校园网络运维服务方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的校园网络运维服务方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：校园网络运维服务方案范文

关键词：移动学习；学习环境；校园网；无线网络

中图分类号：G434 文献标志码：A 文章编号：1673-8454（2014）07-0087-03

一、引言

移动学习是要实现学习者在任何时间、任何地点，通过任何终端设备都能进行学习活动的学习方式。[1]其系统环境包括三个层次：移动学习装备环境（DE）、移动学习支持环境（LE）和移动学习服务环境（SE），并且基于技术驱动逐步进行演化发展。[2]

如图1所示，移动学习中的每个环节都依赖于网络，为了提供移动学习的便捷性，实现真正意义上的任何地点和任何终端，仅靠单一性的无线网络无法满足需求，必须实现无线网络和有线网络的融合，通过有线无线一体化的网络来提供基础网络的支撑。

二、网络一体化设计

移动网络的带宽及学习者的成本直接关系到移动学习是否能被接受，而移动网络的速率制约着教学资源开发和学习活动的质量。WLAN（无线局域网）作为传统有线网络的补充，在覆盖率和移动性方面具有非常大的优势，在速率上要优于2G，在自费上又优于基于流量计费的3G。[3]《教育信息化十年发展规划（2011-2020年）》中对信息化公共支撑环境提出了要求，各个学校在既有网络基础上，大力建设WLAN，但是经费的不足是众多学校面临的最大问题，积极引进社会资金进行校园信息化建设是目前许多高校的流行做法。

校园网的商业投资运营模式多种多样，利用运营商的资金，既能解决学校经费问题，又能创建良好的网络环境。校园网的主要用途是为教学科研服务，是非营利性质，无论选择何种模式，学校必须坚持的原则是校园网必须处于学校监管之下，在运维管理上学校要掌握主动权。

运营商投资校园网建设能实现双方某些方面的优势互补，合作是把双刃剑，利用好双方受益；利用不好，合作中不断产生摩擦造成不愉快，最后不欢而散。校园网和企业网在运维和管理上存在差异，在合作过程中，学校出让网络运维管辖权由企业垄断运行，但内部资源共享，保密信息保障，网络舆情实时监控并及时响应是必须解决的。学校和运营商的利益诉求也存在差异，运营商投资势必注重收益，企业形象和用户固然重要，经济利益是企业的生命，运营商往往将投资成本转嫁给用户，额外增加用户的负担。因此，如何找到平衡点才是重中之重，处理好双方的关键在于处理好建设、管理和受益的关系。

在校企合作中，一种模式是运营商代建代维。这种模式完全由运营商主导，从方案的规划、设计、建设和运维完全由运营商负责，这种模式一般在中小学和职业类院校中较多。出于学校财力和信息化技术水平的因素，在新建网络或者大规模网络改造时，完全交由运营商负责，学校放弃主动权。另一种是学校建设，运营商租用运维。这种是学校先期投入，但是由于配套运维的人力和财力有限，为了使得系统能稳定持续的运行，必须由外部公司介入；或者运营商强行介入学校的网络。有时学校又不想完全放弃管理权或者在放弃一段时间后又想收回，因此有可能出现校方与运营商共同运维。

以上两种方式各有优缺点，都不是最好的，最优的方案是运营商建设，学校运维。这种模式是方案的规划和设计由双方共同商定，由运营商出资建设，后期由学校运维，在收益上与运营商分成。由运营商投资建设学校无线网络，并负责基础设备和线路维护，学校负责核心设备和骨干线路的维护监管。运营商提供学校出口链路，增加出口带宽，提供公网地址用于NAT。无线网络通过唯一出口与校园网连接，此模式建设的无线网络是校园网的一部分，学生可以自由选择无线接入或有线接入，访问校内资源不受运营商的限制，访问外网必须经过学校的认证计费和审计系统，因此，网络和用户都处于学校的监管中。作为投资回报，用户选择无线网络接入时，需要支付一定的接入费，该费用必须双方协商，充分考虑了学生的承受能力后制定。

三、建网方案

1.网络架构

学校在建设无线网络过程中，不希望改变现有网络架构或者尽量减小。根据学校原有组网模式，在已有教学科研子网、学生公寓子网、图书馆子网和一卡通专网基础上，新建无线子网。[4]无线网络独立成网，通过多台OLT实现各个校区互联，校区间通过内部光纤互联，无线子网只有唯一出口，并与校园网核心路由器连接，而不是通过运营商的线路直接与互联网连接。这样无线网络无需改变校园网现有架构，新建的网络属于校园网的一部分，是成为有线网络的的补充。从图2中可以看出，WLAN属于学校网络的一部分，非独立运行网络，这就避免了将用户全部移交给运营商，用户将脱离学校的管理，同时，不影响用户访问校内资源。

WLAN使用开放频段，在2.4G频段只有3个不重叠信道，有的学校采取的是双通道方式，即分成两个SSID，一个访问校内资源、一个访问校外资源，两者不能同时共享，访问连接校内资源访问的SSID不能放问校外资源，必须重新选择信号。在多个运营商进入学校需要共用一套系统时，就无法区分，需要通过新建一套系统，这样避免不了信号的干扰。因此按照“多SSID”方式共享WLAN的设计方案，目前在AP上提供CMCC-EDU SSID，如果后期其他运营商需进入校园，只需租用，并广播ChinaUnicom-EDU或ChinaNet-EDU SSID，分别对应运营商各自的业务VLAN，在AP级联交换机上进行业务区分，并连接到运营商各自的业务平台上，与各自的原WLAN业务采用同样的认证、计费方式。[5]

2.认证计费

采用“运营商建设学校运维”模式的WLAN，由于需要对接学校和运营商的系统，因此认证计费更复杂，为避免由此带来用户体验的影响，需要在业务流程上进行优化，综合考虑与有线网络的整合，采用有线无线一体化认证设计方案，尽量将操作交由系统完成，实现用户一次操作即可访问网络。学校将有线和无线网络纳为一体化管理后，在资源访问上带来方便，用户可根据自己的上网需求选择不同的计费策略，按照上网接入类型的不同和上网时长的不同，共有以下8中组合可选，如表所示。

认证计费系统硬件上采用集中式的BAS，所有用户的认证都由该设备管理控制，这样既实现了多运营商共享WLAN前端设备、后端区分各自的用户，又能实现有线无线用户的统一管理。采取DHCP加Portal方式，用户的账号都是由Portal进行认证，采用基于Radius CoA的方式，由BAS设备与统一的Radius进行互动，进行基于用户的策略，免去客户端软件相对繁琐的接入要求。Portal把账号信息转交付给后台Radius，由Radius自带的用户账号数据库（或通过接口使用数字化校园的用户帐号数据库）进行认证。Radius认证结束后，一方面会通知Portal给出相关提示给用户，如“认证通过，可以访问网络”，也可能是“认证失败，用户名或密码错误”等。另一方面Radius同时会根据认证结果通知BAS设备进行相关策略调整，让认证通过的用户可以连接到外网资源，让认证未通过的用户无法接入到外网。

采用有线无线一体化认证，账户使用学号和教工号，而无线网络是否能够接入取决于该用户在运营商的认证计费系统中是否有相应的权限，因此，学校的认证计费系统需要实现学校账户和运营商手机账户的双重校验，由于运营商的系统不能直接控制，所以通过Radius的方式来实现。如图3所示，通过BAS上获取用户接入的NAS-PORT-TYPE属性区分用户是通过有线还是无线方式接入网络，有线用户采用出网认证，如果是有线用户在获取地址后，可以直接访问校内资源，访问校外时弹出Portal页面进行认证，认证通过后可以访问其他资源；无线网络由运营商投资，使用无线网络需要收取资源使用费，因此采用入网认证方式，首先将Portal传递的学号在本地Radius中进行校验是否为合法用户，通过后将学号转换成对应的手机号，并根据号段通过Radius协议发送到对应的运营商系统中认证，认证通过后返回本地Radius，然后再进行本地的计费策略。[6]

当用户需要下线时，通过在Portal页面上点击下线按钮，Radius系统将发送下线信息到BAS，对用户做下线处理。而当用户没有点击下线按钮，而是直接关机或者拔掉网线时，则通过BAS上的DHCP lease time（一般设置为5分钟）来控制，当超出DHCP租期时，自动断开用户连接，并发送下线信息到后台的Radius系统，同时由Radius将下线请求发送给运营商的计费平台，实现用户的计费终止功能。

四、小结

随着虚拟化、云计算和物联网的发展，学校、社会教育机构及运营商共同建设软件即服务（SaaS）的教育云。由运营商和学校共同建设基础网络，教育工作者进行学习资源建设和教学设计，管理人员保障设备和系统的稳定运运营，通过统一信息门户为公众提供服务，使得移动学习成为实现学习社会化和终身化的重要途径。

参考文献：

[1]Desmond Keegan.从远程学习到电子学习再到移动学习[J].开放教育研究,2000(5):6-10.

