葛瑋

摘 要 本文列舉了院校（特別是保密要求較高的院校）網(wǎng)絡(luò)運(yùn)維與管理的五個(gè)方面的典型問題，根據(jù)作者長(zhǎng)期的網(wǎng)絡(luò)運(yùn)維和信息化建設(shè)經(jīng)驗(yàn)，從六個(gè)不同角度提出切合實(shí)際、較為有效的作法，并對(duì)未來(lái)院校網(wǎng)絡(luò)運(yùn)維的努力方向作了一定程度的展望，供有關(guān)單位參考。

關(guān)鍵詞 網(wǎng)絡(luò)改拓建 主機(jī)與存儲(chǔ)安全 運(yùn)維管理規(guī)范

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A

院校的網(wǎng)絡(luò)運(yùn)維有以下幾個(gè)顯著特點(diǎn)：

（1）信息點(diǎn)位相對(duì)集中，在校園范圍內(nèi)密集分布；

（2）因?qū)W員人數(shù)較多，加之作息時(shí)間統(tǒng)一，造成網(wǎng)絡(luò)并發(fā)訪問量大；

（3）業(yè)務(wù)種類繁多，服務(wù)器主機(jī)與存儲(chǔ)需求量大。除常規(guī)業(yè)務(wù)外，還有數(shù)字化校園、一卡通、網(wǎng)上閱卷、學(xué)科專業(yè)網(wǎng)站等；

（4）用戶（尤其是青年學(xué)員）計(jì)算機(jī)水平較高，思想活躍，信息安全隱患突出；

（5）網(wǎng)絡(luò)運(yùn)維與管理人員緊缺。

針對(duì)上述問題，各單位在長(zhǎng)期實(shí)踐中已經(jīng)摸索出很多好的解決辦法，下面提出本人的個(gè)人意見，僅供參考。

1校園基礎(chǔ)網(wǎng)絡(luò)改拓建

十三五期間，很多院校提出要全面實(shí)現(xiàn)萬(wàn)兆主干、千兆到桌面的建設(shè)目標(biāo)，網(wǎng)絡(luò)覆蓋到院校全體人員。在主干網(wǎng)方面，應(yīng)保證每棟樓至少有12芯單模光纜連接到中心機(jī)房。對(duì)于營(yíng)區(qū)面積較大的院校，應(yīng)考慮分區(qū)域設(shè)置室外光纖交接箱，再以大芯數(shù)單模主纜匯至中心機(jī)房；在樓內(nèi)布線方面，本著因陋就簡(jiǎn)、節(jié)約建設(shè)的原則，水平子系統(tǒng)可采取明槽明管走線，鋪設(shè)六類以上雙絞線到每個(gè)信息點(diǎn)位。為經(jīng)久耐用，模塊均應(yīng)采用打線式模塊。垂直子系統(tǒng)的樓層機(jī)柜可采用墻柜（安裝在墻面較高處），機(jī)柜和垂直橋架均應(yīng)做好防雷接地。為便于業(yè)務(wù)擴(kuò)展，各樓層到匯聚也應(yīng)采用單模光纜。

2中心機(jī)房改拓建

目前，很多單位都有改拓建數(shù)據(jù)中心機(jī)房的計(jì)劃，以滿足業(yè)務(wù)發(fā)展需要。首先，中心機(jī)房應(yīng)慎重選址，充分考慮地面承重、防火防水、要素緊鄰等問題。建筑層高較低的機(jī)房，可考慮數(shù)據(jù)中心無(wú)吊頂設(shè)計(jì)，既能充分利用建筑空間，又便于觀察漏水等問題，有助于長(zhǎng)期運(yùn)維監(jiān)控；在精密空調(diào)選型上，可采用列間空調(diào)、封閉冷池的做法，使機(jī)房在設(shè)備密度越來(lái)越高的情況下，仍能確保良好的制冷效果。有條件的單位，還應(yīng)配備數(shù)據(jù)中心專用發(fā)電機(jī)組，保證市電停供時(shí)包括精密空調(diào)在內(nèi)的機(jī)房所有設(shè)備正常運(yùn)行。

3網(wǎng)絡(luò)設(shè)備升級(jí)

為提高運(yùn)維水平和管理效能，院校應(yīng)率先實(shí)現(xiàn)SDN網(wǎng)絡(luò)，屆時(shí)，無(wú)論信息點(diǎn)如何增加，對(duì)于運(yùn)維人員來(lái)說(shuō)，只需管理“一臺(tái)”交換機(jī)，極大地方便了VLAN劃分與調(diào)整、安全配置和故障排查等操作。首先將核心交換機(jī)升級(jí)為支持openflow1.3以上SDN協(xié)議的機(jī)型，并將全院VLAN上收至核心；然后逐步將匯聚和接入層交換機(jī)升級(jí)到SDN機(jī)型。由于歷史原因，很多院校網(wǎng)絡(luò)設(shè)備品牌、型號(hào)繁雜，因此在智能網(wǎng)管軟件的選型上，應(yīng)選擇品牌無(wú)關(guān)、兼容性佳的廠家。

