于 杰

(長春職業(yè)技術(shù)學(xué)院，長春 130033)

0 引言

高職院校校園網(wǎng)絡(luò)建設(shè)以“先進(jìn)、實(shí)用、經(jīng)濟(jì)、合理，用管兩便、安全可靠，易于擴(kuò)展”［1］為指導(dǎo)思想，采用先進(jìn)成熟的主流技術(shù)，充分考慮新建系統(tǒng)的可擴(kuò)充性和與原有系統(tǒng)的兼容性，并體現(xiàn)科學(xué)規(guī)劃、合理布局、預(yù)留充分、應(yīng)用方便的特點(diǎn)，達(dá)到現(xiàn)代化、高效、舒適、安全、節(jié)能的人文辦公環(huán)境的要求．可從校園網(wǎng)軟硬件基礎(chǔ)建設(shè)、資源中心與信息系統(tǒng)環(huán)境建設(shè)、校園網(wǎng)安全體系建設(shè)3個(gè)方面入手．

1 完善校園網(wǎng)軟硬件基礎(chǔ)建設(shè)

校園網(wǎng)軟硬件基礎(chǔ)建設(shè)主要包括防火墻、路由器、核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)等建設(shè)．

網(wǎng)絡(luò)建設(shè)之初要決定構(gòu)造什么樣的校園網(wǎng)和選購網(wǎng)絡(luò)設(shè)備，要多向本科院校成熟的校園網(wǎng)進(jìn)行充分調(diào)研，依據(jù)高職院校的特點(diǎn)，本著為學(xué)院教學(xué)、科研、管理服務(wù)的主要思想，既要考慮學(xué)院發(fā)展的長遠(yuǎn)規(guī)劃又要從學(xué)院實(shí)際情況出發(fā)，依據(jù)長期規(guī)劃，圍繞網(wǎng)絡(luò)拓?fù)鋱D逐步建設(shè)網(wǎng)絡(luò)．網(wǎng)絡(luò)設(shè)備周期一般在三至五年．同時(shí)還要考慮網(wǎng)絡(luò)的可擴(kuò)展性，根據(jù)資金實(shí)際情況，在內(nèi)網(wǎng)建設(shè)方面做出抉擇．

衡量防火墻的一個(gè)重要指標(biāo)是并發(fā)連接數(shù)，衡量路由器要考慮NAT地址數(shù)量，衡量交換機(jī)要考慮端口數(shù)量、轉(zhuǎn)發(fā)速率、背板帶寬、MAC地址數(shù)量等主要參數(shù)［2］，要充分考慮到冗余．在宏觀上規(guī)劃基礎(chǔ)網(wǎng)絡(luò)建設(shè)要依據(jù)學(xué)院實(shí)際出發(fā)，選擇適合學(xué)院發(fā)展的硬件設(shè)備，還要充分考慮學(xué)院教師與學(xué)生規(guī)模數(shù)量，在主體構(gòu)建上保證網(wǎng)絡(luò)暢通性．如在交換機(jī)骨干傳輸中，要正確選擇萬兆做主干、千兆到桌面還是選擇千兆做主干、百兆到桌面，這要依據(jù)選購交換機(jī)要保證高可擴(kuò)充性、高性價(jià)比、內(nèi)置安全機(jī)制等功能，準(zhǔn)確計(jì)算有效通信數(shù)據(jù)中背板帶寬，保證交換機(jī)做到無阻塞傳輸，適當(dāng)考慮堆疊與TRUNK級聯(lián)，發(fā)揮交接機(jī)最佳性能，要采用分層設(shè)計(jì)按核心層、匯聚層、接入層架構(gòu)［3］．核心層設(shè)備將占投資的主要部分，要適當(dāng)考慮冗余設(shè)計(jì)，保證冗余能力、可靠性和高速的傳輸．網(wǎng)絡(luò)的控制功能最好不在核心層上設(shè)計(jì)實(shí)施．匯聚層設(shè)計(jì)上，主要保證核心層的安全和穩(wěn)定，同時(shí)提供接入層VLAN之間的互連，控制和限制接入層對核心層的訪問．接入層設(shè)計(jì)上主要采用性價(jià)比高的設(shè)備，允許教師及學(xué)生終端用戶連接到網(wǎng)絡(luò)中．

在網(wǎng)絡(luò)介質(zhì)輸入方式上，樓宇之間盡量采用單模光纖布置且要采用備份線路，樓層之間采用多模光纖或雙絞線．采用雙絞線時(shí)要注意最大連接距離，采用光纖時(shí)要注意端接光纖跳線接法及光纖模塊，要根據(jù)交換機(jī)板卡是GIBC模塊還是SFP模塊進(jìn)行相應(yīng)選擇SC到ST跳線還是LC到ST跳線．

2 做好資源中心與信息系統(tǒng)環(huán)境建設(shè)