[2]方海光,王红云,黄荣怀.移动学习的系统环境路线图[J]. 现代教育技术,2011(1):14-20.

[3]R.Housley, T. Moore. Certificate Extensions and Attributes Supporting Authentication in Point-to-Point Protocol (PPP) and Wireless Local Area Networks (WLAN). IETF RFC 3770, May 2004; /rfc/rfc3770.txt.

[4]涂中群.一种基于流量域的功能分区组网新模式[J].通信技术,2008(10):154-156.

第2篇：校园网络运维服务方案范文

【关键词】网络数字化；架构；数字化校园

一、校园数字化概述

数字化校园的基本定义：以网络为基础，利用先进的信息手段和工具，将学校的各个方面，从环境（包括网络、设备、教室等）、资源（如图书、讲义、课件等）、到活动（包括教、学、管理、服务、办公等）数字化，逐步形成一个数字空间，从而使现实校园在时间和空间上获得延伸，在现实校园基础上形成一个虚拟校园。数字化校园旨在用层次化、整体性的观点来实施校园信息化建设，利用校园网把教学资源和管理信息更好地组织分类，为教学工作提供基于网络环境的信息化教学平台，为管理、科研工作提供基于网络环境的信息化管理平台。普校信息化建设从上个世纪90年代开始，信息化建设取得了显著成果。伴随着校校通工程、班班通、金教工程等战略项目，校园基础网台、信息平台、应用平台、手机一卡通、安防监控、多媒体等信息化在全国各地广泛建设，校园信息化对学校教学、管理、生活、服务等进行资源整合，提供统一服务，并产生了重要的经济价值。

根据目前学校业务应用的使用情况，大体上把业务系统分为三类，教学管理、行政管理及特色应用等。行政管理中的业务系统的服务端大部分在信息中心，学校作为客户端使用，主要是为了提高行政管理的效率，包括OA办公、一卡通、人事管理、财务管理等；教学管理中的大部分业务系统各个学校都会独立建设，主要是为了提高教学管理的质量，包括数字广播、备课系统、多媒体录播系统等，实际上，目前行政管理和教学管理的业务系统基本上各地都已经建设了，差别在于，特色应用中的业务系统各个学校根据自己的情况建设的侧重点不一样，如各地目前关注度比较高的特色业务系统包括网上阅卷系统、多媒体录播系统、同步课堂等。

二、数字化校园的发展阶段和趋势

校园数字化不可能一蹴而就，它的实现是一个长期努力的过程，学校数字化有一个从无到有的过程，从初级阶段不断深入发展走向高级阶段的过程，从全国数字化校园的现状和发展趋势分析，数字化校园建设经历了四个阶段，包括网络集成、系统集成、应用集成、数据集成共四个阶段。

第一阶段网络集成，主要以基础网络建设为主，大部分普通中小学处于网络集成这一阶段，考虑的是基础网络如何建设，如怎么建设有线校园网、无线校园网、校园网安全加固等。

第二阶段系统建设，以服务于系统建设为主，大部分重点中小学在这一阶段，考虑业务系统如何建设，如一卡通系统，是作为刷卡消费，还是门禁控制、电梯控制，课程管理、多媒体录播系统怎么建设，如何监控这些业务系统的运行，业务系统的数据安全保证等。

第三阶段应用集成，主要是做统一身份认证平台、单点登陆系统等，信息化做的比较好的重点中小学在规划应用集成，如何把有线、无线、远程VPN等各种不同接入方式统一纳入一个平台进行管理，多媒体录播、OA系统、视频监控等一系列业务系统，如何实现单点登陆，方便师生的使用。

第四阶段数据集成，主要实现数据开发标准、数据结构的统一，实现各个业务系统间的数据实时共享，由于数据集成涉及到应用系统的大量开发工作，周期长，投入大，目前，普教学校涉及应用集成方面比较少。

三、3+N+1架构

针对目前的数字化校园信息建设的发展，提出3+N+1解决方案，3表示3个平台，基础设施平台、应用支撑平台、公共认证平台，1指的是通过单点登录实现1个统一门户，N指的是重点中小学的N个业务系统。

数字化校园建设的核心是教育信息化业务系统的建设，业务系统向下由三个平台进行支撑保障，向上形成单点登录、统一门户，为学生、教师、领导、家长、公众等提供服务。

在数字化校园整体架构中，网络涉及到基础网络平台、公共认证平台、运维支撑平台及单点登陆统一信息门户的建设，具体如下：

（1）基础网络平台：包括有线、无线、核心平台、网络出口等基础网络建设。

基础网络平台要具备智能的特点，包括智能高可用的核心平台、智能安全的网络出口、智能的接入、智能的网络管理。比如网络出口要能智能转发，智能带宽优化、双风扇、双电源保障高可用，采用双链路、双核心的拓扑；其次是智能，出现问题时能自动检测和紧急恢复。

（2）公共认证平台：通过有线、无线、VPN等各种不同方式的统一实名接入，实现网络层的实名认证、实名访问权限控制、实名流控及实名审计等。

建立校园网公共认证平台，可实现有线用户、无线用户、远程访问的VPN用户的统一认证，每个用户有线网络、无线网络、VPN访问使用同一份身份信息、同一套账号密码，同时，可以实现有线无线的统一拓扑管理、批量配置及实时告警等功能。

（3）业务支撑平台：通过核心组件支撑，运维体系及日志系统。通过接入交换机、无线设备、出口设备等相互联动实现校园网的整体安全，同时，通过业务运维管理系统实现整体业务的运维管理。

业务支撑平台作为3+N+1架构中的三个平台中的重要组件之一，向下保障众多的基础设施等更好的统一运行、统一管理，充分发挥硬件资源的利用率，避免各自为政、单点故障等；向上保障教育业务系统的稳定运行，保障用户的良好体验，包括运维体系和安全体系的设计。通过运维体系实时展示业务系统的运行和使用情况，可视化的展示IT资源，另外，还可综合分析业务系统和IT资源的历史使用情况，为教育信息化的升级改造提供有利的数据支撑和依据。数字化校园的安全设计需要考虑用户身份安全、主机安全、网络安全、安全策略管理等四个主要方面。

（4）统一门户、单点登陆由核心组件RG-SSO支撑，实现各种业务系统的单点登陆。

公共认证平台必须实现单点登录，不管是无线网络的接入、有线网络的接入，还是VPN用户远程接入，网络认证作为单点登录的唯一入口，通过的单点登陆系统，实现对网上阅卷、OA办公、人事系统、教育资源库等各种业务系统的整合，实现业务层的单点登陆；若通过网络层的认证，登录系统就会把与该用户身份相关的业务系统登录地址推送给该用户；同时，通过网络层的安全控制，保障应用层的账号信息更安全，保障用户的良好体验。对现有系统不需要做任何改动，师生的电脑上不需要安装任何软件，业务服务器上也不需要装任何程序，就能实现登陆

四、数字化校园3+N+1解决方案的特点

网络层的单点登陆，实现VPN、WLAN、LAN等多种接入形式的单点登陆及统一界面，方便学校树立安全、良好的形象，网络层与应用层的单点登陆，方便师生访问业务系统，体现校园网建设的亮点。

（1）基于用户名的应用层流量控制，提高带宽资源的利用率，较少抱怨和投诉，保障师生访问网络的良好体验。

（2）学校信息化技术力量薄弱，人员少，解决用户接入不可控和审计难以真正定位到人的老难题，方便管理。

（3）满足学校数字化校园信息规划的需求，建设有特色的3+N+1数字化校园，体现学校信息化的水平。

（4）满足公安部门、教育局等安全性检查的要求。

参考文献：

[1]许志英.数字化校园建设的研究[J].计算机教育，2007，10.