4服務(wù)器主機(jī)與存儲(chǔ)安全

數(shù)據(jù)中心應(yīng)有獨(dú)立的核心或匯聚層交換機(jī)，再通過萬(wàn)兆以上接口與園區(qū)核心相連，在兩者之間，應(yīng)加裝萬(wàn)兆級(jí)下一代防火墻，形成一個(gè)數(shù)據(jù)中心設(shè)備安全域。通常應(yīng)在防火墻全拒絕策略的基礎(chǔ)上，逐一針對(duì)源地址、目的地址、協(xié)議名稱、端口號(hào)來(lái)開放策略，如系其他業(yè)務(wù)口托管的服務(wù)器，還應(yīng)敦促相關(guān)業(yè)務(wù)部門填寫《安全策略啟用與變更申請(qǐng)表》。使各系統(tǒng)始終按照業(yè)務(wù)所需的“最少權(quán)限”配置運(yùn)行在信息網(wǎng)絡(luò)中，從根本上降低主機(jī)被攻擊的風(fēng)險(xiǎn)。對(duì)于安全設(shè)備的管理，包括串接設(shè)備和旁路設(shè)備，以及服務(wù)器的遠(yuǎn)程管理，應(yīng)通過堡壘機(jī)切斷終端計(jì)算機(jī)對(duì)安全設(shè)備和服務(wù)器的直接訪問，而采用協(xié)議代理的方式對(duì)訪問進(jìn)行接管。除有特別要求的服務(wù)器外，絕大部分服務(wù)器都應(yīng)轉(zhuǎn)為虛擬機(jī)，對(duì)服務(wù)器進(jìn)行虛擬池化，并對(duì)存儲(chǔ)池進(jìn)行災(zāi)備配置，對(duì)重要服務(wù)器定期建立快照，最大程度地保證數(shù)據(jù)安全。同時(shí)，虛擬服務(wù)器的網(wǎng)絡(luò)拓?fù)錇椋禾摂M機(jī)——虛擬交換機(jī)——物理網(wǎng)卡——物理交換機(jī)，而一個(gè)虛擬交換機(jī)可對(duì)應(yīng)多個(gè)物理網(wǎng)卡，如此，不僅可確保虛擬服務(wù)器網(wǎng)絡(luò)連接的穩(wěn)定性，而且在服務(wù)器并發(fā)訪問量大時(shí)，還能實(shí)現(xiàn)負(fù)載均衡（負(fù)載被多個(gè)物理網(wǎng)卡均分）。

5用戶安全

在校園網(wǎng)絡(luò)中，既要防范用戶對(duì)服務(wù)器的攻擊，也要防范用戶之間的攻擊，還要杜絕用戶的違規(guī)接入行為。在防范用戶之間的攻擊方面，可以在VLAN上收到核心的基礎(chǔ)上，再針對(duì)各個(gè)VLAN所對(duì)應(yīng)的不同用戶群體配置ACL。例如，在考試閱卷服務(wù)器的訪問控制上，可以拒絕學(xué)員段的VLAN訪問，而只允許機(jī)關(guān)和教員段的VLAN訪問，以此來(lái)降低閱卷服務(wù)器被攻擊的風(fēng)險(xiǎn)，再如，對(duì)于食堂一卡通充值點(diǎn)用戶，應(yīng)只允許他連接一卡通服務(wù)器段，而拒絕他進(jìn)入校園網(wǎng)的任何其他區(qū)域。還可通過配置ACL阻斷135等端口，并將其配置在所有VLAN上，可有效防止沖擊波等病毒的破壞；在防止用戶違規(guī)接入方面，可部署802.1x準(zhǔn)入認(rèn)證系統(tǒng)，實(shí)現(xiàn)IP-MAC綁定、應(yīng)用軟件強(qiáng)制安裝、非法外聯(lián)即時(shí)告警等功能。由于802.1x需要配置在接入層，對(duì)于接入交換機(jī)數(shù)量龐大的院校來(lái)說(shuō)，配置起來(lái)很繁瑣，一旦用戶群體發(fā)生變動(dòng)，修改配置也十分耗時(shí)，這個(gè)問題在實(shí)現(xiàn)SDN網(wǎng)絡(luò)后，將得到有效解決；在病毒和木馬防范方面，傳統(tǒng)的依賴病毒庫(kù)的作法已不合時(shí)宜，應(yīng)配備企業(yè)級(jí)主動(dòng)防御系統(tǒng)，提升全網(wǎng)終端免疫力。

6運(yùn)維管理規(guī)范與登統(tǒng)計(jì)

在中心機(jī)房管理方面，應(yīng)有值班日志、機(jī)房出入人員登記表、服務(wù)器托管申請(qǐng)表、設(shè)備變更登記表等；在安全運(yùn)維方面，應(yīng)有入網(wǎng)用戶登記表、安全策略啟用與變更申請(qǐng)表等；在器材管理方面，應(yīng)有資產(chǎn)統(tǒng)計(jì)表、器材出入庫(kù)登記表等；在日常工作方面，應(yīng)有網(wǎng)點(diǎn)維修登記表、網(wǎng)絡(luò)設(shè)備領(lǐng)取登記表。這些登統(tǒng)計(jì)資料，不僅要有日常使用的紙質(zhì)版，還應(yīng)每隔一定時(shí)間進(jìn)行電子化整理，用于總結(jié)工作、分析問題，為網(wǎng)絡(luò)運(yùn)維進(jìn)一步優(yōu)化提供數(shù)據(jù)支撐。

參考文獻(xiàn)

[1] 張長(zhǎng)青.云計(jì)算在移動(dòng)通信分公司的應(yīng)用分析[J].郵電設(shè)計(jì)技術(shù)，2015（01）.

[2] 蔣東興.“云端一體化”高校智慧校園暢想[J].中國(guó)教育網(wǎng)絡(luò)，2014（01）.

[3] 查貴庭，張勇，李新權(quán).冷池技術(shù)讓數(shù)據(jù)中心更環(huán)保[J].中國(guó)教育網(wǎng)絡(luò)，2012（10）.