校園網絡運維服務方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的校園網絡運維服務方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：校園網絡運維服務方案范文

關鍵詞：移動學習；學習環境；校園網；無線網絡

中圖分類號：G434 文獻標志碼：A 文章編號：1673-8454（2014）07-0087-03

一、引言

移動學習是要實現學習者在任何時間、任何地點，通過任何終端設備都能進行學習活動的學習方式。[1]其系統環境包括三個層次：移動學習裝備環境（DE）、移動學習支持環境（LE）和移動學習服務環境（SE），并且基于技術驅動逐步進行演化發展。[2]

如圖1所示，移動學習中的每個環節都依賴于網絡，為了提供移動學習的便捷性，實現真正意義上的任何地點和任何終端，僅靠單一性的無線網絡無法滿足需求，必須實現無線網絡和有線網絡的融合，通過有線無線一體化的網絡來提供基礎網絡的支撐。

二、網絡一體化設計

移動網絡的帶寬及學習者的成本直接關系到移動學習是否能被接受，而移動網絡的速率制約著教學資源開發和學習活動的質量。WLAN（無線局域網）作為傳統有線網絡的補充，在覆蓋率和移動性方面具有非常大的優勢，在速率上要優于2G，在自費上又優于基于流量計費的3G。[3]《教育信息化十年發展規劃（2011-2020年）》中對信息化公共支撐環境提出了要求，各個學校在既有網絡基礎上，大力建設WLAN，但是經費的不足是眾多學校面臨的最大問題，積極引進社會資金進行校園信息化建設是目前許多高校的流行做法。

校園網的商業投資運營模式多種多樣，利用運營商的資金，既能解決學校經費問題，又能創建良好的網絡環境。校園網的主要用途是為教學科研服務，是非營利性質，無論選擇何種模式，學校必須堅持的原則是校園網必須處于學校監管之下，在運維管理上學校要掌握主動權。

運營商投資校園網建設能實現雙方某些方面的優勢互補，合作是把雙刃劍，利用好雙方受益；利用不好，合作中不斷產生摩擦造成不愉快，最后不歡而散。校園網和企業網在運維和管理上存在差異，在合作過程中，學校出讓網絡運維管轄權由企業壟斷運行，但內部資源共享，保密信息保障，網絡輿情實時監控并及時響應是必須解決的。學校和運營商的利益訴求也存在差異，運營商投資勢必注重收益，企業形象和用戶固然重要，經濟利益是企業的生命，運營商往往將投資成本轉嫁給用戶，額外增加用戶的負擔。因此，如何找到平衡點才是重中之重，處理好雙方的關鍵在于處理好建設、管理和受益的關系。

在校企合作中，一種模式是運營商代建代維。這種模式完全由運營商主導，從方案的規劃、設計、建設和運維完全由運營商負責，這種模式一般在中小學和職業類院校中較多。出于學校財力和信息化技術水平的因素，在新建網絡或者大規模網絡改造時，完全交由運營商負責，學校放棄主動權。另一種是學校建設，運營商租用運維。這種是學校先期投入，但是由于配套運維的人力和財力有限，為了使得系統能穩定持續的運行，必須由外部公司介入；或者運營商強行介入學校的網絡。有時學校又不想完全放棄管理權或者在放棄一段時間后又想收回，因此有可能出現校方與運營商共同運維。

以上兩種方式各有優缺點，都不是最好的，最優的方案是運營商建設，學校運維。這種模式是方案的規劃和設計由雙方共同商定，由運營商出資建設，后期由學校運維，在收益上與運營商分成。由運營商投資建設學校無線網絡，并負責基礎設備和線路維護，學校負責核心設備和骨干線路的維護監管。運營商提供學校出口鏈路，增加出口帶寬，提供公網地址用于NAT。無線網絡通過唯一出口與校園網連接，此模式建設的無線網絡是校園網的一部分，學生可以自由選擇無線接入或有線接入，訪問校內資源不受運營商的限制，訪問外網必須經過學校的認證計費和審計系統，因此，網絡和用戶都處于學校的監管中。作為投資回報，用戶選擇無線網絡接入時，需要支付一定的接入費，該費用必須雙方協商，充分考慮了學生的承受能力后制定。