第3篇：校园网络运维服务方案范文

近年来，随着我国社会经济的不断发展，国家对教育事业的支持和投入不断增加，我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段，为教育模式的创新、先进教育理念提供了可靠的实现方法。

高校信息化主要以数字化校园建设为主，主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等；大学数字化校园建设通常先提出总体解决方案，确定数字化校园的体系结构，制定数字化校园的信息标准，以及各系统之间的接口标准，然后分阶段实施。建立全校的网络安全体系，保证校园网络的安全，保证关键数据、关键应用的安全以及关键业务部门的安全，实现校园网络及其应用系统的安全高效运行。

1教育信息化中的安全体系建设

在教育信息化建设过程中，信息安全体系是保障教育信息系统的信息完整、系统可用和信息保密的重要支撑体系，对各级学校、职业教育、教育主管机构的正常工作起到了至关重要的保障作用。各级教育主管部门对教育信息系统的安全体系建设给予了充分的重视，也是由于教育信息系统的复杂性、多样性、异构性和应用环境的开放性，给整个信息系统带来了巨大安全威胁。以高校数字校园信息系统为例，高校数字校园信息系统的建设是由高校业务需求驱动的，初始的建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前高校网络系统是一个庞大复杂的系统，在支撑高校业务运营、发展的同时，信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出，成为高校面临的重要的、急需解决的问题之一。在进行数字化校园建设的过程中，也曾发生不少信息安全事件，如某高校数据中心一台服务器被黑客入侵，成为肉鸡，被植入僵尸木马程序，受黑客控制疯狂往外网发包，导致学校网络出口瘫痪；某高校在高招中发现网站被挂马、篡改，并且学校内部也曾经发现学生成绩的数据库，有被恶意篡改的痕迹。

2网络安全威胁分析

（1）高校网站的安全威胁，包括高校门户网站、高校招生网站、二级各院系等网站，由于高考、招生、学生就业等敏感时期，聚集了大量的学生及家长访问流量，也引起黑客的关注，高校网站面临的主要安全威胁有：网页被挂马、被篡改，黑客通过SQL注入、跨站脚本等攻击方式，可以轻松的拿到高校网站的管理权限，进而篡改网页代码；部分攻击者将高校网站替换成黄色网站，影响极其恶劣。每年高考招生及高校重要节日期间，高校门户网站极易被DDOS攻击，这种由互联网上发起的大量同时访问会话，导致高校网站负载加剧，无法提供正常的访问。入侵者成功获取WEB服务器的控制权限后，以该服务器为跳板，对内网进行探测扫描，发起攻击，对内网核心数据造成影响。（2）随着校园网信息化的逐步深入，业务系统众多，“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大高校采用，而这些系统由于管理及防护不到位，面临着较严重的安全威胁：业务系统缺乏必要的入侵防护手段，高校网络规模扩张迅速，网络带宽及处理能力都有很大的提升，但是管理和维护人员方面的投入明显不足，没有条件管理和维护数万台计算机的安全，一旦受到黑客攻击，无法阻断攻击并发现攻击源；部分高校“一卡通”充值系统与银行互联，边界缺乏必要的隔离和审计措施，出现问题不方便定位，难以追查取证；校园网数据中心内的系统应用众多、服务器众多，管理及维护方式也不尽相同，无法做到所有的系统实施统一的漏洞管理政策。同时，对于存在安全隐患的配置检查，也缺乏自动化的高效检查工具和控制手段；业务系统权限控制不合理，有安全隐患。

3需求分析

根据对高校校园网络的威胁分析，得出在校园网络安全体系建设中，各个网络区域和业务系统的安全需求如下：

（1）校园网络出口应对可能发生的拒绝服务攻击进行有效识别、过滤、清洗，保证网络出口的畅通，保证骨干链路的负载处于正常范围之内。（2）网络出口链路应有相应措施，对来源于公网或内网的黑客入侵、病毒传播等安全威胁进行实时识别与阻断。（3）DMZ区及内网服务器区出口链路上，应对针对WEB应用的7层攻击，如SQL注入、XSS、HTTP GET FLOOD等威胁进行全面深入的防护。（4）应对流经核心交换区域的所有流量进行深入的检测，以识别内部各网络区域之间发生的入侵事件和可疑行为。（5）应对内网用户的网络行为，如公网访问、数据库访问等进行全面的记录和审计，以满足违规事件发生后的追查取证。（6）应在不同校区之间的链路接口进行访问控制、病毒检测、入侵防护等安全控制措施。

应对全网的网络节点进行漏洞风险管理，实现漏洞预警、漏洞加固和漏洞审计的全程风险控制。（7）应对全网的网络节点进行配置合规管理，实现违规配置及时识别、配置整改全面深入、配置风险全程可控。（8）应对运维管理人员进行详细严格的权限划分，并通过技术手段控制运维行为权限，对运维行为进行全程审计，对违规运维操作进行实时告警。

4遵循等保要求

2009年11月，教育部为进一步加强教育系统信息安全工作，由办公厅印发《关于开展信息系统安全等级保护工作的通知》（教办厅函[2009]80号），决定在教育系统全面开展信息安全等级保护工作；等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过等级化方法和高校信息安全体系建设有效结合，设计一套符合高校需求的信息安全保障体系，是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。

5网络安全建设方案

（1）在校园网出口处旁路部署抗拒绝服务攻击系统（ADS）对拒绝服务攻击流量进行清洗，并且旁路部署网络流量分析系统（NTA）对网络流量组成和DDOS攻击成分进行分析和判断。在正常环境下，旁路部署的ADS不参与网络出口流量的路由和交换，边界路由器通过NETFLOW等技术将流量信息发送给NTA，由NTA分析流量特征，判断是否遭受DDOS攻击。当发现遭受DDOS攻击时，NTA将激活ADS，由ADS向边界路由器发送针对特定防护目标IP的路由，将所有去往被攻击目标IP的流量牵引至ADS设备。ADS系统进行恶意流量的识别和清洗，将不含有攻击成分的合法流量回注至边界路由器，按正常路由路径发送至目标IP。（2）在出口链路部署入侵防护系统，对接入互联网的访问流量进行深入过滤，有效抵御源自公网的入侵威胁，消除安全风险。（3）在DMZ区和内网服务器出口处部署WEB应用防火墙，对服务器区的WEB服务器进行全方面的防护，对针对WEB站点的黑客攻击，恶意扫描、SQL注入、跨站脚本、病毒木马传播、暴力口令破解、网页篡改等攻击手段进行深入防护。保障网站、电子教务系统、一卡通系统等应用系统的正常工作。（4）在核心交换区旁路部署安全审计系统，通过将核心交换机上各端口的流量镜像到安全审计系统的监听链路，实现对流经核心交换机的网络数据进行全程的审计和过滤。通过制定详细的安全审计策略，对违反审计策略的网络行为进行实时告警。此外，安全审计系统由部署在网络运维区的安全中心进行统一监控与策略下发，并实时收集网络时间日志和告警信息。（5）在核心交换区域的出口链路部署下一代防火墙，实现出口链路的流量检测和安全过滤，保护内部网络安全。建议在核心交换区域与各个校区的网络边界处部署下一代防火墙，通过下一代防火墙对应用层攻击、病毒进行全面阻断，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制，保证不同网络区域之间的安全防护边界完整。同时，通过安全管理区的安全管理服务器上安装安全中心对该设备进行全面的管理。

第4篇：校园网络运维服务方案范文

关键词：无线校园网；移动终端；无线建设调研

0引言

进入2014年，国内的高校似乎不约而同的达成了一个统一认识，需要建立无线校园网，在移动互联网如火如荼发展的新形式下，已在高校内成熟运行的有线网络，逐渐不能满足新的移动终端的需求。无线技术初始大规模应用于笔记本电脑，极大提升了笔记本移动办公的效率，然而，在笔记本黄金发展时期，并没有带来无线网络的迅速普及，从2008年起，Google了第一款基于Android系统的智能手机，短短6年间，Android智能手机以压倒性的优势占据了国内外手机市场，苹果的IOS平台和微软的wP作为令外两大智能机系统平台也毫不示弱，智能机雨后春笋般的爆发带来了一个迫在眉睫的问题――网络问题，如何高效接入互联网。

