升級園區網

隨著教育信息化的深入發展，數字校園、智慧校園的應用建設不斷提升，對中小學校園網絡提出了更高的要求。前階段，為配合省教育專網的開通建設，我校響應市、區電教館的統一部署，對學校網絡進行了升級改造，改造的目的是保證校園網絡速度更快捷，性能更穩定，管理更高效，安全更可靠。

作為學校單位的網絡有其自身的特點，一是網絡終端比較分散，根據教育管理需要，教學、辦公室終端位于不同的樓層內。二是無論是內外或外網，教師一般下載較多的是教學課件、音視頻資源等，因此下載的數據信息量比較大。三是由于學生機房的使用時間集中，會出現短時的大流量并發數據，而且應用像極域等廣播控制軟件，容易出現網絡廣播風暴。

因此，要確保校園網絡升級改造順利開展，達到網絡改造升級的目標，作為網管員必須要做好以下幾方面工作。

規劃好網絡拓撲結構圖

網絡拓撲圖能直觀明了的看清楚網絡中各個節點之間的鏈接，還有接口之間的鏈接，也就是反應網絡中各實體間的結構關系，這樣方便配置和排除錯誤。網絡拓撲設計得好壞對整個網絡的性能和經濟性有重大影響。因此在升級改造前，網管員要重新規劃單位的網絡拓撲圖（如圖 1）。

分配管理好IP地址

在網絡中，IP地址是運行TCP/IP協議的唯一標識符，因此合理有效的分配好IP地址十分重要。

圖1 網絡拓撲圖

IP地址分配可以是固定IP地址，也可以采用DHCP動態IP地址，當然兩種不同的分配方法在管理上各有優缺點。作為IP地址分配應考慮如下一些原則，一是網關應該設置成1個網段中的最前或最后(即XXX.XXX.XXX.1或 者XXX.XXX.XXX.254)。二是不同的應用或用戶組采用不同網段，可以通過不同的網關或子網掩碼分開，也可以通過劃分VLAN實現。三是要考慮設備終端的擴容，要保留一定的備用IP地址。我們單位這次上級主管部門分給我們的IP地址 段 為 10.180.168.1—10.180.171.254。根據單位實際，我們將IP地址進行了細化規劃，分配規劃的原則是用戶終端采用固定IP地址，根據實際應用情況劃分不同網段。所以我們將10.180.168.XXX段全部用于網絡中心管理，其中1－30用于各類服務器或管理IP地址，如防火墻、Web服務器、ftp服務器、視頻服務器、電子圖書服務器以及無線路由器IP等。31－50用于單位公共場合的終端設備，如會議室、報告廳、專用場室等，51-80用于校園安全監控錄像機等IP地址，201-254用于配置各樓層交換機的IP地址，其余地址暫時備用。10.180.169.XXX段全部分配給教職工的計算機IP地址，10.180.170.XXX段用于所有教室多媒體設備IP地址，10.180.171.XXX段全部用于4個學生機房的IP地址，這樣有規則的IP地址分配，有利于今后的應用管理和維護。如出現IP地址沖突、流量不正常情況等，都能比較快速找到問題終端。對于暫時不用和備用IP地址通過防火墻地址服務策略進行封堵。

安裝配置好網絡交換設備

一般情況下，網絡的升級改造都是由中標的IT業務單位網絡工程師負責安裝配置的，但作為單位網管員要告之本單位的功能需求和網絡運維要求，便于工程師按需而配。而且作為網管員也要掌握基本的配置方法，如防火墻設備中策略的設置、NAT轉換配置、日志的備份與設置等，在交換機管理中要求能掌握端口映射、VLAN劃分等。為了確保網絡速度的提升和運行穩定性，主干交換設備之間的連接最好采用光纖模塊。

做好安全策略與行為控制的設置

我們這次升級的主要網絡設備是防火墻采用山石SG-6000、核心交換機采用銳捷RG-S8160、樓層交換機是銳捷RG-S5750和銳捷RG-S2928等，教育城域網和本單位內樓宇之間將原10/100M光纖收發器換作千兆光模塊。原來的交換機不具備網管功能，所以設備升級后，為確保網絡安全和網絡正常運行，網管員要掌握并做好相關的安全策略行為控制的設置。雖然防火墻中可以設置一些應用策略，但作為行為控制方面的功能還是比較少的，所以作為網絡管理者不僅要掌握控制硬件設備的運行情況，更要了解終端用戶的上網情況，因此在升級改造中有必要考慮安裝一款適合本單位的行為控制軟件設備，我們單位是采用網路崗軟件，通過核心交換機上配置鏡像端口來實現控制，效果很好。

做好資料歸檔工作

作為一項網絡升級改造的系統工程，做好必要的檔案資料整理，有助于今后網絡系統的維護。主要做好這幾方面的資料歸檔，一是記錄好所有網絡設備的登錄帳戶和密碼，考慮到網絡的安全性，必要的時候還要更改安裝工程師給你設定的初始密碼。二是收集整理好各類設備的報修卡、操作手冊、使用說明書等檔案資料。三是匯總整理好本單位的拓撲圖、IP地址分配表、設備MAC地址登記表等信息，對于MAC地址，可以通過登錄核心交換機，運行show arp命令獲得。

在這次網絡升級與改造過程中，我們也碰到了一些問題和實踐體會，在此也進行一起分享。在本次升級改造中，對樓宇之間的主干線路換成了光纖模塊，但對于個別樓層之間，因網絡通訊速度和要求不高，仍采用光纖收發器，但在插拔更換光纖收發器后，出現了網絡不通，指示燈閃爍正常，后來找到的原因是因為光纖收發器有單模與多模搞之分，結果插拔調換后變成一端是多模，一端是單模的情況，因此導致網絡不通。

設備需同步更新。如果樓層交換機采用千兆設備，但樓層之間如果還在用百兆的光纖收發器，那千兆設備的性能仍是不能正常發揮出來。對網絡的速度仍然有制約的。

網絡升級改造一般是為了提高網絡的速度、安全性和穩定性，因此往往會考慮更新防火墻和交換設備。防火墻有一定的安全策略與控制，但在行為控制上有一定缺陷，因此在升級改造時要考慮部署相應的行為控制軟件或硬件設備。

4.學校單位的學生機房由于上網時間集中，訪問量大，機房內機器一般都裝有像極域等控制軟件，容易出現廣播風暴，容易有病毒的威脅。一般將機房電腦獨立成內網通過代理或路由出去。對整個單位的網絡影響會小很多。我們的做法是將升級換下的原學校總出口的三星NXG150-E防火墻（帶路由功能）作為學生機房的路由。這樣相當于把學生機房的所有計算機作為獨立的局域網。通過適當的配置，既安全又快捷。

下階段我校將配合智慧校園建設，再作一次無線網絡的升級改造。