三、建網方案

1.網絡架構

學校在建設無線網絡過程中，不希望改變現有網絡架構或者盡量減小。根據學校原有組網模式，在已有教學科研子網、學生公寓子網、圖書館子網和一卡通專網基礎上，新建無線子網。[4]無線網絡獨立成網，通過多臺OLT實現各個校區互聯，校區間通過內部光纖互聯，無線子網只有唯一出口，并與校園網核心路由器連接，而不是通過運營商的線路直接與互聯網連接。這樣無線網絡無需改變校園網現有架構，新建的網絡屬于校園網的一部分，是成為有線網絡的的補充。從圖2中可以看出，WLAN屬于學校網絡的一部分，非獨立運行網絡，這就避免了將用戶全部移交給運營商，用戶將脫離學校的管理，同時，不影響用戶訪問校內資源。

WLAN使用開放頻段，在2.4G頻段只有3個不重疊信道，有的學校采取的是雙通道方式，即分成兩個SSID，一個訪問校內資源、一個訪問校外資源，兩者不能同時共享，訪問連接校內資源訪問的SSID不能放問校外資源，必須重新選擇信號。在多個運營商進入學校需要共用一套系統時，就無法區分，需要通過新建一套系統，這樣避免不了信號的干擾。因此按照“多SSID”方式共享WLAN的設計方案，目前在AP上提供CMCC-EDU SSID，如果后期其他運營商需進入校園，只需租用，并廣播ChinaUnicom-EDU或ChinaNet-EDU SSID，分別對應運營商各自的業務VLAN，在AP級聯交換機上進行業務區分，并連接到運營商各自的業務平臺上，與各自的原WLAN業務采用同樣的認證、計費方式。[5]

2.認證計費

采用“運營商建設學校運維”模式的WLAN，由于需要對接學校和運營商的系統，因此認證計費更復雜，為避免由此帶來用戶體驗的影響，需要在業務流程上進行優化，綜合考慮與有線網絡的整合，采用有線無線一體化認證設計方案，盡量將操作交由系統完成，實現用戶一次操作即可訪問網絡。學校將有線和無線網絡納為一體化管理后，在資源訪問上帶來方便，用戶可根據自己的上網需求選擇不同的計費策略，按照上網接入類型的不同和上網時長的不同，共有以下8中組合可選，如表所示。

認證計費系統硬件上采用集中式的BAS，所有用戶的認證都由該設備管理控制，這樣既實現了多運營商共享WLAN前端設備、后端區分各自的用戶，又能實現有線無線用戶的統一管理。采取DHCP加Portal方式，用戶的賬號都是由Portal進行認證，采用基于Radius CoA的方式，由BAS設備與統一的Radius進行互動，進行基于用戶的策略，免去客戶端軟件相對繁瑣的接入要求。Portal把賬號信息轉交付給后臺Radius，由Radius自帶的用戶賬號數據庫（或通過接口使用數字化校園的用戶帳號數據庫）進行認證。Radius認證結束后，一方面會通知Portal給出相關提示給用戶，如“認證通過，可以訪問網絡”，也可能是“認證失敗，用戶名或密碼錯誤”等。另一方面Radius同時會根據認證結果通知BAS設備進行相關策略調整，讓認證通過的用戶可以連接到外網資源，讓認證未通過的用戶無法接入到外網。

采用有線無線一體化認證，賬戶使用學號和教工號，而無線網絡是否能夠接入取決于該用戶在運營商的認證計費系統中是否有相應的權限，因此，學校的認證計費系統需要實現學校賬戶和運營商手機賬戶的雙重校驗，由于運營商的系統不能直接控制，所以通過Radius的方式來實現。如圖3所示，通過BAS上獲取用戶接入的NAS-PORT-TYPE屬性區分用戶是通過有線還是無線方式接入網絡，有線用戶采用出網認證，如果是有線用戶在獲取地址后，可以直接訪問校內資源，訪問校外時彈出Portal頁面進行認證，認證通過后可以訪問其他資源；無線網絡由運營商投資，使用無線網絡需要收取資源使用費，因此采用入網認證方式，首先將Portal傳遞的學號在本地Radius中進行校驗是否為合法用戶，通過后將學號轉換成對應的手機號，并根據號段通過Radius協議發送到對應的運營商系統中認證，認證通過后返回本地Radius，然后再進行本地的計費策略。[6]