当越来越多的移动智能设备在校园内使用，学校层次不得不考虑如何有效地跟随信息化发展的脉搏，恰如其时的进行移动校园网的建设，满足师生员工日益增长的移动网络需求。一旦产生建设无线校园网的想法后，我们首先所要做的事情就是去有无线校园网的兄弟院校进行调研，与公司进行技术交流。本文将在调研过程中一些观点和共识经验予以阐述。

2无线校园网的定位与特点

无线网络可以定义为有线网络的补充，也可以定义为一种全新的符合信息化时代应用发展潮流的主导网络。对于高校信息化建设，我们需要对用户日益增长的无线网络需求具有前瞻性，今年以来含有WIFI模块的移动设备逐渐遍及校园，对无线网络的需求也越来越迫切，特别是图书馆、教学楼等用户集中的场所，未来将毫无疑问的是无线网络的领域。基于不同的定位，未来网络规划以及资金的投入将会有大不同。

相比于公共场所的无线网，校园内的无线网络应避免过于强调覆盖区域的大小而不考虑是否能使用，应做到无线覆盖到哪儿，哪里就能正常的使用，否则将不利于无线校园网的实际应用及后续建设，甚至会影响到建设单位的声誉。因此既要限定AP的发射功率在国际标准范围内（缓解用户健康安全的担忧），又要保证既覆盖就能通信。这是区别于运营商自建无线网络的最大区别。

无线网络由于其物理层载波技术的特点，任意时刻AP只能与一个终端进行通信，必须要采用合适的流控手段限制用户的最大并发数，让如P2P之类的软件能工作，又要减少用户自身行为导致的上网速度慢和影响他人使用无线网络等问题。

3无线校园网的规划

建设无线校园网的最终目标是做到全校覆盖，完全做到并超过有线网络的覆盖度，并能做到无缝漫游。在实际建设中，需要根据整体规划将无线校园网建设分为若干期进行建设，主要有如下几点的考虑：

资金问题：要做到一次性全部覆盖，存在巨大的资金压力，即使有运营商的共建模式，较好的建设方式也是先试点某些区域。

建设过程的总结：无线校园网的建设过程，是一个学习的过程，不断地积累方能在后期建设中予以应用，对于节约建设周期、少走弯路、减少出现的问题是相当有益的。

建设区域的特殊性：不同的区域有不同的应用需求，同时区域内的电磁环境也相差极大，需要采用不同的建设策略、设备选型以及技术方案。

4无线校园的技术细节

AP总量的规划：从实际情况以及应用经验看，如教室、图书馆的用户密集场所，每人持有的无线终端数量可能不止1个。因此AP实际能支持的最大用户数并发数是非常重要的指标。部署AP的数量应保证其支持的用户数接入数不少于座位数，且应预留网点以备将来能新增AP。

集中转发与本地转发：实际应用中，在不同的场景下考虑不同的转发模式，整网不必局限于一种固定的模式。在图书馆、教室、大型会议场所等高密度用户场所，可采用本地转发模式，其余场所则可采用集中转发模式。在集中转发下，大流量会对AC性能产生影响，而本地转发对AP的配置要求相对复杂，因此建议将两种方式结合以各取所长，分别用于不同的场景。

Portal认证模式下请求攻击：在Portal认证模式下，Portal认证服务器会拦截用户的HTTP请求，予以重定向，返回认证页面，实际情况下，非浏览器的行为发生的HTTP请求相当多，如后台运行的软件更新请求，这些大量的、无效的HTTP请求会严重降低认证服务器的性能，直接导致认证页面迟迟不能打开，在密集场所，此现象更为突出，建议部署一台跳转服务器，专门用户处理HTTP请求。

同频干扰问题：目前业界采用的微蜂窝技术（以junipe、锐捷、H3C等厂家）和同频部署技术（梅鲁）。微蜂窝技术类似于GSM基站的安放模式，合理选点，降低功率，相邻信道隔开，使用频分和时分技术；梅鲁的同频部署由于同一片区域内AP都工作于同一频率，无需频分，只需要时分技术，同时时分技术也是梅鲁最先提出并实现的，由于同频工作的原理，决定了AC的负载变大，待机数量减少，且如果是本地转发，各AP需要接受AC的策略协商处理转发。

vlan划分与用户认证：如果所有的AP处于同一vlan下，用户不存在vlan之间的漫游，在AP间切换时，无需再次认证，但此时来自网络的风暴会影响无线网络的正常运行，且不能定位到用户所在区域信息；将AP按区域划分到不同的vlan，用户在vlan间切换时，如果不做特殊处理，认证设备需要用户重新认证，用户体验不好。

5无线产品测试环节

无线产品的测试是理性的获知产品的性能，为后期的招标提供参考依据，从纯粹测试的角度出发，逐项功能测试是不可行的，学校不是测试机构，也不具有专业的测试设备，一般会选择关注的要素进行测试。在学校制定的测试项中，接入能力、吞吐率以及并发用户数是必须要测试的，这些是由区域的高密度接入所决定的，同时为了公平起见，建议由校方准备测试终端，避免测试厂商疑虑对方的测试终端是不是特别优化过。

6无线校园网的运维管理

无线校园网属于基础网络，建议校方行政规定要有绝对的控制权，不宜由运营商独建，即使是共建模式，应确保设备以及线路都属于校方，出于校内安全问题的考虑，线路的运维由校方负责，运营商分摊运维费用。

（1）有线无线一体化。包含运维一体化、资费一体化等。在现有运维管理软件中要体现出无线设备的状态，监控POE交换机的工作状态，及时定位故障AP；有线、无线的计费应使用一套计费系统，有线最佳的计费策略是计时，而无线的最佳计费策略是计流量，这是由他们的使用场景所决定的。进行适当的换算，以精简的计费策略供用户选择，不仅方便用户，更在运维层面减少大量工作。

（2）无线网络精细化管理。考虑到不同区域，不同时间，不同用户组，认证系统需要和无线网管系统相互配合，动态下发控制策略，满足不同群体的需求，如接入保密区域的终端不能上外网，离开之后，接入其他AP则可以访问Internet；考试期间，教学楼里面的无线对学生而言只能上校园网，而教师则可以接入外网等。

第5篇：校园网络运维服务方案范文

【关键词】校园网 虚拟化 VMware vSphere 测试

【中图分类号】G434 【文献标识码】B 【文章编号】2095-3089（2014）7-0236-03

目前校园网在前期的系统架构建设中，一般都依托IT 技术的发展，大多建立了基于服务器、存储、网络、终端和各类应用系统的IT传统架构。随着信息化建设的进行，往往形成有十几套随着数十套各类应用系统在传统IT架构上运行。这对整个运维工作带来了巨大的挑战。然而随着全球IT技术的快速发展，虚拟化架构的出现和应用被逐渐证明是更加适应各类企业、学校、政府等的IT架构，同时也更加绿色环保，并且在管理上也更加的快捷、方便。本文以VMware公司所开发的VMware vSphere在校园网中的适用性进行探究。

1、传统校园网IT架构的特点及主要存在的问题

1.1 校园网IT架构特点

校园网的建设是为学校教学、教育科研提供优质的网络化教学环境服务的，是具有交互功能和专业性较强的计算机局域网络。除了有必备的硬件设备和操作系统平台外，还提供多媒体教学资源、教师备课系统、电子图书阅览检索、多媒体教学软件开发平台、校园网站和教学资源网站建设、教学教务管理及行政事务管理等。并且提供包括提供Internet服务、远程教育服务、电子论坛、视频会议等通信功能。因此，校园网是集有教学、管理、通信等三大功能为一体的综合性网络架构。

1.2 主要面临的问题

1.2.1服务器资源没有充分利用

由于校园网承担了多样化的任务，因此在建设中往往在购买服务器的一般都按较高配置采购，以保障应用在高峰期能够正常使用并为后续使用负载留足资源。但如此一来服务器资源有相当部分没有得到充分的利用，特别是在非高峰期时。一般来说在90%的非高峰期内，有70%的服务器资源的闲置的，实际利用的只有30%左右。这样不仅造成了资源的浪费和运维费用的高企，还使得管理人员运行维护工作量和难度的增加，对整体系统稳定运行也埋下了隐患。

