劉芙 傅毓海

摘要：本文從地級(jí)市角度，圍繞《教育部關(guān)于加快推進(jìn)職業(yè)教育信息化發(fā)展的意見》中提出的關(guān)于標(biāo)準(zhǔn)化校園網(wǎng)建設(shè)要求，通過對(duì)淮安市及周邊城市中等職業(yè)學(xué)校的校園網(wǎng)現(xiàn)狀進(jìn)行調(diào)查，提出了區(qū)域中職校園網(wǎng)建設(shè)的“四高”原則，力求整體推動(dòng)中職校園網(wǎng)標(biāo)準(zhǔn)化建設(shè)步伐。

關(guān)鍵詞：區(qū)域中職;標(biāo)準(zhǔn)化校園網(wǎng);建設(shè)方案設(shè)計(jì)

中圖分類號(hào)：G718 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-9094-C-（2015）01-0041-03

調(diào)查可知，目前淮安市中職校園網(wǎng)建設(shè)存在容量明顯不足、網(wǎng)絡(luò)安全沒有保障、網(wǎng)絡(luò)管理手段落后、建設(shè)經(jīng)費(fèi)不足等問題。

一、區(qū)域中職校園網(wǎng)建設(shè)思路

近期，為夯實(shí)信息化建設(shè)基礎(chǔ)，淮安市出臺(tái)了《淮安市中等職業(yè)學(xué)校標(biāo)準(zhǔn)化校園網(wǎng)建設(shè)標(biāo)準(zhǔn)》，在總體設(shè)計(jì)上以“云服務(wù)”理念為核心，堅(jiān)持統(tǒng)籌規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、模塊化部署、集中投入、校企共建的原則，建設(shè)以IPv4/IPv6雙棧網(wǎng)絡(luò)技術(shù)為基礎(chǔ)，以有線無線一體化、統(tǒng)一身份認(rèn)證管理、智能化資源管理為特色，高可用、高可控、高智能的云構(gòu)架網(wǎng)絡(luò)平臺(tái)，以高度貼合用戶應(yīng)用需求，提供按需服務(wù)（如圖1）。

整個(gè)系統(tǒng)分別由校園網(wǎng)絡(luò)平臺(tái)、數(shù)據(jù)中心平臺(tái)和網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全平臺(tái)三部分構(gòu)成。校園網(wǎng)絡(luò)平臺(tái)主要由智能有線無線一體化泛載接入網(wǎng)、高速雙棧骨干網(wǎng)、融合一體出口網(wǎng)構(gòu)成;數(shù)據(jù)中心平臺(tái)包括計(jì)算單元、存儲(chǔ)單元、網(wǎng)絡(luò)池等;網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全平臺(tái)主要從網(wǎng)絡(luò)正常運(yùn)行與維護(hù)的角度考慮必備的軟、硬件設(shè)施。

二、區(qū)域中職校園網(wǎng)建設(shè)方案設(shè)計(jì)

淮安市中等職業(yè)學(xué)校校園網(wǎng)建設(shè)方案設(shè)計(jì)主要以“四高”為標(biāo)準(zhǔn)，即“高貼合”的校園網(wǎng)邏輯拓?fù)鋱D設(shè)計(jì)、“高可控”的校園網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)、“高容量”的數(shù)據(jù)中心平臺(tái)設(shè)計(jì)和“高可靠”的網(wǎng)絡(luò)管理與安全平臺(tái)設(shè)計(jì)。

（一）“高貼合”的校園網(wǎng)邏輯拓?fù)鋱D設(shè)計(jì)

“高貼合”即是盡量滿足用戶應(yīng)用需求，提供按需服務(wù)，從而根據(jù)各學(xué)校校園網(wǎng)現(xiàn)狀，設(shè)計(jì)出科學(xué)的校園網(wǎng)絡(luò)邏輯拓?fù)鋱D。對(duì)兩臺(tái)核心交換設(shè)備進(jìn)行虛擬化，在安全網(wǎng)關(guān)上做統(tǒng)一的出入口流控，行為日志、無線控制、身份認(rèn)證、網(wǎng)管等由運(yùn)維中心統(tǒng)一負(fù)責(zé)，校內(nèi)各種服務(wù)、教學(xué)資源等數(shù)據(jù)全部集中在數(shù)據(jù)中心。見圖2。