當用戶需要下線時，通過在Portal頁面上點擊下線按鈕，Radius系統將發送下線信息到BAS，對用戶做下線處理。而當用戶沒有點擊下線按鈕，而是直接關機或者拔掉網線時，則通過BAS上的DHCP lease time（一般設置為5分鐘）來控制，當超出DHCP租期時，自動斷開用戶連接，并發送下線信息到后臺的Radius系統，同時由Radius將下線請求發送給運營商的計費平臺，實現用戶的計費終止功能。

四、小結

隨著虛擬化、云計算和物聯網的發展，學校、社會教育機構及運營商共同建設軟件即服務（SaaS）的教育云。由運營商和學校共同建設基礎網絡，教育工作者進行學習資源建設和教學設計，管理人員保障設備和系統的穩定運運營，通過統一信息門戶為公眾提供服務，使得移動學習成為實現學習社會化和終身化的重要途徑。

參考文獻：

[1]Desmond Keegan.從遠程學習到電子學習再到移動學習[J].開放教育研究,2000(5):6-10.

[2]方海光,王紅云,黃榮懷.移動學習的系統環境路線圖[J]. 現代教育技術,2011(1):14-20.

[3]R.Housley, T. Moore. Certificate Extensions and Attributes Supporting Authentication in Point-to-Point Protocol (PPP) and Wireless Local Area Networks (WLAN). IETF RFC 3770, May 2004; /rfc/rfc3770.txt.

[4]涂中群.一種基于流量域的功能分區組網新模式[J].通信技術,2008(10):154-156.

第2篇：校園網絡運維服務方案范文

【關鍵詞】網絡數字化；架構；數字化校園

一、校園數字化概述

數字化校園的基本定義：以網絡為基礎，利用先進的信息手段和工具，將學校的各個方面，從環境（包括網絡、設備、教室等）、資源（如圖書、講義、課件等）、到活動（包括教、學、管理、服務、辦公等）數字化，逐步形成一個數字空間，從而使現實校園在時間和空間上獲得延伸，在現實校園基礎上形成一個虛擬校園。數字化校園旨在用層次化、整體性的觀點來實施校園信息化建設，利用校園網把教學資源和管理信息更好地組織分類，為教學工作提供基于網絡環境的信息化教學平臺，為管理、科研工作提供基于網絡環境的信息化管理平臺。普校信息化建設從上個世紀90年代開始，信息化建設取得了顯著成果。伴隨著校校通工程、班班通、金教工程等戰略項目，校園基礎網臺、信息平臺、應用平臺、手機一卡通、安防監控、多媒體等信息化在全國各地廣泛建設，校園信息化對學校教學、管理、生活、服務等進行資源整合，提供統一服務，并產生了重要的經濟價值。

根據目前學校業務應用的使用情況，大體上把業務系統分為三類，教學管理、行政管理及特色應用等。行政管理中的業務系統的服務端大部分在信息中心，學校作為客戶端使用，主要是為了提高行政管理的效率，包括OA辦公、一卡通、人事管理、財務管理等；教學管理中的大部分業務系統各個學校都會獨立建設，主要是為了提高教學管理的質量，包括數字廣播、備課系統、多媒體錄播系統等，實際上，目前行政管理和教學管理的業務系統基本上各地都已經建設了，差別在于，特色應用中的業務系統各個學校根據自己的情況建設的側重點不一樣，如各地目前關注度比較高的特色業務系統包括網上閱卷系統、多媒體錄播系統、同步課堂等。

二、數字化校園的發展階段和趨勢

校園數字化不可能一蹴而就，它的實現是一個長期努力的過程，學校數字化有一個從無到有的過程，從初級階段不斷深入發展走向高級階段的過程，從全國數字化校園的現狀和發展趨勢分析，數字化校園建設經歷了四個階段，包括網絡集成、系統集成、應用集成、數據集成共四個階段。

