浙江大學高校網絡運維的綜合防護之道

文 /向 艷 鄭 強 牟星亮

浙江大學高校網絡運維的綜合防護之道

文 /向 艷 鄭 強 牟星亮

隨著計算機技術的創新發展，網絡信息技術被深入應用到各行各業。傳統的教育系統逐漸演變成大數據背景下的電子信息化模式，應用涉及到校園生活的各個方面，例如教學科研、招生就業、學科交流、通訊辦公、公共支撐服務等管理工作和溝通平臺。從而形成了一個集相關軟硬件設備于一體的綜合性網絡應用環境的計算機局域網，即高校校園網絡。

目前浙江大學校園網絡整體規模大、地域分布廣，主要覆蓋面積涉及7個校區、400多幢樓宇、約80公里環網光纜、在線計算機數量近10萬臺、合計師生職工超過7萬人。隨著校園網絡硬件設備規模的逐漸擴大，學校用戶群體的增加，網絡應用的層出不窮，硬件設施設備老化等原因，導致當前校園網絡故障數量和類別不斷增多。因此在運維人員數量及精力有限的情況下，挖掘分析現有故障，總結故障原因及類型，采用新技術規范和簡化處理故障的流程，來降低故障率，提高解決故障效率就顯得尤為重要。本文結合浙江大學故障平臺統計的數據，介紹在校園網絡管理中遇到的問題，以及后續綜合性的維護思路。

問題

從浙江大學“網絡運維管理平臺”的統計數據顯示，2016年信息技術中心監控呼叫平臺綜合服務熱線共計接聽電話約6萬余次，其中咨詢類占比79.37%，報送故障類占比20.61%，用戶請求占比0.02%（用戶請求主要涉及打印機連網問題），如圖1所示。咨詢類占比最高，大部分問

圖1 浙江大學網絡運維管理平臺2016年服務工單分布詳情

題通過一線的熱線服務人員指導即可解決。但由于目前熱線人員緊缺，遇到新生入學或大型視頻會議等高峰用網時段，接聽壓力較大，因此合理利用知識手冊指導用戶自助解決問題，是非常有必要的。另外針對師生職工等報送的故障，浙江大學組織了一批有專業技術的二線維護隊伍，以便上門解決故障報修。

接下來重點對咨詢類和故障類問題進行詳細分析，并給出系統化的解決方案和建議。

咨詢類

通過對咨詢類問題的整理分析，主要可以分為以下六大類，分別為網絡咨詢、信息化咨詢、郵箱咨詢、校園卡咨詢、單位業務咨詢和其他咨詢。其中網絡咨詢占比最高，達到75.07%（主要包含網絡服務套餐咨詢、上網賬號使用問題咨詢等），信息化咨詢占15.06%，如圖2所示。

圖2 2016年服務工單中“咨詢類”服務分布比例統計

根據應用系統對咨詢類問題進行統計分析，如圖3所示，浙江大學2016年全年服務工單中咨詢類占比前十的服務類型，主要涉及VPN上網賬號使用、統一身份認證相關、VPN服務套餐、有線網絡、入校業務、無線網絡、郵箱的辦理使用、校園卡、電子離校單系統、虛擬主機業務咨詢。其中VPN賬號相關問題和統一身份認證問題總體占比最高。

故障類

同樣統計分析故障類問題，故障類問題主要劃分為8個方面，如圖4所示，包含網絡、郵箱、校園卡等，其中網絡故障占比最高，達到總故障數的85.87%。再針對占比最高的網絡故障進行分析，統計出報送的網絡故障中排名前十的情況，如圖5所示。

圖3 2016年服務工單中“咨詢類”排名前十的工單量統計

圖4 2016年服務工單中“故障類”服務分布比例統計

其中設備端口故障主要是受到線路割接及鏈路影響，原設備上端口需要調整；設備供電故障主要是由于學校水電中心停電、機房空調漏水或者溫度過高等導致；異常流量問題主要是由于進口信道故障，網絡切割和主節點維護升級等造成。

維護方案

通過統計分析浙江大學網絡運維中的問題，發現用戶咨詢類問題量很大，但具有一定的規律性；網絡故障類問題相對咨詢類較少，但存在多樣性、復雜性以及專業性，僅靠信息化運維人員來解決問題是遠遠不夠的。因此建立合理的規章制度，借助網絡監控平臺，加強信息化人員的專業技能，同時改善用戶的用網習慣等方法，可以很大程度上降低網絡故障發生的頻率，提升用戶的滿意度。

咨詢類

從上文咨詢類問題的統計數據可以看出，主要問題集中在VPN賬號問題、統一身份認證、校園卡、電子離校單和郵箱等方面，這些使用方面的問題具有統一性和規范性，因此可以通過構建簡明完善的信息化知識庫來解決。

1.建立知識庫，多渠道宣傳校網知識

為了更好地服務于師生，目前浙江大學信息化運維團隊整理出適合浙江大學實際用網情況的知識庫，知識庫具有如下特點：

（1）覆蓋范圍廣

包含咨詢類問題中占比較大的校園網的覆蓋范圍、有線網無線網的接入方式、VPN賬號相關信息、郵箱故障解決方法等信息。同時整理出常見網絡問題的解決處理方法，讓師生能夠自主判斷和解決部分網絡問題。

（2）從使用者角度出發，簡明扼要

針對單位用戶的需求，明確主機托管、虛擬主機、域名注冊等服務所需的各種材料以及辦理方式。

（3）及時維護，及時更新

知識庫的完善不應止步，它需要根據當前網絡的發展變化、用戶的反饋信息等進行及時的更新。例如通過今年五月份的“比特幣勒索病毒”事件，可增加開啟計算機系統自動更新的操作步驟，關閉網絡適配器設置和常見查殺病毒的流程等操作，提升用戶用網的安全防范意識，提供快速解決突發網絡問題的指導。

