數字化校園建設中網絡的管理

李文寧

【摘 要】校園網在數字化校園建設中起著十分重要的作用。如今的校園網絡管理不再是簡簡單單保障學校正常的上網需求，而更重要的是給學校提供一套安全便捷的解決方案。所以在學校網絡管理中要考慮的因素是多方面的，包括設備安全、數據安全以及集中管理等。

【關鍵詞】數字校園；中心機房；網絡管理

【中圖分類號】G434 【文獻標識碼】A

【論文編號】1671-7384（2015）09-0089-03

在實現教育全面信息化的過程中，學校的網絡建設起著相當重要的角色。如今的學校網絡環境復雜，不僅有傳統的以太網，還有用于iPad平板教學的無線網絡。網絡設備復雜多樣，既有普通服務器，又有用于桌面虛擬化、服務器虛擬化的刀片服務器。龐大的網絡加上繁雜的網絡設備需要有一套完整的管理體制和有效的管理辦法，這樣才能讓數字校園真正發揮作用，讓教育教學高效起來。

學校網絡安全的管理

學校核心機房為全校師生提供了穩定的教學和應用平臺，是教師和學生集中學習和應用信息化教學的關鍵場所，核心機房在提供穩定網絡環境的同時也遭遇到各種安全的威脅。核心機房的安全作為數字化建設的根本和命脈，在構建數字化校園之前必須對全校整體的網絡安全做出整體規劃與安排。

1.設備安全

學校共有9間弱電豎井，邊緣交換機40余臺。邊緣交換機通過光纖與機房核心交換機相連，保障了全校100余臺傳統PC和200余臺虛擬桌面正常上網。復雜的網絡環境對網絡的設備安全提出了巨大的挑戰。對于網絡主干道的網絡設備，學校采用雙機熱備的方式保障網路運行過程中不會因為某一個設備的故障而導致全網癱瘓。

對于一些意外的突發情況，如機房意外斷電、空調等設備意外宕機等，學校信息部門采用相應的應急預案。首先，核心機房內安裝了短信報警裝備，在意外發生的第一時間通知相關負責人員。這樣網絡管理人員及時對相關設備進行維護。核心機房安裝了UPS保障在機房以外斷電后4個小時的正常工作。

作為網絡接入部分，學校信息中心會對邊緣交換設備進行定期檢查并按時對樓宇間的弱電豎井的衛生進行打掃，為邊緣設備提供一個良好的工作環境，減少因為灰塵、溫度等環境因素對設備造成損壞，從而保證設備的正常運轉。

2.網絡安全

良好的網絡環境單靠設備健康是遠遠不夠的。一些看不見的不安全因素對整個數字化校園的影響更是不可忽略的。為了防止學校內網一些病毒造成整個網絡動蕩，我們在邊緣交換機開啟交換機EAD（端點準入防御）功能，配合后臺系統可以將終端防毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過接入端的檢查、隔離、修復、管理和監控，使得整個網絡變被動防御為主動防御，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力，并在核心交換機部署IPS來抵擋來自內網的攻擊，從而保障學校整體內網的安全。

我們將學校的整個網絡根據學校各部門的職能不同利用VLAN技術劃分成不同的虛擬局域網。由于計算機病毒一般會通過在內網廣播的方式進行傳播，這樣通過不同的VLAN就可以將病毒隔離起來，大大降低了病毒感染其他VLAN危害整個網絡的可能性。

3.數據安全

數據安全是網絡安全的一個重要部分，但往往會被人忽略。數據主要分為兩大方面：一方面是教師虛擬桌面上的數據，這些數據包含了全校老師日常教學的絕大部分資料，所以云桌面的數據安全不容忽視。另一方面是學校的一些公共資源，比如一些活動的音視頻、圖片等信息。這些信息作為很重要的記錄通過網絡保存到學校核心機房中。保證這兩部分數據安全，成為網絡建設中的重中之重。

為了提高數據的安全性，我們通過RAID技術提高硬盤的冗余性從而保障數據的安全。通過對磁盤性能及安全的綜合對比，最終確定選用最新RAID冗余技術的RAID6，一方面通過RAID6提高了磁盤的讀寫性能，另一方面它和RAID5一樣對邏輯盤進行條帶化，然后存儲數據和校驗位，但是對每一位數據又增加了一位校驗位。這樣在使用RAID6時會有兩塊硬盤用來存儲校驗位，增強了容錯功能，同時必然會減少硬盤的實際使用容量。以前的RAID級別一般只允許一塊硬盤壞掉，而RAID6可以允許壞掉兩塊硬盤，從而大大提升了數據的安全性。