1.2.2 应用服务多元化

随着信息系统的建设，各类应用服务不断增多，校园网中不仅有基于B/S模式系统结构的，也有基于C/S模式系统结构的。并且这些应用系统对操作系统、数据库等需求不一，开发环境各异，如JSP、ASP、PHP等。

1.2.3 业务连续性存在隐患

由于传统系统架构一般都采用硬件+操作系统+应用系统的构架，一旦其中有一项出现问题都会对业务的连续性造成很大的影响。虽然也有相应的技术方案和备份系统，但实际实施成本较高，难度大，并且恢复时间也相对较长。

2、VMware vSphere系统架构

2.1 vSphere的体系结构

VMware vSphere设计为将整个 IT 基础架构（如服务器、存储和网络）实现虚拟化。vSphere是一个整体架构而非单个产品，它将这些不同种类的资源组合起来，使严密、不灵活的基础架构得以转换为位于虚拟化环境中的简单、统一、易于管理的组件集合。在逻辑上其由三个层构成：虚拟化层、管理层和界面层。

2.2 vSphere 数据中心

典型的 vSphere 数据中心包含多种基本物理构造块，如 x86 计算服务器、存储网络和阵列、IP 网络、管理服务器和桌面客户端。它包含以下组件：

计算服务器：计算服务器是指在裸机上运行 ESXi 的业界标准 x86 服务器。ESXi 软件运行虚拟机并为其提供资源。

存储网络和阵列： 光纤通道存储区域网络 （FC SAN） 阵列、iSCSI（小型计算机系统接口）SAN 阵列和网络连接存储 （NAS） 阵列是 vSphere 支持且广泛应用的存储技术，可满足不同数据中心的存储需求。

IP 网络：每个计算服务器都可拥有多个物理网络适配器，并以此为整个 vSphere 数据中心提供高带宽和可靠的网络。

vCenter Server：借助 vCenter Server，可以对数据中心进行单点控制。它提供基本的数据中心服务，如访问控制、性能监视以及配置。它可将各个计算服务器的资源整合起来，以供整个数据中心内的虚拟机共享。

管理客户端：vSphere 5.0 为数据中心管理和虚拟机访问提供许多界面，如 vSphere Client 和 vSphere Web Client。

2.3 vSphere的分布式服务

vSphere的分布式服务，如 vSphere vMotion、vSphere Storage vMotion、vSphere DRS、vSphere Storage DRS、Storage I/O Control、VMware HA 和 Fault Tolerance，这些资源可实现虚拟机的高效自动化资源管理和高可用性。

vMotion 实现了虚拟机在物理服务器间的实时迁移，真正地使操作系统和应用程序的工作负载不再受限于底层物理硬件。Storage vMotion则可在不停机的情况下将虚拟机的存储实时迁移到新的数据存储中。DRS通过跨物理主机平衡 CPU 和内存工作负载，将物理主机集群作为单个计算资源进行管理。VMware HA 对虚拟机驻留所在的 ESXi 主机进行池化，形成一个集群，从而为虚拟机和其中运行的应用程序提供高可用性。集群中的主机将受到持续监视。发生故障时，故障主机上的虚拟机将会试图在其他主机上重新启动。Fault Tolerance（FT）通过创建一个虚拟机一个完全相同的副本，实现了两个虚拟机保持相同状态，可以在一台虚拟机出现问题时，进行零宕机切换。

3、VMware vSphere系统在校园网适用性测试

对于VMware vSphere系统是否在校园网中适用，拟主要从系统稳定性、系统故障切换等方面进行测试。

3.1 测试环境搭建

测试环境服务器采用2台Dell R520服务器，分别命名为VM1和VM2。其主要配置为2*E5-2420（1.90GHz）、 16GB内存、300GB*2 SAS硬盘、H310 RAID卡及双千兆网卡。存储设备采用1台支持iSCSI的希捷NAS，容量为4TB。服务器安装Dell官网的EXSi 5.5系统，并通过iSCSI与NAS相连，虚拟机文件均存储在NAS上。另用一台服务器安装VMware vCenter用于配置、管理、监控EXSi主机，并根据实际情况进行相关网络方面配置，以保障网络连通性和网络带宽。

3.2 系统稳定性测试

对于系统稳定性方面的测试主要从VMware EXSi主机和在其中运行的虚拟机两方面进行。主要测试其在系统高负载工作状态下，系统的稳定性。测试方法为在虚拟机连续运行拷机软件48小时，期间观察VMware EXSi主机和虚拟机的状态，并在测试结束后检查VMware EXSi主机和虚拟机是否还能正常工作。

首先在一台VM1主机新建2台Windows2008 R2虚拟机和1台Linux 虚拟机，每台虚拟机分配8个CPU内核和4G内存。然后在Windows2008 R2虚拟机上运行Prime95软件，在Linux虚拟机上运行mPrime软件，软件运行参数均设为默认值，运行时间为48小时。

经过实际测试，在拷机过程中，在vCenter上会持续报警VM1主机CPU利用率异常，并从监控界面上可以看到VMware EXSi主机CPU利用率一直维持100%，但对主机操作、功能均正常进行。拷机48小时后，3台虚拟机也均正常运行，未出现异常现象。测试结果表明，VMware vSphere系统在高负载环境无论主机和虚拟机均能稳定运行，可以满足校园网的需求，在将多台物理服务器合并到一起时能保障运行的稳定性。

3.3 系统故障切换测试

对系统故障切换测试主要是考察VMware HA是否能及时发现故障主机和及时进行故障切换。测试方法是将VM1主机连接的网线拔除，模拟主机发生故障，测试vCenter能否在第一时间发现并及时将在VM1上运行的虚拟机切换到VM2上重新启动运行。

首先在vCenter中将VM1和VM2两台主机加入同一个集群中，并在集群中新建1台虚拟机（命名为TestHost1），并手动指定其在VM1主机中运行。当虚拟机在VM1中正常启动后，使用一台终端持续Ping虚拟机IP地址。之后将VM1主机的网线拔除，模拟主机出现故障。这时观察到vCenter立刻报警VM1主机离线，并且显示TestHost1在VM2上重新启动。同时Ping命令在显示超时丢包5个以后，重新ping通，并且远程登录TestHost1测试，系统正常。测试表明VMware HA可以在一台主机发生故障时能在很短时间内对系统进行切换，缩短业务中断时间，可以满足校园网对于业务连续性的要求。

对于Fault Tolerance（FT）功能，笔者也对其进行了测试，方法和环境同上，只是对于虚拟机有特殊要求，如只能配置为单个CPU，不能使用快照功能，不能使用3D视频功能，不支持storage vMotion，DRS自动配置为禁用，不支持USB和声音，不支持网卡直通等。测试过程中，Ping命令始终显示正常，只是在进行切换时有个相对较高的数据包延迟。结果表明Fault Tolerance（FT）可以在服务完全不中断的情况下进行故障主机切换。这对于性能要求不高，但对连续性要求高的应用适用该功能。

4、结语

VMware vSphere虚拟架构不仅降低了运营和维护成本，无论从数据中心的空间、服务器数量、电力消耗、空调和人力成本各方面都有显著改善；而且也大大的提高了效率，减少了新应用部署的时间，大大降低了服务器重建的时间。并且vCenter还提供了集中化管理、自动化操作、资源优化和高可用性。提升了数据中心的响应能力、维护效率和可靠性级别。

参考文献：

[1] VMware.VMware vSphere 文档.，2014-5-5

[2] 陈斌.VMware 服务器虚拟架构解决方案在数字图书馆中的应用[J] .农业图书情报学刊，2012（09）：70-73

第6篇：校园网络运维服务方案范文

关键词：校园网；网速度慢；网络安全；认证服务器；防火墙

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2011)20-4838-02

2010年3月致5月，广州城建职业学院学院进行了网络管理系统的升级整改工作，作者有幸参与了校园网第三期工程方案的规划、设计并组织参与了整个项目的招标、评标、工程建设、并承担了该网络的运维工作，该三期网络项目共投入经费275万元。该项目的具体介绍如下：