在資源中心與信息系統(tǒng)環(huán)境建設(shè)方面，主要是中心機(jī)房中服務(wù)器建設(shè)、存儲(chǔ)，UPS、數(shù)據(jù)中心等建設(shè)．服務(wù)器建設(shè)要選擇知名品牌且要有本地售后服務(wù)，服務(wù)器硬盤要選夠數(shù)量做好硬盤備份，如RAID5．存儲(chǔ)方面可根據(jù)實(shí)際情況選擇存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)、網(wǎng)絡(luò)連接存儲(chǔ)(NAS)結(jié)構(gòu)，在服務(wù)器與網(wǎng)絡(luò)存儲(chǔ)之間依據(jù)網(wǎng)絡(luò)連接方式，可選擇光纖通道連接或雙絞線連接，要從性能及可靠性進(jìn)行選擇，如果從網(wǎng)絡(luò)可行及性價(jià)比等方面推薦，可采用基于IPSAN結(jié)構(gòu)的網(wǎng)絡(luò)存儲(chǔ)．服務(wù)器最好選擇多塊網(wǎng)卡，其中一塊網(wǎng)卡相連至核心交換機(jī)，另一塊網(wǎng)卡連接一臺(tái)千兆交換機(jī)，網(wǎng)絡(luò)存儲(chǔ)也相連至這臺(tái)千兆交換機(jī)．從而，網(wǎng)絡(luò)存儲(chǔ)與內(nèi)外網(wǎng)隔離開來，充分發(fā)揮千兆交換機(jī)高速轉(zhuǎn)發(fā)等特點(diǎn)．服務(wù)器提供網(wǎng)絡(luò)服務(wù)方面如WWW服務(wù)、FTP服務(wù)、內(nèi)外網(wǎng)OA等都存儲(chǔ)至網(wǎng)絡(luò)存儲(chǔ)內(nèi)，而每個(gè)網(wǎng)絡(luò)服務(wù)，從數(shù)據(jù)庫日積月累的發(fā)展來看，數(shù)據(jù)庫文件越來越大，因此數(shù)據(jù)庫建設(shè)要做好統(tǒng)一規(guī)劃設(shè)置，從單一的數(shù)據(jù)庫向網(wǎng)絡(luò)的分布式數(shù)據(jù)庫發(fā)展;從單一的網(wǎng)絡(luò)存取方式向網(wǎng)絡(luò)的按需、易擴(kuò)展的云計(jì)算存儲(chǔ)設(shè)計(jì)發(fā)展．

UPS主要是保證中心機(jī)房服務(wù)器和存儲(chǔ)數(shù)據(jù)正常穩(wěn)定的運(yùn)行，因此，要計(jì)算好每一臺(tái)服務(wù)器及交換機(jī)、路由器等電壓，合算總值配置有效穩(wěn)定的UPS設(shè)備．UPS設(shè)備相對柴油發(fā)電機(jī)組，具有體積小、效率高、無噪聲振動(dòng)、維護(hù)費(fèi)用低、可靠性高等優(yōu)點(diǎn)，但容量相對較小．

中心機(jī)房建設(shè)要保證網(wǎng)絡(luò)設(shè)備運(yùn)行正常，同時(shí)還要考慮溫度與濕度，選擇適合相對封閉機(jī)房的空調(diào)也是必須的．以北方地區(qū)為例，夏天較短，如果僅從通風(fēng)窗戶進(jìn)行網(wǎng)絡(luò)設(shè)備散熱，不僅對網(wǎng)絡(luò)的可靠性運(yùn)行啟不到保護(hù)作用，反而會(huì)加速網(wǎng)絡(luò)設(shè)備的老化，使得使用壽命大為降低;而冬天如果采用暖氣或中央空調(diào)，如果沒有達(dá)到室內(nèi)標(biāo)準(zhǔn)溫度，一樣會(huì)使網(wǎng)絡(luò)設(shè)備使用處于不正常的工作狀態(tài)，還會(huì)影響網(wǎng)絡(luò)設(shè)備正常穩(wěn)定的運(yùn)行．

中心機(jī)房建設(shè)中還要考慮消防安全，選購?fù)L(fēng)良好的網(wǎng)絡(luò)機(jī)柜，布置合理的強(qiáng)電系統(tǒng)，安放漏電保護(hù)電閘，UPS設(shè)備安放到中心機(jī)房最好隔離開來，在消防器材選購上要以保護(hù)網(wǎng)絡(luò)設(shè)備為前提，采用惰性氣體設(shè)備滅火．還要注意網(wǎng)絡(luò)設(shè)備定期檢查、防止老化、自燃等情況發(fā)生．

