院校网络运维特点与对策解析

葛玮

摘 要 本文列举了院校（特别是保密要求较高的院校）网络运维与管理的五个方面的典型问题，根据作者长期的网络运维和信息化建设经验，从六个不同角度提出切合实际、较为有效的作法，并对未来院校网络运维的努力方向作了一定程度的展望，供有关单位参考。

关键词 网络改拓建 主机与存储安全 运维管理规范

中图分类号：TP393.1 文献标识码：A

院校的网络运维有以下几个显著特点：

（1）信息点位相对集中，在校园范围内密集分布；

（2）因学员人数较多，加之作息时间统一，造成网络并发访问量大；

（3）业务种类繁多，服务器主机与存储需求量大。除常规业务外，还有数字化校园、一卡通、网上阅卷、学科专业网站等；

（4）用户（尤其是青年学员）计算机水平较高，思想活跃，信息安全隐患突出；

（5）网络运维与管理人员紧缺。

针对上述问题，各单位在长期实践中已经摸索出很多好的解决办法，下面提出本人的个人意见，仅供参考。

1校园基础网络改拓建

十三五期间，很多院校提出要全面实现万兆主干、千兆到桌面的建设目标，网络覆盖到院校全体人员。在主干网方面，应保证每栋楼至少有12芯单模光缆连接到中心机房。对于营区面积较大的院校，应考虑分区域设置室外光纤交接箱，再以大芯数单模主缆汇至中心机房；在楼内布线方面，本着因陋就简、节约建设的原则，水平子系统可采取明槽明管走线，铺设六类以上双绞线到每个信息点位。为经久耐用，模块均应采用打线式模块。垂直子系统的楼层机柜可采用墙柜（安装在墙面较高处），机柜和垂直桥架均应做好防雷接地。为便于业务扩展，各楼层到汇聚也应采用单模光缆。

2中心机房改拓建

目前，很多单位都有改拓建数据中心机房的计划，以满足业务发展需要。首先，中心机房应慎重选址，充分考虑地面承重、防火防水、要素紧邻等问题。建筑层高较低的机房，可考虑数据中心无吊顶设计，既能充分利用建筑空间，又便于观察漏水等问题，有助于长期运维监控；在精密空调选型上，可采用列间空调、封闭冷池的做法，使机房在设备密度越来越高的情况下，仍能确保良好的制冷效果。有条件的单位，还应配备数据中心专用发电机组，保证市电停供时包括精密空调在内的机房所有设备正常运行。

3网络设备升级

为提高运维水平和管理效能，院校应率先实现SDN网络，届时，无论信息点如何增加，对于运维人员来说，只需管理“一台”交换机，极大地方便了VLAN划分与调整、安全配置和故障排查等操作。首先将核心交换机升级为支持openflow1.3以上SDN协议的机型，并将全院VLAN上收至核心；然后逐步将汇聚和接入层交换机升级到SDN机型。由于历史原因，很多院校网络设备品牌、型号繁杂，因此在智能网管软件的选型上，应选择品牌无关、兼容性佳的厂家。

4服务器主机与存储安全

数据中心应有独立的核心或汇聚层交换机，再通过万兆以上接口与园区核心相连，在两者之间，应加装万兆级下一代防火墙，形成一个数据中心设备安全域。通常应在防火墙全拒绝策略的基础上，逐一针对源地址、目的地址、协议名称、端口号来开放策略，如系其他业务口托管的服务器，还应敦促相关业务部门填写《安全策略启用与变更申请表》。使各系统始终按照业务所需的“最少权限”配置运行在信息网络中，从根本上降低主机被攻击的风险。对于安全设备的管理，包括串接设备和旁路设备，以及服务器的远程管理，应通过堡垒机切断终端计算机对安全设备和服务器的直接访问，而采用协议代理的方式对访问进行接管。除有特别要求的服务器外，绝大部分服务器都应转为虚拟机，对服务器进行虚拟池化，并对存储池进行灾备配置，对重要服务器定期建立快照，最大程度地保证数据安全。同时，虚拟服务器的网络拓扑为：虚拟机——虚拟交换机——物理网卡——物理交换机，而一个虚拟交换机可对应多个物理网卡，如此，不仅可确保虚拟服务器网络连接的稳定性，而且在服务器并发访问量大时，还能实现负载均衡（负载被多个物理网卡均分）。

5用户安全

在校园网络中，既要防范用户对服务器的攻击，也要防范用户之间的攻击，还要杜绝用户的违规接入行为。在防范用户之间的攻击方面，可以在VLAN上收到核心的基础上，再针对各个VLAN所对应的不同用户群体配置ACL。例如，在考试阅卷服务器的访问控制上，可以拒绝学员段的VLAN访问，而只允许机关和教员段的VLAN访问，以此来降低阅卷服务器被攻击的风险，再如，对于食堂一卡通充值点用户，应只允许他连接一卡通服务器段，而拒绝他进入校园网的任何其他区域。还可通过配置ACL阻断135等端口，并将其配置在所有VLAN上，可有效防止冲击波等病毒的破坏；在防止用户违规接入方面，可部署802.1x准入认证系统，实现IP-MAC绑定、应用软件强制安装、非法外联即时告警等功能。由于802.1x需要配置在接入层，对于接入交换机数量庞大的院校来说，配置起来很繁琐，一旦用户群体发生变动，修改配置也十分耗时，这个问题在实现SDN网络后，将得到有效解决；在病毒和木马防范方面，传统的依赖病毒库的作法已不合时宜，应配备企业级主动防御系统，提升全网终端免疫力。

6运维管理规范与登统计

在中心机房管理方面，应有值班日志、机房出入人员登记表、服务器托管申请表、设备变更登记表等；在安全运维方面，应有入网用户登记表、安全策略启用与变更申请表等；在器材管理方面，应有资产统计表、器材出入库登记表等；在日常工作方面，应有网点维修登记表、网络设备领取登记表。这些登统计资料，不仅要有日常使用的纸质版，还应每隔一定时间进行电子化整理，用于总结工作、分析问题，为网络运维进一步优化提供数据支撑。

参考文献

[1] 张长青.云计算在移动通信分公司的应用分析[J].邮电设计技术，2015（01）.

[2] 蒋东兴.“云端一体化”高校智慧校园畅想[J].中国教育网络，2014（01）.

[3] 查贵庭，张勇，李新权.冷池技术让数据中心更环保[J].中国教育网络，2012（10）.