1 网络现况

1.1 覆盖范围

该校园网于1999年开始建设，经过一二期的建设，已有信息点15000余个，网络采用了三层网络架构，信息点都采用了UTP5 类双绞线连接致接入交换机、接入交换机有实达1926+和部分长城6126承担。接入层交换机通过双绞线汇入到每层的汇聚交换机上，汇聚交换机有CISCO3550承担，汇聚交换机再通过单模光纤接入核心交换机4006上。该校共有两个校区，校区之间相距大概1公里左右，校区面积加起来共有1000余亩。，校园内共有14栋楼房，4栋是学生宿舍楼，3栋教师宿舍楼，2栋教学楼，实训楼（1楼是图书馆和电子阅览室，2楼是实验教室，3到7楼是计算机教室，其中4楼为校园网络中心）、办公楼、体育馆、商店、学生食堂各有1栋，楼与楼之间的距离：40-1000米；园内有管道敷设。

1.2 信息点的特点

这方面的需求不同学校有着明显不同，大体都可以分为，教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服务等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安全问题。

1.3 软硬件配置

接入交换机由实达1926+和部分长城6126承担，汇聚层交换机由CISCO3550承担，汇聚交换机再通过单模光钎接入核心交换机CISCO 4006上。网关由redhat9.0服务器承担，在此上运行了NAT和计费软件。出口有两个分别是100M的chinanet电信网络和10M的cernet教育网络。

1.4 当前管理模式

由于校园网络采用基于IP网关的认证计费方式，网络用户登录外网必须在网关出口处认证，网络使用高峰时段网络系统出现瓶颈，导致网络用户登录外网困难、上网掉线。无管理软件，全是管理人员手工进行管理。

2 当前存在的管理问题

2.1 网速问题

开学以来新开用户剧增，总用户数量较大，较前期最高增加30％，最大同时在线人数已达6000以上，现有校园网络系统（网络认证计费系统、出口带宽、交换设备等）不堪重负，已超出其使用极限，网络结构及网络设备在近期的运行中暴露出诸多问题，主要表现在：

2.1.1 网络结构不合理

由于校园网络采用基于IP网关的认证计费方式，网络用户登录外网必须在网关出口处认证，网络使用高峰时段网络系统出现瓶颈，导致网络用户登录外网困难、上网掉线；

2.1.2 网络主要设备性能不够

由于专用的路由和NAT（网络地址转换）硬件设备由服务器替代，网络使用高峰时段服务器资源利用率接近100%，导致用户上网速度慢，打开网页困难；

2.1.3 网络出口带宽不够

现有出口带宽（CHIANNET:100M，CERNET:10M）不能满足现有校园网络用户的上网要求，网络使用高峰时段出口带宽一直处于满负载状态；

2.2 网络安全问题

网络整体安全性较差：在校园网络前期建设中使用的交换机性能较好，但无法进行有效的网络安全管理，盗用IP地址、利用ARP欺骗、私设等情况日益严重；

2.3 网络失控

网络管理难度加大：随着接入用户的增加，无论是维护、收费还是管理难度越来越大，网络设备的维护工作量剧增；内网资源少：校园网络没有建立内网资源库、学习资源库平台、安全稳定的邮件系统，为用户提供的应用服务少。在校园网络前期建设中使用的交换机性能较好，但无法进行有效的网络安全管理，盗用IP地址、利用ARP欺骗、私设等情况日益严重；

现有出口带宽（CHIANNET:100M，CERNET:10M）不能满足现有校园网络用户的上网要求，网络使用高峰时段出口带宽一直处于满负载状态；由于专用的路由和NAT（网络地址转换）硬件设备由服务器替代，网络使用高峰时段服务器资源利用率接近100%，导致用户上网速度慢，打开网页困难。

3 整改思路

根据此种情况，计划在近期进行校园网的改造升级，提出了校园网的升级改造要求：

1） 校园网是应用为主的一项基本建设工程，校园网应将其根本目的定位在为教学、科研、管理及生活服务上，以满足学校事业发展为第一目的；

2） 根据学校的财政状况，不盲目追求设备的先进性，而注重投资的效益；

3） 充分利用先进的网络技术及设备满足校园网要求，所采用的技术及设备具有满足近期（3年内）学校发展的需求并有较大的升级改选余地；

4） 强化管理功能，校园网建设重要，管理更重要。要管理好校园网，除了网管人员的专业素质和道德水准外，网络的规划和设计、网络设备的选择非常重要；

5） 校园网络建设的重点是应用，各种网络应用与服务需要开展。

4 整改实施方案

4.1 拓扑结构

一个好的校园网设计应该是一个分层的设计，在本次网络工程方案设计中仍然采用三个层结构：接入层（访问层）、汇聚层、以及核心层。案设计中仍然采用三个层结构：接入层（访问层）、汇聚层、以及核心层。考虑到两个校区人员都比较多，核心交换机CISCO 4006明显不堪重负，且南校区汇聚层都直接接入核心，南北校区之间的光纤已经无冗余，股采购一个全新的性能高好的核心交换机，把现在的CISCO4006潜入南区，作为南区的核心交换机，这样南区以后再建网络项目可以直接接入它即可。本次核心交换机我们选择了锐捷RG8606三层交换机，该交换机具备冗余电源模块，有10/100/1000B ASE-T电口60个，1000BASE-LX接口数40个，并有扩展槽。能够满足当前以及今后3-5年需要。接入交换机选择RG-2150G交换机，该交换机具有802.1x认证功能，具有50口，只需要20台，每台通过双绞线连接致汇聚交换机3550上，汇聚交换机通过光纤连接时南区的CISCO 4006上，使用多链路捆绑技术，从而达到带宽倍增，均衡流量等目的。

4.2 网络安全控制

部署了基于802.1X的RADISU认证服务的SAM系统，做到全网统一身份认证，SAM系统实现了全体学生宿舍、教师宿舍、办公区域和公用机房的身份认证。系统基于802.1X技术，实现了对用户对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定，一旦出现安全事件，可迅速追查到人；针对网络中的安全事件（网络攻击、异常数据流、蠕虫病毒等），能够自动发现，并可以依据预定的策略自动进行处理，保障网络安全，提供强大的实时在线升级功能，抵御最新的网络攻击和病毒。对于存在安全问题的用户，系统将自动告警，提示用户可能存在的问题，以及处理方式；提升用户安全意识，让用户切身体会到安全问题的严重性，网络安全组件统一管理，协同工作。构建一个全局安全网络。整套系统管理简单，后期需投入的管理工作量小，所有安全设备均旁路部署，不形成性能瓶颈和单点故障；部署完成后将极大的提升现有网络性能。

4.3 出口设备的选择

以前由于经费问题没有购买硬件网关，出口网关一直有一台安装了LINUX9.0的IBM@346服务器承担，在其上配置IPTABLES实现NAT网络地址转换和实现简单网路安全功能。但是由于上网认识的增多，网络使用高峰阶段，服务器CPU资源使用率接近100%，导致用户上网速度慢，打开网页困难，况且也不安全。所以这次我们采用了锐捷公司的RG-1600防火墙，该防火墙具有10/100/1000base-T端口4个，吞吐量达到2GBbps，最大并发连接数达到2000000，每秒钟新建连接数也大于50000，VPN隧道数大于5000个，策略数大于10000个。部署以后，不再是网络瓶颈。随后我们在防火墙上启用了防蠕虫病毒功能，启用了对常见P2P软件的流量限制功能，保证率网络带宽的合理利用，由于学员有电信和教育网双出口，我们亦在防火墙上开启了策略路由和负载均衡技术。

4.4 网络管理模式

目前，GSN系统正在对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测，可以在第一时间内将网络异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网络；在发现安全问题后能自动对用户进行安全事件告警，并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。该系统部署完成后一个月的稳定运行中，对网络内的安全事件和网络病毒进行了有效抑止，最直接的例证就是：全国蔓延并造成严重影响的各种病毒，在我学就悄然无声。另外，通过GSN的主机完整性（Host Integrity）规则约定了对用户主机的准入标准。通过GSN先进的“免疫型”防ARP欺骗/攻击手段，能够彻底解决ARP攻击带来的断网事件的发生。

从系统提供的安全事件的统计报表对比来看，学校园网络中的安全事件已经较部署前有了大幅度的减少，网络质量得到了显著改善，校园网用户的网络安全意识也有了很大的提升。GSN系统极大保证了网络的安全性，提升了网络管理效率。

4.5 传输介质

我们学院分为南北两个校区，相距1公里左右，且中间有高速公路隔开，网络信息中心在北区办公楼605室，在这次方案中有新建网网络项目分别是汽车试验大楼和南区2栋学生宿舍大楼，故在本次方案中汇聚层交换机与核心层交换机使用单模光纤，汇聚层交换机与接入层交换机以及接入层交换机到桌面都在一栋大楼内，距离没有查过100米，故采用超5类非屏蔽双绞线，100Mbps带宽。

5 结束语

本校园网三期扩建改造项目于2010年5月25日基本完工，并投入运行。并与8月25日验收通过，并对对结构化布线工程的光纤及双绞线性能参数、网络流量进行了相关测试。本工程项目加快了网络速度，加强了网络安全，得到了学院领导和学生用户的一致好评。

参考文献：

[1] 陶嘉庆.信息安全保障建设时间的思考[J].广播与电视技术,2007(8):136-137.