（二）“高可控”的校園網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)

筆者認(rèn)為，區(qū)域中職“高可控”的校園網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)要以人為本、以客戶需求為導(dǎo)向，其原則為“五個(gè)一體化”：一是“接入”一體化，通過將有線網(wǎng)和無線網(wǎng)無縫融合實(shí)現(xiàn)有線、無線客戶端一體化全覆蓋接入;二是“交換轉(zhuǎn)發(fā)”一體化，通過AC控制器和有線交換機(jī)的一體化設(shè)計(jì)實(shí)現(xiàn)有線、無線流量交換轉(zhuǎn)發(fā)可共用一張網(wǎng)進(jìn)行高性能轉(zhuǎn)發(fā);三是管理認(rèn)證一體化，通過統(tǒng)一網(wǎng)管平臺(tái)和統(tǒng)一認(rèn)證計(jì)費(fèi)系統(tǒng)的一體化設(shè)計(jì)實(shí)現(xiàn)有線無線管理一體化、認(rèn)證計(jì)費(fèi)一體化;四是IPv4/IPv6一體化，有線和無線全線產(chǎn)品均支持全功能的IPv4/IPv6特性以及IPv4/IPv6一體化認(rèn)證管理;五是安全認(rèn)證一體化，有線無線均支持Web Portal/802.1X一體化、外網(wǎng)/內(nèi)網(wǎng)一體化、準(zhǔn)入/準(zhǔn)出一體化。

（三）“高容量”的數(shù)據(jù)中心平臺(tái)設(shè)計(jì)

數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，是高性能計(jì)算、網(wǎng)絡(luò)傳輸、數(shù)據(jù)存儲(chǔ)的中心。作為IT應(yīng)用系統(tǒng)的核心，數(shù)據(jù)中心已成為支撐日常業(yè)務(wù)運(yùn)作的重要核心，也是校園網(wǎng)建設(shè)的重點(diǎn)。因此，“高容量”的數(shù)據(jù)中心平臺(tái)設(shè)計(jì)主要是注重“兩大趨勢”，即“整合化、虛擬化”。

一是整合化。隨著云計(jì)算、FCoE、刀片服務(wù)器等新興技術(shù)的引入與應(yīng)用，有效地解決了整合問題。因?yàn)椴捎肍CoE技術(shù)可有效將計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)整合，在大幅降低設(shè)備和布線數(shù)量的同時(shí)也有效降低了人力、電力開支，從而大大降低了整體TCO，并充分簡化了數(shù)據(jù)中心的物理架構(gòu)、管理架構(gòu)。二是虛擬化。虛擬化是一種用于共享資源，使單一的物理資源劃分為許多個(gè)別獨(dú)立的資源的技術(shù)手段，反過來虛擬化也可使得多個(gè)獨(dú)立的物理資源整合為一個(gè)統(tǒng)一的資源。虛擬化的好處是以最小的成本創(chuàng)造更靈活的系統(tǒng)，可輕松地提供靈活的部署、先進(jìn)的自動(dòng)化，安全和易于管理。虛擬化的應(yīng)用體現(xiàn)在3類資源上：服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)。數(shù)據(jù)中心設(shè)備要綜合考慮服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、管理、性能、業(yè)務(wù)連續(xù)性等因素，設(shè)計(jì)完整的云計(jì)算數(shù)據(jù)中心解決方案，整合服務(wù)器、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等資源，形成安全可靠的虛擬主機(jī)群集，實(shí)現(xiàn)虛擬機(jī)熱遷移，秉承“一體化容災(zāi)”特色，專注于解決虛擬化保護(hù)、存儲(chǔ)保護(hù)、大數(shù)據(jù)量保護(hù)等難題。采用統(tǒng)一的管理界面可集中管理本項(xiàng)目的計(jì)算池、網(wǎng)絡(luò)池、存儲(chǔ)池、安全及優(yōu)化池。要提供SAN存儲(chǔ)網(wǎng)絡(luò)架構(gòu)，為虛擬化系統(tǒng)的部署提供統(tǒng)一存儲(chǔ)空間，提供詳細(xì)的存儲(chǔ)網(wǎng)絡(luò)架構(gòu)方案，將新采購的服務(wù)器和存儲(chǔ)設(shè)備進(jìn)行整合形成為一體化的數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)。方案架構(gòu)設(shè)計(jì)要具有彈性的擴(kuò)展能力，充分考慮用戶未來的發(fā)展需求，直至實(shí)現(xiàn)本地與容災(zāi)端的雙活云計(jì)算數(shù)據(jù)中心，最大程度降低投資風(fēng)險(xiǎn)。

