校园网网络管理方案
目录
1. 前言 1
2. 网络配置管理 1
2.1 配置管理 1
3. 网络安全管理 2
3.1 安全管理 2
3.2 安全管理方案 2
3.2.1 规范出口的管理 3
3.2.2 配备完整的、系统的网络安全设备 3
3.2.3 解决用户上网身份问题,建立全校统一的身份认证系统 3
3.2.4 严格规范上网场所的管理,集中进行监控和管理 3
3.2.5 出台网络安全管理制度 3
3.2.6 防火墙的安全等级和权限设置 4
3.2.7 利用虚拟网技术 4
3.2.8 软硬件技术 4
4. 网络故障管理 4
4.1 故障管理工作 4
4.2 网络故障的检测 5
4.3 网络故障的诊断 5
4.4 网络故障记录 6
5. 网络性能管理 6
6. 网络日志管理 6
7. 网络计费管理 7
7.1 计费管理目的 7
7.2 计费管理系统 7
8. 方案总结 8
1. 前言
随着Internet的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。
由于高校的不断扩招,学校的规模不段扩大,随之校园网的规模不断扩大、应用系统的不断深入,网络环境变的愈加复杂,出现了如下需求:
首先,需要对教学区的上网进行管理,可以控制办公区的上网环境,以及对用户的上网行为进行记录。
其次,需要对学生及学生宿舍区的上网认证进行管理。学生是最容易出问题也是最难管理的群体,需要对学生的上网访问记录等做一全面记录,当出现问题时,可以使网络管理员进行问题查询,分清责任。
再次,对教师小区等共用学校带宽的部门进行管理,教师小区更注重的是家庭中孩子的上网行为管理,以及防止一些非法行为的发生。
此外,用户信息、访问日志、全面的流量信息,这些信息也是很有必要的,便于发现网络中存在的问题。
为了保证网络优质高效地运行,对校园网运行情况进行监视、分析和监控,主要从以下几个方面对网络进行了较为有效的管理。
网络配置管理
网络安全管理
网络故障管理
网络性能管理
2. 网络配置管理
2.1 配置管理
根据网络拓扑结构,学校网络分三层结构。其中以第三层为整个网络的中心,该层包含了路由、硬件防火和中心交换的功能,是整个网络正常运行的关键。
以下是根据学校网络拓扑结构进行配置管理:
(1)配置管理任务
配置管理任务包括网络地址分配、子网划分、维护更新网络最新拓扑结构图和设备清单及其参数设置。
同大多数网络一样,网络采用的是TCP/IP协议,因此IP地址的合理分配就成了网络管理员的一项重要工作。计算机网络按院、系划分为若干个子网,这样既可解决IP地址不足的问题,又可减少网络的数据传输量,增加网络的安全性。
其具体步骤如下:
① 按院、系确定所需子网数目;
② 确定每个子网上的节点数;
③ 定义整个网络的子网掩码;
④ 分配子网号和各节点的IP地址。
网管人员根据以上步骤建立了规范的IP地址分配表,登记备案。同时,还利用网管软件和操作系统提供的ARP功能,收集相应信息并形成IP地址与硬件MAC地址的对应表,以加强IP地址管理,保证IP地址的唯一性。
(2)子网管理
对不同的子网,可视具体情况采用不同办法进行隔离。对独处一个物理网段上的院、系子网,可采用三层交换机和路由器,也可利用Windows NT、Windows 2000、UNIX等操作系统的路由功能实现,根据各子网的具体情况灵活配置。某些专用子网,由于其站点分布在校内不同地方,处于多个物理网段上,只能采用虚拟子网技术克服环境的制约,在不改动网络物理连接的情况下为其配置各自的虚拟子网,灵活方便地实现跨越全校的专用子网。
(3)配置文档
完整的文档是网络配置管理任务中的重要组成部分,是对网络资源使用情况进行管理的重要过程。详细完整的文档是网络配置过程的整体部分之一。网络配置文档应包括多种基本内容:硬件配置、软件配置、用户及其访问权限分配记录。对网络进行了科学合理的配置,并有完整准确的文档记录,因此大大减少了用于“救火”的时间。实践表明,网络配置文档越完善、更新越及时,则处理网络故障的时间就越短。
3. 网络安全管理
3.1 安全管理