4.人員管理

就以往經驗來看，大部分的不安全因素是人為造成的。所以除了提升設備硬件安全和軟件安全，學校對機房的管理也有著一套嚴格的制度。學校核心機房安裝了門禁系統。每位管理員需要通過刷卡才能進入機房。這樣不但減少了無關人員隨意進入核心機房而造成對機房設備的損壞，或惡意修改相關數據或配置信息，而且還可以通過門禁系統快速找到最近進入機房的人員，從而更快地找到出現問題的原因，提高解決問題的效率。

WiFi無線網絡管理

在學校的無線網絡建設中，考慮到學生、教師、來賓以及iPad平板教學對無線網絡的需求，學校將一個無線局域網劃分成兩個需要不同身份驗證的子網。每個子網都采用不同的身份驗證，只有通過身份認證的用戶才可以進入相應的子網，從而防止未被授權的用戶進入本網絡。由于教師的人員相對固定，教師的身份認證采用WPA2-PSK和MAC ACL雙認證。教師想要登錄學校的無線局域網，必須向信息部門登記，將教師的終端設備的mac地址綁定到認證服務器。這種雙認證的認證方式既實現了教師無線網絡的實名登錄，又能有效地控制子網的登錄數量，減少未被授權的用戶登錄給無線網絡造成壓力。對于個別有上網需求學生以及來賓則采用WPA2-PSK認證，這樣不但能夠保障其上網需求，又減少了信息中心部門信息錄入的工作量，從而提升了工作效率。

在中國推行電子書包之后，智能課堂離我們越來越近，iPad等平板電腦也不知不覺地走進了教室。iPad平板教學需要借助APPLE TV將教師的iPad屏幕投射到教室的多媒體屏幕上，而iPad必須通過WiFi才能與APPLE TV進行連接。這樣就會帶來一個問題：每間教室都需要一個WiFi信號，如果將信號全部廣播出來，將造成學校的無線信號雜亂無序，給接入用戶帶來極差的用戶體驗。所以我們在各個班級外的AP（無線訪問接入點）配置相應SSID并將其隱藏，iPad通過相應設置手動輸入相應的配置信息完成網絡連接。這樣不但避免了大量SSID引發學校無線信號混亂，而且可以減少用戶的鏈接數目，保障了iPad與APPLE TV的無線連接。

核心機房內的設備集中管理

學校核心機房作為網絡的核心與靈魂，對其管理就顯得十分重要了。在傳統的機房管理中，一方面由于網絡管理員在日常對服務器和設備進行維護和查看都必須進入機房內，但是機房一般因為服務器、新風系統、空調等設備的運轉使得機房內噪音很大，加之機房的密閉性導致房間內的空氣流動性不好，所以管理員在機房待上一段時間后身體就會明顯感覺到不適。這些看不見的噪音、輻射對管理員的身體健康造成的影響不容小視。另一方面由于服務不同，各種設備都有著不同的操作方法，使得網絡管理員不得不在各個服務器、機柜中尋找設備故障，這種單點式的維護浪費了大量的人力，效率嚴重低下。

對于機房內的溫濕度的檢測，集中管理軟件是一種比較普通的管理方案。學校通過軟件將機房的溫度、濕度以及UPS的一些狀態信息進行搜集處理，最終將結果顯示在機房外的顯示器上。這樣管理員無需進入機房內就可以對機房的環境有一個及時的了解。對于一些重要的信息，比如機房以外斷電、空調異常關機等，通過短信報警裝置及時地發送到管理員的手機中，使得管理員可以第一時間掌握相關信息并采取相關預案。

對于設備的管理通過傳統的KVM切換器將相關設備集中到一起。KVM技術采用點對多點的方式減少了由于多個輸入/輸出設備導致的空間占用和干擾的狀況。管理員通過一套鍵盤鼠標及其顯示器就可以存取整個機架或 整個房間的服務器。

機房的服務器采用服務器虛擬化技術。通過虛擬化技術的運用使得服務器的硬件性能得以充分發揮。將部分應用轉移到虛擬服務器中，一方面可以減少一些硬件方面的支出，另一方面通過服務器虛擬化軟件可以將安裝的虛擬服務器進行統一管理。并且一般的服務器虛擬化軟件都支持遠程連接，這樣更加有助于管理員對服務器進行及時有效的管理與維護。

對于學校網絡的管理方式更應多樣化。作為學校網絡管理員，我們應該時刻保持著對網絡新鮮事物的敏感度。通過不斷地完善校園的網絡環境來改善、推進學校的教育信息化建設，將是我們的重中之重。

參考文獻

張曉明.中心機房集中管理的建設[J].太原大學學報，2008（3）： 116-117.

馮建平.數字化校園核心機房的建設[J].內蒙古電大學刊， 2008（9）： 85-86.

（作者單位：北京理工大學附屬中學）