（四）“高可靠”的網(wǎng)絡(luò)管理與安全平臺(tái)設(shè)計(jì)

網(wǎng)絡(luò)管理是通過相應(yīng)的管理系統(tǒng)對(duì)網(wǎng)絡(luò)及其用戶進(jìn)行的管理，目的是保障網(wǎng)絡(luò)及其信息服務(wù)系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)安全是指通過制定網(wǎng)絡(luò)安全政策和利用網(wǎng)絡(luò)安全技術(shù)（包括軟件和硬件）設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)系統(tǒng)進(jìn)行安全防護(hù)。

1.網(wǎng)絡(luò)管理設(shè)計(jì)。

一套好的網(wǎng)絡(luò)管理系統(tǒng)能給學(xué)校及教師帶來很大的幫助，并減輕很多繁雜的日常事務(wù)。隨著學(xué)校信息化建設(shè)的逐漸展開，網(wǎng)絡(luò)的層次也逐漸復(fù)雜。中職學(xué)校信息中心的教師人數(shù)一般不多，如何能高效、及時(shí)地管理好整個(gè)校園網(wǎng)絡(luò)，防患于未然，堵漏于及時(shí)，是考核信息中心教師專業(yè)水平的關(guān)鍵指標(biāo)。這種管理應(yīng)針對(duì)網(wǎng)絡(luò)平臺(tái)資源、用戶資源、數(shù)據(jù)資源、媒體資源進(jìn)行統(tǒng)一配置與控制。

因此，淮安市中職的網(wǎng)絡(luò)管理設(shè)計(jì)理念主要是做好“四種管理”。一是拓?fù)渥詣?dòng)發(fā)現(xiàn)及管理，要設(shè)計(jì)一套軟件能自動(dòng)、準(zhǔn)確、及時(shí)地發(fā)現(xiàn)各類大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并且可根據(jù)管理員設(shè)置自動(dòng)完成更新;二是對(duì)設(shè)備進(jìn)行管理，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存、流量等性能指標(biāo)，并可跟蹤這些指標(biāo)的變化情況，實(shí)時(shí)查看網(wǎng)絡(luò)設(shè)備的網(wǎng)管信息，如端口列表、ARP表、STP表、TCP/UDP會(huì)話表等信息，手動(dòng)或自動(dòng)備份網(wǎng)絡(luò)設(shè)備的配置信息，監(jiān)控主機(jī)的CPU、內(nèi)存、磁盤等使用情況，監(jiān)控HTTP、FTP、POP3、SMTP、ORACLE等應(yīng)用的可用性;三是對(duì)鏈路進(jìn)行管理，要監(jiān)控網(wǎng)絡(luò)鏈路的通斷、帶寬利用率、流量等信息，在鏈路帶寬利用率超出閾值時(shí)報(bào)警，并可統(tǒng)計(jì)指定時(shí)間內(nèi)鏈路的流量、中斷時(shí)間等;四是對(duì)終端合法性監(jiān)控，要設(shè)有合法性監(jiān)測引擎設(shè)備，能在不額外消耗網(wǎng)絡(luò)帶寬的情況下，自動(dòng)監(jiān)測網(wǎng)內(nèi)終端設(shè)備的基本屬性（IP地址、MAC地址、主機(jī)名、連接的交換機(jī)端口等），提供面向終端的安全性、活躍度、流量管理，并且可通過多種安全策略阻斷非法終端接入。

2.網(wǎng)絡(luò)安全設(shè)計(jì)。

網(wǎng)絡(luò)安全是校園網(wǎng)建設(shè)的重點(diǎn)和要點(diǎn)，需要多維度、多層面考慮，結(jié)合充分的用戶調(diào)研和實(shí)地驗(yàn)證，從接入安全防護(hù)、無線安全防護(hù)到邊界安全防護(hù)、安全監(jiān)控與日志全維度針對(duì)數(shù)字校園推出了整體安全解決方案，需解決用戶所面臨的所有網(wǎng)絡(luò)安全問題。