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
3.2 安全管理方案
为满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。
第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。
第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。
第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
3.2.1 规范出口的管理
实施校园网的整体安全架构,必须解决多出口的问题。对于出口进行规范统一的管理,使校园网络安全体系能够得以实施,为校园网的安全提供最基础的保障。
3.2.2 配备完整的、系统的网络安全设备
在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外配置安全设备既要考虑到功能,同时也必须考虑性能和可扩展性,以避免成为网络的瓶颈。通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
3.2.3 解决用户上网身份问题,建立全校统一的身份认证系统
校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
3.2.4 严格规范上网场所的管理,集中进行监控和管理
上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性
3.2.5 出台网络安全管理制度
网络安全建设是"三分设备,七分管理",没有切实可行的安全保障体系和制度,网络安全就变成了空谈。随着网络技术的迅速发展和上网用户对网络的了解程度越深,网络安全的形式就越严峻,这也从近几年互联网络安全问题频频出现得到印证。而网络安全的技术又是非常复杂和广泛的,现状还是"道高一尺,魔高一丈",这样,管理的工作就愈发重要和艰巨,必须要做到及时进行漏洞修补和定期询检,保证对网络的监控和管理。另外,学校必须颁布网络行为规范和具体处罚条例,这样才能有效的控制和减少内部网络的隐患。
3.2.6 防火墙的安全等级和权限设置
利用防火墙的安全等级和权限设置,有选择地对源地址、目的地址、TCP端口号、协议类型进行筛选,控制数据包的传送,禁止外部网络访问内部网络,防止来自外部的恶意攻击。
3.2.7 利用虚拟网技术
利用虚拟网技术,将全校分布在不同部门、不同网段上的办公应用服务器划分为一个虚拟子网,限制用户对其访问。出开放必要的端口外,其他端口和服务安全禁止,以增加安全性。为了避免用户滥用网络资源,对不同的虚拟子网赋予不同的对外访问权限,如只能访问校内、只能访问中国教育科研网、可以访问整个互联网等,同时按照IP 地址和用户帐号进行流量控制和统计,力争是网络资源得到更为有效的应用。
3.2.8 软硬件技术
利用软硬件所提供的功能采取尽可能多的措施提高网络的安全性,如在各层交换机端口上绑定MAC地址以防止地址盗用;在网桥上设置过滤功能,限制所能通过的网络协议和工作站;在数据库配置中设定有效的IP地址来限制能对其访问的IP地址范围。应当看到,随着技术的发展和网络结构的变化,网络安全程度必然是动态变化的,必须不断采用新的安全管理措施,加强系统的安全。
互联网络的飞速发展,对校园网络中师生的生活和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,校园网络安全已经到了必须要统一管理和彻底解决的地步,只有很好的解决了网络安全问题,校园网络的应用才能健康、高速的发展。
4. 网络故障管理
故障管理是判断、查找、排除网络故障的过程,它是校园网管理中最重要的任务。如果没有规范的差错管理模式,网络管理员将花费大量的时间和精力用于排除故障以保持网络的正常运行。反之,就可以大大减少处理故障的时间,提高网络运行效率。
4.1 故障管理工作