中心機(jī)房數(shù)據(jù)中心建設(shè)要統(tǒng)一思想，依據(jù)高職院校特點(diǎn)，使統(tǒng)一身份認(rèn)證得以體現(xiàn)，也就是說在身份認(rèn)證上盡可能采用一次認(rèn)證就能訪問網(wǎng)絡(luò)數(shù)據(jù)資源，這就要求數(shù)據(jù)中心建設(shè)上要做好數(shù)據(jù)庫之間的關(guān)聯(lián)，舉例來說，一般高職院校都有學(xué)生處、招生處、就業(yè)處、財(cái)務(wù)處等部門，而其相關(guān)聯(lián)的就是學(xué)生信息，而各部門分工不一致，要求格式也不一樣，這就要求數(shù)據(jù)庫建設(shè)過程中要盡可能完善，才能互通有無，具體可通過直接操作或通過中間層、數(shù)據(jù)源進(jìn)行通訊來實(shí)現(xiàn)．同時(shí)還要考慮數(shù)據(jù)中心的擴(kuò)展性，結(jié)合服務(wù)器與網(wǎng)絡(luò)存儲(chǔ)，采用分布式集群部署統(tǒng)一資源．

3 加強(qiáng)校園網(wǎng)安全體系建設(shè)，從軟硬件上加強(qiáng)網(wǎng)絡(luò)入侵與防范

在校園網(wǎng)安全體系建設(shè)方面，主要包括服務(wù)器網(wǎng)頁防篡改部署、IPS、有線用戶認(rèn)證、無線安全統(tǒng)一認(rèn)證、在防火墻、路由器、核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)布置策略進(jìn)行防范與控制等等．

服務(wù)器由于提供WEB，F(xiàn)TP，MAIL等外網(wǎng)服務(wù)，更易受到網(wǎng)絡(luò)攻擊，因此從軟、硬件上加強(qiáng)安全防護(hù)，尤為迫切［4］．網(wǎng)站采用開發(fā)軟件ASP，JAVA，PHP等多種多樣，但提供用戶只有靜態(tài)或動(dòng)態(tài)網(wǎng)頁兩種形式，靜態(tài)網(wǎng)頁被攻擊幾率相對較小，動(dòng)態(tài)網(wǎng)頁如果交互較多則易被攻擊，而網(wǎng)頁防篡改軟硬件設(shè)備均有，部署時(shí)不能只單對一臺(tái)服務(wù)器，要考慮服務(wù)器集群的情況．針對每天病毒、木馬的變種大量出現(xiàn)，還可以通過引進(jìn)IPS網(wǎng)絡(luò)設(shè)備對服務(wù)器區(qū)域進(jìn)行統(tǒng)一保護(hù)，現(xiàn)在IDS技術(shù)已經(jīng)很成熟，但I(xiàn)PS上還是相對有些缺陷，這與廠商的技術(shù)研發(fā)投入力量有關(guān)．

對于校園網(wǎng)內(nèi)部網(wǎng)絡(luò)用戶合理使用網(wǎng)絡(luò)方面，采取先進(jìn)網(wǎng)絡(luò)管理軟件，部署有線與無線統(tǒng)一身份認(rèn)證接入，要具有用戶安全準(zhǔn)入控制，支持安全狀態(tài)評估、網(wǎng)絡(luò)中安全威脅定位、安全事件感知及保護(hù)措施執(zhí)行等．預(yù)防因未打補(bǔ)丁、病毒泛濫、ARP攻擊、異常流量、非法軟件安裝和運(yùn)行等因素帶來的安全威脅，并可根據(jù)終端的安全狀態(tài)實(shí)現(xiàn)終端下線、隔離、提醒、監(jiān)控等多種控制策略．

4 結(jié)語

綜上所述，高職院校校園網(wǎng)建設(shè)各環(huán)節(jié)要堅(jiān)持“統(tǒng)籌規(guī)劃、分步實(shí)施、突出重點(diǎn)、先易后難”［5］和“資源共享、集中維護(hù)、簡化層次”的原則．校園網(wǎng)建設(shè)要把網(wǎng)絡(luò)中心作為學(xué)生實(shí)訓(xùn)、實(shí)習(xí)基地，培養(yǎng)學(xué)生工學(xué)結(jié)合，提高人才培養(yǎng)質(zhì)量，更要全心全意為全院師生進(jìn)行服務(wù)．

［1］ 劉省賢．網(wǎng)絡(luò)布線實(shí)訓(xùn)教程［M］．北京:北京大學(xué)出版社，2006:56－57．

［2］ 楊亞洲．Linux網(wǎng)絡(luò)技術(shù)［M］．北京:北京理工大學(xué)出版社，2007:25－27．

［3］ 姜惠民．網(wǎng)絡(luò)組建與互聯(lián)［M］．北京:電子工業(yè)出版社，2009:32－35．

［4］ 遲恩宇．網(wǎng)絡(luò)安全與防護(hù)［M］．北京:電子工業(yè)出版社，2009:28－30．

［5］ 馬軍．高職項(xiàng)目化課程體系研究［M］．北京:北京理工大學(xué)出版社，2011:72－73．