淮安市中職校網(wǎng)絡(luò)安全設(shè)計(jì)理念主要是注重“四個(gè)策略”。一是實(shí)施設(shè)備自身安全策略。為有效驗(yàn)證校園網(wǎng)的運(yùn)營效果，就必須從接入層交換機(jī)開始，打造高效、安全、穩(wěn)定的網(wǎng)絡(luò)。對(duì)匯聚交換機(jī)提供完整的ACL策略，并使用不同的策略進(jìn)行轉(zhuǎn)發(fā)。通過ACL策略的實(shí)施，用戶可過濾掉“沖擊波”“震蕩波”“紅色代碼”等病毒包，防止擴(kuò)散和沖擊核心設(shè)備。支持IEEE802.1x基于端口的認(rèn)證，為網(wǎng)絡(luò)提供端口級(jí)的安全保證。配合RADIUS等認(rèn)證機(jī)制，可有效防止非法用戶侵入網(wǎng)絡(luò);對(duì)無線安全的控制是在AC控制器中統(tǒng)一進(jìn)行的，包括無線入侵檢測、統(tǒng)一身份認(rèn)證、統(tǒng)一門戶、安全加密等，只需要網(wǎng)管人員配置安全策略到AC控制器上，就可完成整網(wǎng)安全策略的配置，除此之外還可結(jié)合AC和POE交換機(jī)的安全特性，輕松部署ARP立體防御、DHCP Snooping、IPv6 SAVI、ACL等安全策略，有效實(shí)現(xiàn)無線網(wǎng)絡(luò)的高安全防護(hù)能力。二是增加“關(guān)鍵協(xié)議綠色通道”策略。保障正常、合法、速度合理的關(guān)鍵控制報(bào)文（VRRP、STP、MSTP、RIP、OSPF、BGP、組播協(xié)議、雙引擎板間心跳等）在大流量業(yè)務(wù)下不被淹沒，快速處理不中斷。三是使用先進(jìn)的LPM技術(shù)策略?？傻挚埂皼_擊波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。四是實(shí)施可控制策略。在端口信任模式上檢測非法BPDU、非法DHCP Server等，從而保障網(wǎng)絡(luò)的安全。

中職校園網(wǎng)建設(shè)是一個(gè)動(dòng)態(tài)的、長期的過程，隨著信息化建設(shè)的不斷加快，多種接入方式并存、數(shù)字化學(xué)習(xí)資源總量不斷擴(kuò)充、各種教育管理業(yè)務(wù)的集成、天地網(wǎng)絡(luò)全覆蓋等對(duì)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)的需求越來越高。因此，區(qū)域中職標(biāo)準(zhǔn)化校園網(wǎng)建設(shè)要加強(qiáng)頂層設(shè)計(jì)，堅(jiān)持需求導(dǎo)向，強(qiáng)化信息共享、業(yè)務(wù)協(xié)同和互聯(lián)互通，突出建設(shè)效能，努力向著高度開放、高度集成、高速互通、虛擬智能、移動(dòng)互聯(lián)等多維度方向全面展開，有效提高網(wǎng)絡(luò)服務(wù)水平。還要加強(qiáng)經(jīng)費(fèi)投入，保持校園網(wǎng)的先進(jìn)性，定期培訓(xùn)網(wǎng)管人員，更新設(shè)計(jì)人員理念，為區(qū)域信息化建設(shè)水平的整體提升打下堅(jiān)實(shí)基礎(chǔ)。

（責(zé)任編輯：章躍一）

A Preliminary Study on the Construction Plan of Regional Secondary

Vocational Standardized Campus Network

LIU Fu & FU Yu-hai

（Jiangsu Huaiyin Business School， Huai'an 223003， Jiangsu Province）

Abstract： This paper puts forward the requirements of standardized campus network construction according to "the Ministry of Education on Accelerating the Promotion of Vocational Education Information Development" from the municipal perspective. Through the investigation of the current situation of secondary vocational campus network in Huai'an and its surrounding cities， it proposes four principles for the regional secondary vocational campus network construction in the hope of promoting its overall standardized construction.

Key words： regional secondary vocational education; standardized campus network; design of construction plan