⑴ 加强对网络的监控,通过主动轮询的方式检查网络的连接和设备状态。网管人员可根据需要和具体情况设置间隙时间的长短,自动对网上IP 资源的状态,配置和事件进行监控。观察网络设备运行正常与否,对故障迅速定位,减少故障判断过程,提高事故处理速度。
⑵ 在操作系统和数据库系统中,都有用于管理跟踪和故障记录的日志文件,自动记录了网络中服务、应用及硬件发生的错误、警告或消息标识。网络管理人员可充分利用这些信息进行网络运行状态分析和趋势预测,及时发现潜在的隐患。我们知道,网络负载增加对流量过载的影响是渐进的,数据库的表空间、服务器的磁盘空间也是逐渐减少的,因此,只要网络管理员加强监控,在警戒位进行相应处理,就可以预防系统性能的下降。
4.2 网络故障的检测
在正常操作中,通过执行监控过程和生成故障报告来检测;在执行配置测试时发现错误;通过预设置门限并动态监控状态变化,来预测潜在的故障。
4.3 网络故障的诊断
网络故障诊断应该实现三方面的目的:确定网络的故障点,恢复网络的正常运行;发现网络 规划和配置中欠佳之处,改善和优化网络的性能;观察网络的运行状况,及时预测网络通信质量。
网络故障诊断以网络原理、网络配置和网络运行的知识为基础。从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行。
网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题 ;数据链路层的网络设备的接口配置问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层网络应用程序错误。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推 ,设法确定通信失败的故障点,直到系统通信正常为止。
如何在互联网络运行后了解它的信息,了解网络是否正常运行,监视和了解网络在正常条件 下运行细节,了解出现故障的情况。对每一个症状使用特定的故障诊断工具和方法都能查找出一个或多个故障原因。一般故障排除步骤如下:
第一步,当分析网络故障时,首先要清楚故障现象。应该详细说明故障的症侯和潜在的原因 。为此,要确定故障的具体现象,然后确定造成这种故障现象的原因的类型。例如,主机不 响应客户请求服务。可能的故障原因是主机配置问题、接口卡故障或路由器配置命令丢失等。
第二步,收集需要的用于帮助隔离可能故障原因的信息。向用户、网络管理员、管理者和其 他关键人物提一些和故障有关的问题。广泛的从网络管理系统、协议分析跟 踪、路由器诊断 命令的输出报告或软件说明书中收集有用的信息。
第三步,根据收集到的情况考虑可能的故障原因。可以根据有关情况排除某些故障原因。例 如,根据某些资料可以排除硬件故障,把注意力放软件原因上。对于任何机会都应该设法减 少可能的故障原因,以至于尽快的策划出有效的故障诊断计划。
第四步,根据最后的可能的故障原因,建立一个诊断计划。开始仅用一个最可能的故障原因 进行诊断活动,这样可以容易恢复到故障的原始状态。如果一次同时考虑一个以上的故障原 因,试图返回故障原始状态就困难的多了。
第五步,执行诊断计划,认真做好每一步测试和观察,直到故障症状消失。
第六步,每改变一个参数都要确认其结果。分析结果确定问题是否解决,如果没有解决,继续下去,直到解决。
4.4 网络故障记录
以日志的形式记录告警、诊断和处理结果。
5. 网络性能管理
性能管理主要指系统调整,整体容量规划和性能故障查找。目的是维护和改进网络的速度、响应时间、灵活性和适应性。为此利用网络测试仪以及网络设备自带的网管工具,对网络带宽的利用率、网络碰撞状态、帧级错误、广播数据等参数的瞬间值、平均值、最大值和累计值进行统计分析,实时显示占用带宽最多的几种协议所占比例,监测网络最繁忙的网段和站点,提供网络负载分布情况。网络管理员可对监测结果进行详细分析,力争从被动管理模式转换为主动管理方式,根据数据流量分析结果和不同应用的轻重缓急,利用带宽分配器,以合理的带宽管理策略,采用负载均衡和带宽匹配的原则,对网络带宽进行分配和控制,对确定存在的网络瓶颈提出网络扩展、增加带宽的解决方案。
