☆ 吳智輝

（丹陽市教育信息中心，江蘇丹陽 212300）

作為一個園區(qū)網(wǎng)絡(luò)，一個城域網(wǎng)MAN（Metropolitan Area Networks）網(wǎng)絡(luò)的結(jié)構(gòu)中，通常是由各種類型的設(shè)備搭建組成。而教育城域網(wǎng)作為一個比較典型的MAN結(jié)構(gòu)網(wǎng)絡(luò)，通常由邊界安全設(shè)備、核心骨干設(shè)備、用戶認證及流量、行為管理系統(tǒng)以及數(shù)據(jù)中心及應用系統(tǒng)組成，為接入單位提供網(wǎng)絡(luò)出口和相關(guān)服務。筆者所在教育城域網(wǎng)下屬有100多個中小學、幼兒園，平時主要功能之一就是管理和維護門戶網(wǎng)站平臺，為整個教育系統(tǒng)實現(xiàn)公文流轉(zhuǎn)、資源共享、政務公開等軟環(huán)境建設(shè)提供有效的技術(shù)保障。因此，技術(shù)人員的配備、科學合理的部署、安全有序的管理成為一個城域網(wǎng)網(wǎng)絡(luò)中心管理至關(guān)重要的三個因素，無論哪一環(huán)節(jié)出現(xiàn)錯誤，都勢必給城域網(wǎng)網(wǎng)絡(luò)中心造成安全隱患。

一、城域網(wǎng)網(wǎng)站服務器故障情況描述

中心一臺Web服務器配置在硬件防火墻的DMZ區(qū)，服務器網(wǎng)卡設(shè)置的ip地址是合法的公網(wǎng)地址，然后在硬件防火墻做了內(nèi)網(wǎng)地址nat映射，內(nèi)外網(wǎng)絡(luò)用戶在訪問服務器的時候都經(jīng)過硬件防火墻轉(zhuǎn)換進行訪問。近期因為主網(wǎng)站服務器運行緩慢，網(wǎng)站打開報錯，初步懷疑流量過大引起網(wǎng)絡(luò)堵塞，由于這臺服務器有雙網(wǎng)卡的特性，中心技術(shù)人員準備讓一塊網(wǎng)卡配置內(nèi)部地址，直接對內(nèi)提供www服務，另外一塊網(wǎng)卡配置合法的公網(wǎng)地址，存放在硬件防火墻的dmz區(qū)，通過地址映射對外提供服務。拓撲簡圖如圖1所示：

圖1 拓撲簡圖

服務器區(qū)通過交換機兩條線路分別連接至防火墻和內(nèi)網(wǎng)核心，并在交換機上配置兩條路由指向防火墻和內(nèi)網(wǎng)兩個方向。在防火墻上對內(nèi)網(wǎng)用戶訪問外網(wǎng)資源做基于源地址的NAT映射。

二、服務器訪問出現(xiàn)故障原因分析

內(nèi)網(wǎng)終端用戶通過公網(wǎng)地址訪問服務器區(qū)的服務器時，訪問失敗。

根據(jù)路由基于目的地址轉(zhuǎn)發(fā)原理，終端用戶通過公網(wǎng)地址訪問服務器區(qū)，目的地址為公網(wǎng)地址，源地址為內(nèi)網(wǎng)地址。數(shù)據(jù)包在防火墻進行轉(zhuǎn)發(fā)，由于原先防火墻上對服務器網(wǎng)段進行了SourceNATStatic映射，因此，目的地址（公網(wǎng)地址）將被轉(zhuǎn)換為相應的服務器真實地址。但服務器接收到終端用戶的訪問請求時，其報文結(jié)構(gòu)如下。

（1）Source IP Address為終端用戶內(nèi)部IP。

（2）Destination I PAddress為服務器公網(wǎng)網(wǎng)卡地址。

服務器進行回包，目的地址為內(nèi)網(wǎng)地址，但源地址則成為了服務器的真實地址。且數(shù)據(jù)包不會經(jīng)過防火墻，而直接依據(jù)本地的靜態(tài)路由，由新連接的內(nèi)部網(wǎng)卡地址進行路由選路，由于未經(jīng)過防火墻的地址映射，所以，當內(nèi)網(wǎng)終端接收到這個數(shù)據(jù)包時，發(fā)現(xiàn)源地址并非是請求的目的地址，終端上層應用則會丟棄這個數(shù)據(jù)包。因此，導致訪問失敗。

三、問題解決方案

在防火墻上服務器區(qū)和內(nèi)網(wǎng)區(qū)域之間做源地址映射Dynamic Source NAT，把服務器的回復強行指向了服務器的外網(wǎng)口，防火墻對終端的數(shù)據(jù)包的源地址進行轉(zhuǎn)換，使得終端接收到的數(shù)據(jù)包的源地址仍為服務器的公網(wǎng)地址。

