隨著教育信息化的深入發(fā)展，數(shù)字校園、智慧校園的應(yīng)用建設(shè)不斷提升，對(duì)中小學(xué)校園網(wǎng)絡(luò)提出了更高的要求。前階段，為配合省教育專網(wǎng)的開(kāi)通建設(shè)，我校響應(yīng)市、區(qū)電教館的統(tǒng)一部署，對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行了升級(jí)改造，改造的目的是保證校園網(wǎng)絡(luò)速度更快捷，性能更穩(wěn)定，管理更高效，安全更可靠。

作為學(xué)校單位的網(wǎng)絡(luò)有其自身的特點(diǎn)，一是網(wǎng)絡(luò)終端比較分散，根據(jù)教育管理需要，教學(xué)、辦公室終端位于不同的樓層內(nèi)。二是無(wú)論是內(nèi)外或外網(wǎng)，教師一般下載較多的是教學(xué)課件、音視頻資源等，因此下載的數(shù)據(jù)信息量比較大。三是由于學(xué)生機(jī)房的使用時(shí)間集中，會(huì)出現(xiàn)短時(shí)的大流量并發(fā)數(shù)據(jù)，而且應(yīng)用像極域等廣播控制軟件，容易出現(xiàn)網(wǎng)絡(luò)廣播風(fēng)暴。

因此，要確保校園網(wǎng)絡(luò)升級(jí)改造順利開(kāi)展，達(dá)到網(wǎng)絡(luò)改造升級(jí)的目標(biāo)，作為網(wǎng)管員必須要做好以下幾方面工作。

規(guī)劃好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

網(wǎng)絡(luò)拓?fù)鋱D能直觀明了的看清楚網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)之間的鏈接，還有接口之間的鏈接，也就是反應(yīng)網(wǎng)絡(luò)中各實(shí)體間的結(jié)構(gòu)關(guān)系，這樣方便配置和排除錯(cuò)誤。網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)得好壞對(duì)整個(gè)網(wǎng)絡(luò)的性能和經(jīng)濟(jì)性有重大影響。因此在升級(jí)改造前，網(wǎng)管員要重新規(guī)劃單位的網(wǎng)絡(luò)拓?fù)鋱D（如圖 1）。

分配管理好IP地址

在網(wǎng)絡(luò)中，IP地址是運(yùn)行TCP/IP協(xié)議的唯一標(biāo)識(shí)符，因此合理有效的分配好IP地址十分重要。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

IP地址分配可以是固定IP地址，也可以采用DHCP動(dòng)態(tài)IP地址，當(dāng)然兩種不同的分配方法在管理上各有優(yōu)缺點(diǎn)。作為IP地址分配應(yīng)考慮如下一些原則，一是網(wǎng)關(guān)應(yīng)該設(shè)置成1個(gè)網(wǎng)段中的最前或最后(即XXX.XXX.XXX.1或 者XXX.XXX.XXX.254)。二是不同的應(yīng)用或用戶組采用不同網(wǎng)段，可以通過(guò)不同的網(wǎng)關(guān)或子網(wǎng)掩碼分開(kāi)，也可以通過(guò)劃分VLAN實(shí)現(xiàn)。三是要考慮設(shè)備終端的擴(kuò)容，要保留一定的備用IP地址。我們單位這次上級(jí)主管部門分給我們的IP地址 段 為 10.180.168.1—10.180.171.254。根據(jù)單位實(shí)際，我們將IP地址進(jìn)行了細(xì)化規(guī)劃，分配規(guī)劃的原則是用戶終端采用固定IP地址，根據(jù)實(shí)際應(yīng)用情況劃分不同網(wǎng)段。所以我們將10.180.168.XXX段全部用于網(wǎng)絡(luò)中心管理，其中1－30用于各類服務(wù)器或管理IP地址，如防火墻、Web服務(wù)器、ftp服務(wù)器、視頻服務(wù)器、電子圖書(shū)服務(wù)器以及無(wú)線路由器IP等。31－50用于單位公共場(chǎng)合的終端設(shè)備，如會(huì)議室、報(bào)告廳、專用場(chǎng)室等，51-80用于校園安全監(jiān)控錄像機(jī)等IP地址，201-254用于配置各樓層交換機(jī)的IP地址，其余地址暫時(shí)備用。10.180.169.XXX段全部分配給教職工的計(jì)算機(jī)IP地址，10.180.170.XXX段用于所有教室多媒體設(shè)備IP地址，10.180.171.XXX段全部用于4個(gè)學(xué)生機(jī)房的IP地址，這樣有規(guī)則的IP地址分配，有利于今后的應(yīng)用管理和維護(hù)。如出現(xiàn)IP地址沖突、流量不正常情況等，都能比較快速找到問(wèn)題終端。對(duì)于暫時(shí)不用和備用IP地址通過(guò)防火墻地址服務(wù)策略進(jìn)行封堵。