在性能管理中,我们既通过增强或改善网络状况的静态措施来提高网络的性能,如增强网络服务器能力、采用更先进的网络设备等手段来改善网络环境。但更为重要的是在网络管理中采用负载平衡等动态措施充分发挥网络潜能,提高网络性能。
6. 网络日志管理
采用了蓝信网络日志概要工具。
(1)概要的记录信息
①全面记录用户所访问过的网站地址。
可以记录用户某一时间,访问过的URL地址,而不记录具体的网页内容;可以根据URL提供用户使用HTTP多线程方式下载的各线程下载的文件起始位置。
②记录用户使用FTP工具上传、下载文件的信息。
可以记录用户某一时间,使用FTP工具进行上传或下载的文件名称以及下载文件大小,而不记录文件的具体内容。
③记录用户发送邮件的信息,包括邮件发送者,邮件接收者,邮件主题等。
可以记录用户某一时间,使用类似Outlook等邮件工具发送或接收的邮件的信息,如邮件发送者,邮件接收者,邮件主题等。 出于用户隐私的考虑,可以仅记录了邮件头部分的相关信息,而没有对邮件内容进行记录。
(2)强大多样的日志保存方式
①将日志导入到数据库中。
该工具同时还提供将所有的日志信息导入到数据库中,并提供友好的基于数据库的WEB查询界面,从而能够方便用户快速查找详细的日志信息,并且用户还可以根据自己的需求,决定数据库中保存几个月的日志信息。
(3)有效记录信息、保存日期更长的日志系统
提供特殊的URL过滤功能,可以将网页上的图片,脚本等无用的日志信息过滤掉,可以节省78%左右的空间,极大节省了储存的磁盘空间,延长了存储时间。
(4)不影响整体网络性能
采用旁路式架构,不会出现网络中的瓶颈问题。
(5)方便的配置管理
可以使用友好的图形配置管理工具,配置或修改网内的用户、保存的文件个数、HTTP日志过滤条件等。
(6)稳定性及安全性
可以做到7*24小时的正常运行,在异常情况(如断电,网络病毒攻击等)下,可提供比较详细的日志分析,以达到对网络更好的维护和检测。
7. 网络计费管理
7.1 计费管理目的
计费管理纪录网络资源的使用,目的是控制和监测网络操作系统的费用和代价。
计费管理的主要目的是正确的计算和收取用户使用网络服务的费用。
在计费管理中,首先要根据各类服务的成本、供需关系等因素制订资费政策,资费还包括根据业务情况制订的折扣率。其次要收集计费收据,如使用的网络服务、占用时间、通信距离、通信地点等计算服务费用。通常计费管理包括以下几个主要功能:
计算网络建设及运营成本。主要成本包括网络设备器材成本、网络服务成本、人工费用等。
统计网络及其所包含的资源的利用率。为确定各种业务各种时间段的计费标准提供依据。
联机收取计费依据。这是向用户收取网络服务费用的依据。
计算用户应支付的网络服务费。
账单管理。保存收取账单及必要的原始数据,以备用户查询和置疑。
7.2 计费管理系统
计费管理采用蓝信校园网认证计费系统
蓝信认证计费系统具有:
⑴ 安全稳定的认证机制
通过与帐号、密码、IP、MAC地址、VLAN等15元素的绑定充分保证用户的合法 性及安全性,让用户上网上的更放心,网管员更轻松。
⑵ 多样化计费模式及优惠方式
充分借鉴校园网络的特殊性推出包月、按时长、按流量等7种计费政策,同时可自定义多样化的优惠方式。让用户有更多的选择自由,实现用户、学校、电信三方的互赢互利。
⑶ 用户代理使用的防范
系统通过客户端、交换机及蓝信AAA服务器可实现对用户代理使用的全面检测,有效的减少了资费的流失。
⑸ 人性化操作管理界面
蓝信认证计费系统已有多年应用,在应用中对用户提出的建议不断的更新创造,充分考虑用户操作的简便性,做到最简单的操作实现更重要的功能。
⑹ 用户自注册服务及自理界面
高校用户量众多,通过自注册可实现用户的自动注册;通过自理界面可以让用户实现修改密码、查看消费情况、查看余额等,方便用户。
此外,在灵活的认证方式、详细的操作日志、系统的稳定性及高效性等方面也充分满足了校方需求,深得双方认可。系统实施后,为学校构建一个高效稳定、安全可靠的网络系统。
图1 蓝信网络解决方案拓扑图
8. 方案总结
本方案总体从网络管理的配置管理、故障管理、安全管理、性能管理、计费管理五大功能进行设计,使网络管理员对网络管理的流程一目了然,给网络管理员带来了方便。