四、網(wǎng)絡(luò)故障引起的管理思考

近年來，我市緊緊圍繞“創(chuàng)建江蘇省優(yōu)質(zhì)均衡發(fā)展縣市”的發(fā)展目標，全面實施教育現(xiàn)代化，努力建設(shè)“數(shù)字教育”，取得了顯著成效。目前，隨著優(yōu)質(zhì)均衡化發(fā)展建設(shè)的深入推進，全市在原有硬件和軟件的基礎(chǔ)上追加投入7700萬元，用于改善和提高學校信息化水平，學校目前信息化各項指標都已經(jīng)達到或者遠遠超過江蘇省信息化I類標準，正努力向國家信息化示范標準靠齊。硬件的完善、軟件功能的提高，使得信息技術(shù)在教學、管理領(lǐng)域廣泛應用，但是，如果脫離了網(wǎng)絡(luò)環(huán)境，任何手段和資源就變成了局部化，違背了當今共享、交流和完善的指導思想，所以，設(shè)備的正常運作，網(wǎng)絡(luò)的暢通與否直接關(guān)系到信息技術(shù)手段是否能更好地服務于“學校的管理、教師的教學、學生的學習”，因此，從一件小的網(wǎng)絡(luò)配置事故，筆者認為無論是教育城域網(wǎng)的技術(shù)人員也好，還是學校的電教主任或者網(wǎng)絡(luò)管理員也好，我們都要高度重視自己工作的職責，從細節(jié)抓起，從小事做起，讓信息技術(shù)這個“小平臺”能更好地發(fā)揮“大作用”，努力做好以下幾個方面的工作。

1.強化科學合理部署

一個網(wǎng)絡(luò)建網(wǎng)初期和后期硬件升級改造，不論是決策層還是技術(shù)層，我們都應該本著“事先規(guī)劃、科學論證、實踐探討”的原則，重視方案的可實施性，科學合理部署，切勿隨意根據(jù)個人意愿進行部署和實施，引起故障，造成不可挽回的損失。當然，作為一項新的技術(shù)應用，本身也需要經(jīng)過理論研究和實踐檢驗，在不改變原網(wǎng)絡(luò)架構(gòu)和功能運作的前提下，我們也推薦技術(shù)人員適當?shù)剡M行模擬實驗，一起研究探討和解決。

2.提升技術(shù)人員水平

網(wǎng)絡(luò)是否能正常運作最關(guān)鍵的還是在于人。技術(shù)管理人員的技術(shù)水平高低、相互之間的合作分工、定期的交流是保證正常運作的三要素。首先，技術(shù)水平是決定一個網(wǎng)絡(luò)技術(shù)維護和管理的層次。作為縣市級教育城域網(wǎng)或者學校網(wǎng)絡(luò)管理中心，很大一部分技術(shù)人員都是來自教育系統(tǒng)內(nèi)部，理論和技術(shù)水平不是很高，因此，相互的合作、定期的交流也顯得十分重要。合作分工不僅僅是技術(shù)人員水平共同提高的一個方面，也是為了細化工作，實現(xiàn)一崗雙責、互為補充的一個重要方面。其次，工作內(nèi)容從硬件上來劃分可以分為交換機管理和維護、服務器管理和維護、行為管理流量控制管理和維護幾個方面。從大方面來說，所有中心工作技術(shù)人員應該一起研究和討論，從具體工作方面來講，一塊工作涉及的人員不宜過多，建議設(shè)立AB兩崗就行。在實際操作過程中，人員太多會給管理帶來諸多不便，一個技術(shù)人員臨時配置或修改細節(jié)，如果不及時匯總溝通的話，越積越多，最終因為忽視造成設(shè)備配置和參數(shù)每人不統(tǒng)一，形成比較混亂局面。因此，更多時候我們建議以A崗為主，B崗為輔的機制，互為補充，確保每項工作能有序合理開展，加上定期交流，最終形成一個面上的統(tǒng)一。第三，定期的交流不能僅限于專項工作人員之間，也不能過于形式化，建議每周專項工作人員即AB崗人員之間進行交流，每月或者每季度全局技術(shù)人員之間進行交流和通報。在交流過程中，我們要細化過程，不能因為時間或者其他技術(shù)人員對此不了解而一帶而過，要詳細地介紹工作細節(jié)并作出合理化解釋。只有這三個方面的工作踏踏實實做好后，才能確保網(wǎng)絡(luò)核心正常運作，并為基層單位提供更優(yōu)質(zhì)的服務。

3.重視安全有序管理

安全有序的管理不僅僅體現(xiàn)在中心的制度和設(shè)備上，筆者認為更體現(xiàn)在單位工作人員的意識上。要讓每一位成員形成一種主人翁的意識，在平時工作中，有制度可依、主動參與，尤其是注重過程性資料的積累，不僅僅為個人提供績效考核依據(jù)，也為日后維護和管理提供保障。

綜上所述，為優(yōu)化網(wǎng)絡(luò)管理，充分發(fā)揮網(wǎng)絡(luò)的服務優(yōu)勢，需要網(wǎng)絡(luò)管理人員共同協(xié)作、加強管理、提升意識，才能更好地服務于中小學教育教學應用，提升信息技術(shù)引領(lǐng)地位。