安裝配置好網(wǎng)絡(luò)交換設(shè)備

一般情況下，網(wǎng)絡(luò)的升級(jí)改造都是由中標(biāo)的IT業(yè)務(wù)單位網(wǎng)絡(luò)工程師負(fù)責(zé)安裝配置的，但作為單位網(wǎng)管員要告之本單位的功能需求和網(wǎng)絡(luò)運(yùn)維要求，便于工程師按需而配。而且作為網(wǎng)管員也要掌握基本的配置方法，如防火墻設(shè)備中策略的設(shè)置、NAT轉(zhuǎn)換配置、日志的備份與設(shè)置等，在交換機(jī)管理中要求能掌握端口映射、VLAN劃分等。為了確保網(wǎng)絡(luò)速度的提升和運(yùn)行穩(wěn)定性，主干交換設(shè)備之間的連接最好采用光纖模塊。

做好安全策略與行為控制的設(shè)置

我們這次升級(jí)的主要網(wǎng)絡(luò)設(shè)備是防火墻采用山石SG-6000、核心交換機(jī)采用銳捷RG-S8160、樓層交換機(jī)是銳捷RG-S5750和銳捷RG-S2928等，教育城域網(wǎng)和本單位內(nèi)樓宇之間將原10/100M光纖收發(fā)器換作千兆光模塊。原來(lái)的交換機(jī)不具備網(wǎng)管功能，所以設(shè)備升級(jí)后，為確保網(wǎng)絡(luò)安全和網(wǎng)絡(luò)正常運(yùn)行，網(wǎng)管員要掌握并做好相關(guān)的安全策略行為控制的設(shè)置。雖然防火墻中可以設(shè)置一些應(yīng)用策略，但作為行為控制方面的功能還是比較少的，所以作為網(wǎng)絡(luò)管理者不僅要掌握控制硬件設(shè)備的運(yùn)行情況，更要了解終端用戶的上網(wǎng)情況，因此在升級(jí)改造中有必要考慮安裝一款適合本單位的行為控制軟件設(shè)備，我們單位是采用網(wǎng)路崗軟件，通過(guò)核心交換機(jī)上配置鏡像端口來(lái)實(shí)現(xiàn)控制，效果很好。

做好資料歸檔工作

作為一項(xiàng)網(wǎng)絡(luò)升級(jí)改造的系統(tǒng)工程，做好必要的檔案資料整理，有助于今后網(wǎng)絡(luò)系統(tǒng)的維護(hù)。主要做好這幾方面的資料歸檔，一是記錄好所有網(wǎng)絡(luò)設(shè)備的登錄帳戶和密碼，考慮到網(wǎng)絡(luò)的安全性，必要的時(shí)候還要更改安裝工程師給你設(shè)定的初始密碼。二是收集整理好各類設(shè)備的報(bào)修卡、操作手冊(cè)、使用說(shuō)明書(shū)等檔案資料。三是匯總整理好本單位的拓?fù)鋱D、IP地址分配表、設(shè)備MAC地址登記表等信息，對(duì)于MAC地址，可以通過(guò)登錄核心交換機(jī)，運(yùn)行show arp命令獲得。

在這次網(wǎng)絡(luò)升級(jí)與改造過(guò)程中，我們也碰到了一些問(wèn)題和實(shí)踐體會(huì)，在此也進(jìn)行一起分享。在本次升級(jí)改造中，對(duì)樓宇之間的主干線路換成了光纖模塊，但對(duì)于個(gè)別樓層之間，因網(wǎng)絡(luò)通訊速度和要求不高，仍采用光纖收發(fā)器，但在插拔更換光纖收發(fā)器后，出現(xiàn)了網(wǎng)絡(luò)不通，指示燈閃爍正常，后來(lái)找到的原因是因?yàn)楣饫w收發(fā)器有單模與多模搞之分，結(jié)果插拔調(diào)換后變成一端是多模，一端是單模的情況，因此導(dǎo)致網(wǎng)絡(luò)不通。

設(shè)備需同步更新。如果樓層交換機(jī)采用千兆設(shè)備，但樓層之間如果還在用百兆的光纖收發(fā)器，那千兆設(shè)備的性能仍是不能正常發(fā)揮出來(lái)。對(duì)網(wǎng)絡(luò)的速度仍然有制約的。

網(wǎng)絡(luò)升級(jí)改造一般是為了提高網(wǎng)絡(luò)的速度、安全性和穩(wěn)定性，因此往往會(huì)考慮更新防火墻和交換設(shè)備。防火墻有一定的安全策略與控制，但在行為控制上有一定缺陷，因此在升級(jí)改造時(shí)要考慮部署相應(yīng)的行為控制軟件或硬件設(shè)備。

4.學(xué)校單位的學(xué)生機(jī)房由于上網(wǎng)時(shí)間集中，訪問(wèn)量大，機(jī)房?jī)?nèi)機(jī)器一般都裝有像極域等控制軟件，容易出現(xiàn)廣播風(fēng)暴，容易有病毒的威脅。一般將機(jī)房電腦獨(dú)立成內(nèi)網(wǎng)通過(guò)代理或路由出去。對(duì)整個(gè)單位的網(wǎng)絡(luò)影響會(huì)小很多。我們的做法是將升級(jí)換下的原學(xué)校總出口的三星NXG150-E防火墻（帶路由功能）作為學(xué)生機(jī)房的路由。這樣相當(dāng)于把學(xué)生機(jī)房的所有計(jì)算機(jī)作為獨(dú)立的局域網(wǎng)。通過(guò)適當(dāng)?shù)呐渲?，既安全又快捷?/p>

下階段我校將配合智慧校園建設(shè)，再作一次無(wú)線網(wǎng)絡(luò)的升級(jí)改造。