第7篇：校园网络运维服务方案范文

关键词：网络安全；分布式拒绝服务攻击；流量控制；流量清洗

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology, Anhui University Finance & Economics, Bengbu 233041, China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status, the establishment of a business model, a flow of cleaning equipment functional requirements, design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology, trigger technology, clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

随着互联网技术的飞速发展，各类政府部门、高校、科研机构信息化水平的持续提高，各项业务对于互联网的依赖性越来越大。同时，由于网络安全技术和网络攻击手段的不断发展和演变，使得这类用户的互联网业务面临着极大的威胁和风险。其中，分布式拒绝服务型攻击（Distributed Denial of Services，简称DDoS攻击）是目前互联网中存在的最常见、危害性最大的攻击形式之一。DDoS攻击不但能够给各类互联网用户和服务提供商造成业务中断、系统瘫痪等严重后果，同时也严重威胁到高校校园网的基础设施。

目前，由于商业竞争、政治情绪、经济勒索等因素的驱动，DDoS攻击越来越呈现出组织化、规模化、专业化的特点，攻击流量动辄数G、十几G，攻击频率也大有愈演愈烈之势。在这种紧迫形势下，配合当前数字化校园的建设战略，建设专门的DDoS 攻击流量监测和清洗平台是一个必然之选。基于该平台，一方面可以为校园网的网络基础设施提供安全保障，有效提高校园网网络的健壮性；另一方面能够结合数字化校园应用系统的安全需求提供DDoS 攻击的防护业务，从而达到提高网络带宽高利用率和网络高可用性的目的。

1 校园网网络现状

在网络资源方面，现在高校校园网通过多期扩容工程，已经形成了核心、汇接、接入三个网络层次，这种清晰的网络层次，给实施流量的监控、控制提供了良好的网络基础。在设备资源方面，各高校校园网核心层以及汇接层大部分采用了Cisco、Juniper、华为等主流厂商的高端设备，支持Netflow功能，性能上可以提供保障，支持DDoS 攻击防护平台的建设实施。

可以说，目前高校校园网网络已经具备了建设DDoS 攻击防护平台所需要的网络和设备资源。除此之外，需要相关的管理部门尽量落实建设方案，包括规划、设计、实施以及业务维护等各个环节所涉及的服务队伍。

高校校园网网络分为核心层、汇接层、边缘层和业务层，核心层、汇接层、边缘层节点根据业务发展需要配置相应档次的路由器。核心节点设备及之间的互连链路、核心节点设备与汇接节点设备的互连链路以及汇接节点的设备组成的网络定义为骨干层。校园网网络的其他部分为接入层，具体包括各接入节点设备间互连链路、接入节点设备与边缘层设备的互连链路。

2 业务需求分析

2.1 用户分析

目前，各高校校园网通常通过互联网向外提供各种应用和业务，如网站门户、远程教学、电子邮件、教学科研管理等等。他们对业务的连续性要求较高，DDoS 攻击造成的业务中断会对高校造成非常大的经济或社会利益的损失。高校校园网内部也需要建立一套有效的异常流量监控和控制机制来保护其基础业务系统。愈演愈烈的DDoS 攻击，可在短时间内使网络堵塞、关键节点资源耗尽，给校园网基础业务系统系统的稳定性、安全性带来严重的威胁。

2.2 业务模型分析

DDOS 攻击防御系统主要为用户提供的业务模式为：1）长期在线检测和清洗；2）长期在线监测，触发清洗。

为校园网所能够提供的基础服务可以包括：

1）资源预留：在DDoS 攻击防护平台上为校园网应用保留攻击防护所必须的资源，包括流量采样和分析设置、流量清洗空间（空间大小根据流量清洗需求及清洗设备能力确定）、牵引/回注电路及相关网络设备及其配置等。

2）制定安全基线：通过分析校园网业务流量特征、常见攻击流量特征，构建校园网安全基线和基础攻击防护策略。

3）7*24实时监控：校园网安全专家运维团队对针对校园网的流量进行7*24实时采集和分析，对异常流量进行跟踪并记录，对可能造成校园网业务中断的恶意攻击启动预警机制。

4）安全事件通告：对造成业务影响的恶意攻击或其他异常及时以约定的响应模式告知用户并与用户进一步协商应对策略。

5）流量分析报告：按照约定时间周期为用户提供流量采样的分析报告，无论此间是否收到攻击或者启动过防护措施。

3 流量清洗设备功能要求

1）流量清洗设备必须满足能够有效防护目前常见的DDoS 攻击类型，具体为：Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 连接耗尽、HTTP Get Flood、CC、UDP FLOOD 攻击等。通过软件升级，以保证流量清洗设备能够防御新型的DDoS攻击。

2）流量清洗设备满负荷运行时，对攻击流量的清洗精度应大于99%，对合法用户流量误判率应小于0.1%。

3）系统流量清洗与DDoS 过滤的方式与原理，包括过滤，反欺骗，异常识别，协议分析，速率限制等尽可能多的方式方法。

4）当流量监控设备发现DDoS 攻击流量时，流量监控设备直接触发流量清洗设备以启动对目标攻击流量的流量清洗操作：

5）设备提供二次开发接口，当通过IDS/IPS 或其它方式发现DDoS 攻击后，网管系统可通过SSH-script 等方式向流量清洗设备发出启动指令；

6）支持旁路(Offline)工作模式。当发生DDoS攻击时，清洗设备可通过BGP路由宣告的方式将去向被保护目标的流量导入流量清洗进行处理。

4 总体建设方案

DDoS攻击防护系统的建设是在降低对现有网络的影响，保证业务系统的连续性和可用性的基础上，针对不断发展的攻击形式，有效地进行检测和清洗。防护平台涉及两个关键系统，及异常流量检测系统和DDoS 攻击清洗系统，平台架构可以参照图1。

1）异常流量检测系统

提供对DDoS 攻击行为的深入分析。检测设备被动监测网络业务，搜寻与“正常” 行为的偏差或DDoS 攻击的基本行为。攻击被识别后，检测设备发警报给清洗设备，触发清洗设备启动，以实现清洗设备对正常流量中的攻击流量进行清洗，同时也支持提供攻击报警来通知相关的维护人员，以手工启动清洗设备以及相关的快速响应措施。异常流量检测设备由综合网管系统提供，主要支持手动启动清洗。

2）DDoS 攻击清洗系统

DDoS 攻击防护解决方案的关键部件。该设备是一个高性能DDoS 攻击缓解设备，当流量被“牵引”到该设备后，能通过流量分析验证技术对正常业务流量和恶意攻击流量进行识别和分离，通过限速或过滤等手段遏制攻击流量，同时保证合法的数据包能继续传送到目标地址。

图1 平台构架示意图

5 DDOS攻击清洗方案

5.1 流量牵引技术

流量牵引主要指将去往被攻击目标的流量重路由到一个用于攻击缓解的流量清洗中心，以便在清洗中心中处理, 丢弃攻击流量。当发现了一个攻击时，流向攻击目标的流量需转移到一个清洗中心。有多种技术都可触发这种流量转移，触发可为集中或分布式，手动或自动进行。

