级,恶意arp报文消耗cpu过多的问题;用**等普通业务属于实时性较强用户敏感。
重定向cpu进行报文合法性检查,存在在流控时建立专用通道,不被挤占。**对用户的吸引力。
户网络知识水平参差不齐,经常发生一个度一般,归为第二类,建立专用通道保留校园网运行实现了安全有序,彻底消除机器中毒导致整个网段内的其他用户都无。
一。个流量范围。第三类属于严格控制的应法访问网络的情况,局域网病毒大多依赖用,这些应用特点带宽需求大、实时陛弱,于arp协议,开启可以有效设立专用通道给定最大带宽,通道带宽不防止这类情况的发生,同时也减轻运维人满时可以被其他通道借用。
员排查网络故障时的负担。3.细化带宽分配。带宽分配时充分考4.经过上述设置后可以有效控制各种虑全体用户的使用习惯,在不同时间段为基于arp协议的非法网管软件,常见的用户提供尽可能高的带宽。
上班时间用户p2p终结者和网络执法官。
数较少,这个时间段内的单用户可用带宽这类软件大多采用arp协议进行网设置较大一些;中午和下午下班后时间单关欺骗,为了达到效果通常需要发送大量用户的带宽设置较小;晚上十一点之后可arp响应报文,且在软件运行初期扫描存以取消流控策略。在全校范围内均衡流量活主机时也会发送大量的arp请求。
使用,确保每位用户无论高峰期还是一般5.开启环路检测功能时段都能流畅地使用校园网,确保学校对。
校园网出口带宽投资得到最大化利用。
用户因误操作导致网络环路进而产。
.细化故障处理流程。针对校园网运生广播风暴的事情经常发生行过程中常见的问题和故障,制定常见问det可以有效防止个别用户的误操作题处理流程,规范故障处理定期收集整理影响整网运行。
用户反映的问题,对全体运维人员和参加运维的学生网管进行培训。定期分析运维六种手段细化管理策略。
**现的问题,发现网络运行中可能存在的隐患及时处理,确保校园网安全稳定。管理策略的改进主要体现在以人为建立讨论组和知识库,鼓励运维人员(主本,提高服务质量。总结以往校园网运行要是学生网管)在解决问题时相互交流相管理的成熟经验,同时细化管理策略,主互学习共同进步,新网管参与运行之前均要体现在以下几个方面:
会指派一位指导老师。
.细化用户分类。按照优先保障教学。
.强化新知识、新业务培训。随着智科研的原则,将校园网用户分为教学办公能手机、平板电脑、互联网电视等智能终。
区用户、家属区用户、学生区用户。不同端和移动互联网的兴起,运维业务面临着用户对网络使用的需求不同,在制定管理许多新的挑战。在校园网运行管理过程中,和运行策略时需要区分对待。
制定重要用面对新兴业务的出现和流行,有针对性的户故障响应预案,确保基于校园网的重要对运维人员进行相关专业培训,使其掌握业务在发生故障时及时响应,优先保障教新技术,努力提高用户的满意度。务、财务、一**等重要用户重要业务的6.建立校内热点资源站点,减少用户故障恢复时间。
对出口带宽的需求,降低出口压力,提高2.细化流量分类。分析网络中各种应校园网服务质量和体验。共享出口环境的。
了原有二层结构对核心设备的潜在威胁。
和影响,规范的拓扑布局缩小了故障排。
除时间和修复时间,增强了核心网络的。
稳定性和可扩展性。在设备支持的区域,彻底解决了arp攻击和小路由问题。在。
设备不支持的区域,通过网络宣传和故。
障处理过程中的引导,小路由和arp攻击的发生概率也大幅度下降。这类问题。
的出现频率由之前的每天发生下降为现在的每周1—2次。
通过对校园网的运行和管理策略的。
调整,实现用户流畅、便捷的使用网络服务。通过细致的用户服务制度和流控管理策略,确保重要业务和重要用户时时畅通;
确保一般用户在网络闲暇时能够使用较高。
的带宽,在高峰期能够流畅地访问网页和。
****。通过建立校内热点资源站解决高峰期出口带宽有限和体验不佳的问题,提高校园网的服务质量。通过服务吸引更多用户主动使用校园网,20年开学后。
校园网高峰期**ip比201年下半年增。
加了100多人,校园网上新增加的**点播、文件共享和教学**等服务受到用户的喜爱以及and和ios版本的客户端为用户使用网络提供了。
更多的选择。
校园网运行管理中,技术可以在一定。
范围内解决部分问题,但是解决不了所有问题。管理手段和策略与用户的知识水平、学。
校的制度政策息息相关。从保障教学、科研角度出发,实施精细化、人陛化管理,同时通过各种渠道不断加大宣传和普及网络知。
识,提高用户的网络知识素养,才能实现校园网运行管理的可持续、健康发展。圆。
作者单位为西安石油大学信息中心)
013中国教育网络57
精细化管理建平安校园
所谓安全,即无危则安,无损则全。在学校,做好安全工作,为广大师生创造良好的教学和生活环境,对于保证青少年学生的健康成长和维护社会稳定至关重要。一 校园安全。一 建立健全各项制度。事故始于隐患,为了不让隐患在学校有藏身之所,我校从管理入手,制定了一系列规章和制度。1.制定xx小学校级领导安全工作职责。...
企业网络的精细化管理
信息技术与信息化。王宇泰张先球。在人们的常识里,网络管理人员,可能是比较清闲又无关大局的小角色,他们通常只在一种情况下才会派上用场,那就是当网络或者各种相关的业务及应用真的出现了 无法正常运行的时候。然而,伴随着互联网的突飞猛进的发展,网络成为一切的载体,各种。是网络,所以,在面对自己管理的大量对外...
什么是精细化,精细化管理的解读 精细化管理学习心得
什么是精细化,精细化管理的解读 精细化管理学习心得。什么是精细化。精细化管理的解读。中国企业推行精细化管理 有的称为精确管理 精准管理 精细管理工程 的企业,可以在网上搜索到400余家 其中包括中国电信 伊利牛奶 青岛港等大型企业,也有德胜洋楼 金坚制衣等中小企业 研究者有舒化鲁 郑明身 刘先明等。...