圖5 2016年服務工單中“網絡故障類”排名前十的工單量統計

（4）多途徑獲取知識庫信息

此外目前學校咨詢類問題高峰期主要集中在新生入學的3月和9月，因此可以通過宣傳來提高新用戶對浙大網絡的了解，掌握網絡設置等基本的解決技能。例如將宣傳單放置于各校區宿舍樓繳費前臺，捆綁資料發放（網絡基本知識，二維碼公眾號推廣，信息技術中心聯系方式等），或在新生報到處明顯位置安排廣告牌或易拉寶，引導新生直接掃碼關注。同時定時定量地更新信息技術中心的微信公眾號“浙江大學信息中心”，普及校網有線、無線、專網等的基本知識及基礎問題解決辦法，以及利用公眾號進行快速報送故障等。

2.提升運維人員能力，加強技能培訓

除了通過校園網絡知識的歸納整理和宣傳之外，目前學校成立了一支具有安全管理意識的專業技能一線維護團隊。每月會針對團隊成員進行相應的業務考核和培訓，激勵成員分享故障處理案例，通過案例還原的實際操作來提升其他運維人員的技能。例如：

通過命令行操作來分析和判定網絡故障，“tracert”命令檢查路由器端口路徑設置；“ping”命令檢查網絡是否連通；“ipconfig”查看當前的TCP/IP配置的設置值等；

通過用戶電腦提示來判斷故障類別，例如任務欄電腦圖標出現紅叉、黃色嘆號表示用戶適配器或者網卡出現問題；

通過學校VPN客戶端提示678錯誤、753錯誤等，判斷用戶IP地址等問題。

因此提升運維人員處理故障的能力，進行技能培訓，可以幫助運維人員更加快速定位用戶問題，解決用戶用網故障。

故障類

目前學校故障類問題主要通過二線運維團隊上門服務來解決，他們通過專業的檢測軟件和設備來進行問題分析、問題定位以及提供后續的解決方案。從本文的圖4、圖5結合來看，故障類問題主要集中在網絡方面、用戶個人終端以及設備端口線路損壞等方面，這些故障可以通過監控軟件來提前預警，同時加強VPN客戶端的升級，以便全方位降低故障發生率。

1.建立網絡監控，加強設備維護

目前浙大網絡覆蓋面積廣、用戶數量多，且個人終端仍在不斷增加，導致網絡監管非常困難。運維人員不能及時發現網絡異常、端口報錯、UPS供電不穩定和服務器 I/O 性能下降等常見問題，致使故障頻發，用戶上網受到嚴重影響。

軟件層面，除了安裝和啟用最基本的系統自帶網絡監視器和性能監視器這兩種實用性網絡監控工具之外，更應該在系統架構的層面考慮網絡監管。在軟硬件之上安裝并啟用專業的網絡安全監控軟件，例如Web應用防火墻（WAF）、基于主機層掃描的Nessus和應用層掃描軟件Webscan，通過全局掃描和故障預警等功能及時發現服務器上部署的學校各系統出現的入侵攻擊等危險行為。針對服務器上部署的應用系統記錄日志、性能指標、錯誤提示等進行篩查，保證故障發生時能夠快速定位發生時間及原因。此外在網絡正常運營中，需定期對網絡進行整體殺毒，制定相應的應急防護措施和網絡隔離應對措施。

硬件層面，除自動防護外，部門運維人員需要對硬件進行定期維護，更換使用年限到期的設施設備。督促設備提供商按服務條款檢修維護機器設備，查看負載均衡、網絡鏈路冗余等，檢查設備線路的連接配置、網線制作、電路連通響應等，同時關注機房的空調系統、消防系統、UPS電力系統的檢修。在實際的工作中，有很大比例是由于硬件供電設備、硬件端口以及線路損壞導致的網絡故障問題，因此設備的定期保養維護是非常重要的。

2.VPN客戶端升級，指導用戶用網

目前浙江大學網絡用戶均需要使用VPN客戶端訪問校外網絡資源，用戶可以根據校區和電腦系統自主選擇下載Windows XP / Windows2003 /2007/2010或者MAC等版本的客戶端，安裝VPN客戶端后，運行Connector.exe應用程序，使用校園賬號和密碼即可訪問網絡資源。目前VPN客戶端提供不同版本供師生教工使用，故障報錯方式較為簡單，用戶只能通過報修熱線解決問題。因此后續可以針對VPN客戶端進行改造升級，細化錯誤代碼的提示、增加智能檢測功能并將相關的步驟措施鏈接在上面，用戶可以根據提示來進行設置，達到自助解決問題的效果。例如：

客戶端不再單純提示錯誤691，而是明確告之原因：（1）你已欠費，請盡快續費；（2）你的賬號密碼錯誤；（3）你的賬號未激活；（4）你的賬號被凍結。

如檢測不到IP地址，則提示：你的IP地址未設置，請先設置IP，并附加各校區IP地址表以及設置IP地址的操作步驟。

如檢測到DNS為非10.10.0.21時則提示：你的DNS設置有誤，請先修改為10.10.0.21，并附帶不同操作系統的DNS查找方式。

總結與展望

隨著校園網絡技術發展，承載的應用系統不斷增加且用戶規模也越來越大，網絡故障的數量和種類也呈復雜性和多樣化的變化趨勢。根據本文所述的綜合維護思路，要有效地防治校園網絡故障，不僅需要開展日常的維護工作，更要讓運維人員、用戶和設備提供方三方共同參與進來，主動對網絡進行全方位的監管維護，確保校園網絡的安全運行。

（責編：楊燕婷）

為浙江大學）