5.2 集中触发与分布式触发

集中触发是在安全管理中心配置一个“触发器”，所有的转移动作从这个触发器触发。触发就是在路由器上增加一条静态路由添加一个特殊标记，随后重到BGP中。当攻击结束以后，可以删除这条路由，停止牵引。集中转移触发的主要优势在于，流量转移由网络中的单一点控制，管理和触发转移过程更方便，但是需要单独购置攻击触发设备。

分布式触发是当清洗中心的清洗设备需要工作时， 它们各自向网络中的一个路由器发送一个BGP更新，将到目标地址的下一跳设置为它们自身。采用分布式触发的主要优势在于，它能灵活地将清洗设备资源分配给遭受攻击的特定用户。

由于校园网需要对全网进行保护，把攻击流量在尽可能靠近攻击源的地方消灭，所以可采用集中触发。

5.3 流量清洗技术

流量“牵引”到清洗设备后，通过流量分析验证技术对正常业务流量和恶意攻击流量进行识别和分离，丢弃攻击流量，保留正常流量。

典型的流量清洗的过程由五个模块（步骤）组成：

1）过滤：包括静态和动态的DDoS 过滤器filters。

2）反欺骗：用以验证进入系统的数据包没有欺骗信息。

3）异常识别：监测所有通过了filter 和反欺骗模块的流量，并将其与随时间纪录的基准行为相比，搜寻那些非正常的流量，识别恶意包的来源。

4）协议分析：处理反常事件识别模块发现的可疑数据流，目的是为了识别特定的应用攻击，例如http-error攻击。

5）速率限制：提供了另一个执行选项，防止不正当数据流攻击目标。

5.4 流量回注技术

经过流量清洗后，正常流量被重新转发回网络，到达原来的目标地址。根据网络环境不同，目前主要有以下几种注入方式：

1） L2 injection：注入路由器和清洗设备在同一个二层子网；

2） PBR based injection：通过策略路由实现流量注入；

3） GRE Injection in an IP Core：注入通过一个GRE 隧道实现。GRE隧道发起在清洗设备, 终结在CPE 设备；

4） VRF Injection in an MPLS core：流量通过一个独立的“inject” VRF进行注入；

6 小结

DDOS攻击防御业务平台将根据校园网自有异常流量检测和分析系统、IDS或者其它网络监控系统对DDOS攻击检测结果，或者应用户申告对相应用户进行DDOS攻击防御。项目建设范围将包括针对DDOS 攻击的流量引导、清洗和回注过程等的前端功能实体以及后端业务管理平台和设备系统管理平台，针对DDOS 攻击的检测和分析综合网管工程等其它工程完成。它的建成将极大地缓解高校校园网由于DDOS攻击造成的弊端，最终更好地为教学和科研工作服务。

参考文献：

[1] 尹春霖,张强,李鸥.基于IXP1200平台的DDoS防御系统实现[J].信息工程大学学报,2005,6(4):59-62.

[2] 盖凌云,黄树来.分布式拒绝服务攻击及防御机制研究[J].通信技术,2007,(6):32-33.

[3] 吴潇,沈明玉.基于流量牵引和陷阱系统的DDoS防御技术[J].合肥工业大学学报：自然科学,2008(01):25-28.

第8篇：校园网络运维服务方案范文

感动新生，加油精品网络 实施细则： 针对**大中专院校较少的现实情况，分公司运维部主要把精力放在话务量较多的梁中、红中等县内知名高中，同时会同市场部在县内各中小学校重点推行“园丁卡”,提高在校园市场的现有占有率。对在开学期间和“教师节”期间产生的局部时段话务冲击，及时进行监控扩容，保证校园网络质量和话务吸纳。 2、

激情节日，畅通网络 实施细则： （1）与市场部联系，及时了解节日期间话务高峰区，对本县国庆、中秋、圣诞和元旦等重大节假日以及重要大型活动进行话务预测和分析，提前作好相应基站的扩容工作。(2)在“第二届双桂旅游文化节”活动期间，对“双桂堂”、“小峨嵋”、 “明月湖”、“百里竹海”等重要旅游景点提前做好扩容和线网设备的优化工作，保证话务的最大吸收。(3)在保证网络安全的基础上，利用负荷分担、载波池和半速率等技术手段，尽可能地吸收国庆、中秋、圣诞和元旦等重大节假日的话务高峰，减少拥塞，提升收益。特别是对分公司市场部大众街营业厅开业庆典活动、客户联欢活动、VIP客户金秋钓鱼活动做好网络支撑工作。 3、

倾网之恋，甘为孺子牛 实施细则： （1）通过扩容和SDCCH的处理解决高拥塞小区，疏导和吸纳局部突发高话务。（2）开展基础维护竞赛活动，促近运维人员的主动维护意识，提升网络的健康状态，减少故障及带来的损失。 （二）网络宣传 1、

第9篇：校园网络运维服务方案范文

>> 为孕妇量身打造的移动电子病历软件 基于SNMP++网络管理软件的编程实现 网络监控管理软件的设计 管理软件的未来 为你量身打造的早餐计划 为中国的公务航空量身打造 为男士量身打造 为网吧量身打造 施耐德电气为发电行业量身打造的预测性资产分析套件软件解决方案 警报管理软件的实现 SAN存储管理软件的研究 健康储备管理软件的应用 企业管理软件的未来 管理软件的“天王”时代 管理软件架构的架构 管理软件企业的战略转型 管理软件的SOA攻略 管理软件：理性的蜕变 一种基于NAS的网络存储管理软件的设计与应用 IT运维管理软件：为客户“而生” 常见问题解答 当前所在位置：

快车代码：CF0805SBRJ01

常见问题处理

登录客户端问题 处理流程

1.提示账号密码错误 进入服务管理工具，点击“用户资料”查询，确认账号或其他资料是否正确，如用户密码丢失，可在确认用户身份后找管理员修改账号密码。

2.提示登录或注销超时失败 先中断连接，再检查物理链路，也可通过访问内网服务器来判断问题。

3.提示请在指定地址登录 该账号已绑定MAC或IP地址，该账号只能在指定的MAC或IP地址里使用。

4.提示费用已超支，或费用不足 说明余额不足，要充值。

3.登录成功但无法访问外网 如不能访问上一级网关，则点击“管理员系统设置用户资料”查询，查询是否有效；或检查MAC和IP是否正确。

小编带你访陈总

Q：我在网上见过有对城市热点的破解，你们对破解有什么看法？是否已经对你们带来了很坏的影响？贵公司以后在软件上是否有新的发展方向？

A：被破解代表着软件有价值，而且会有很多人在使用，其实这是用户对产品的一个肯定。我们不是靠直接卖桌面软件，所以破解对我们的影响不是很大。城市热点今年发展方向除了在传统的有线宽带计费认证领域之外，已经完成了第二战场的开辟，无线宽带的认证和应用，发展嵌入式的系统软件和无线终端的软件开发，主要的产品有Wi-Fi定位系统和多媒体广播系统，主要用在运动会、展会、旅游景点和小区。

更多采访内容见CFan博墅（.cn/index.php/76976/action_viewspace_itemid_281228）。

客户端技巧秘技

用客户端登录和Web登录都可，但客户端登录更方便、安全。双击“ 宽带登录客户端”运行后，点击“登录”并输入账号和密码即可完成。成功后能看到上次的上网时间和流量。

小编手记：因为采用了实名制身份认证，所以能查询用户的访问记录和统计连接曲流量。

点击“设置”，我们可以“启用自动登录模式”，以后就可直接登录。并可以选择“登录成功后自动最小化”，能在登录成功后自动将窗户最小化。

常见问题帮你解

运行客户端时提示“控制端口被其他程序占用”，一般的症状是打不开任何网页但能ping通。

解决：点击“开始运行”，输入“CMD”后回车，在命令行窗口输入“netsh winsock reset”，重启即可正常。

启动客户端时总提示“登录超时失败”。

解决：先上校园网，如上不了说明是线路问题，或检查自己的IP设置是否正确。如果能上校园网，就查看一下DNS服务器配置是否正确。当然，你也可以直接将防火墙关闭或卸载。