第一階段網絡集成，主要以基礎網絡建設為主，大部分普通中小學處于網絡集成這一階段，考慮的是基礎網絡如何建設，如怎么建設有線校園網、無線校園網、校園網安全加固等。

第二階段系統建設，以服務于系統建設為主，大部分重點中小學在這一階段，考慮業務系統如何建設，如一卡通系統，是作為刷卡消費，還是門禁控制、電梯控制，課程管理、多媒體錄播系統怎么建設，如何監控這些業務系統的運行，業務系統的數據安全保證等。

第三階段應用集成，主要是做統一身份認證平臺、單點登陸系統等，信息化做的比較好的重點中小學在規劃應用集成，如何把有線、無線、遠程VPN等各種不同接入方式統一納入一個平臺進行管理，多媒體錄播、OA系統、視頻監控等一系列業務系統，如何實現單點登陸，方便師生的使用。

第四階段數據集成，主要實現數據開發標準、數據結構的統一，實現各個業務系統間的數據實時共享，由于數據集成涉及到應用系統的大量開發工作，周期長，投入大，目前，普教學校涉及應用集成方面比較少。

三、3+N+1架構

針對目前的數字化校園信息建設的發展，提出3+N+1解決方案，3表示3個平臺，基礎設施平臺、應用支撐平臺、公共認證平臺，1指的是通過單點登錄實現1個統一門戶，N指的是重點中小學的N個業務系統。

數字化校園建設的核心是教育信息化業務系統的建設，業務系統向下由三個平臺進行支撐保障，向上形成單點登錄、統一門戶，為學生、教師、領導、家長、公眾等提供服務。

在數字化校園整體架構中，網絡涉及到基礎網絡平臺、公共認證平臺、運維支撐平臺及單點登陸統一信息門戶的建設，具體如下：

（1）基礎網絡平臺：包括有線、無線、核心平臺、網絡出口等基礎網絡建設。

基礎網絡平臺要具備智能的特點，包括智能高可用的核心平臺、智能安全的網絡出口、智能的接入、智能的網絡管理。比如網絡出口要能智能轉發，智能帶寬優化、雙風扇、雙電源保障高可用，采用雙鏈路、雙核心的拓撲；其次是智能，出現問題時能自動檢測和緊急恢復。

（2）公共認證平臺：通過有線、無線、VPN等各種不同方式的統一實名接入，實現網絡層的實名認證、實名訪問權限控制、實名流控及實名審計等。

建立校園網公共認證平臺，可實現有線用戶、無線用戶、遠程訪問的VPN用戶的統一認證，每個用戶有線網絡、無線網絡、VPN訪問使用同一份身份信息、同一套賬號密碼，同時，可以實現有線無線的統一拓撲管理、批量配置及實時告警等功能。

（3）業務支撐平臺：通過核心組件支撐，運維體系及日志系統。通過接入交換機、無線設備、出口設備等相互聯動實現校園網的整體安全，同時，通過業務運維管理系統實現整體業務的運維管理。

業務支撐平臺作為3+N+1架構中的三個平臺中的重要組件之一，向下保障眾多的基礎設施等更好的統一運行、統一管理，充分發揮硬件資源的利用率，避免各自為政、單點故障等；向上保障教育業務系統的穩定運行，保障用戶的良好體驗，包括運維體系和安全體系的設計。通過運維體系實時展示業務系統的運行和使用情況，可視化的展示IT資源，另外，還可綜合分析業務系統和IT資源的歷史使用情況，為教育信息化的升級改造提供有利的數據支撐和依據。數字化校園的安全設計需要考慮用戶身份安全、主機安全、網絡安全、安全策略管理等四個主要方面。

（4）統一門戶、單點登陸由核心組件RG-SSO支撐，實現各種業務系統的單點登陸。

公共認證平臺必須實現單點登錄，不管是無線網絡的接入、有線網絡的接入，還是VPN用戶遠程接入，網絡認證作為單點登錄的唯一入口，通過的單點登陸系統，實現對網上閱卷、OA辦公、人事系統、教育資源庫等各種業務系統的整合，實現業務層的單點登陸；若通過網絡層的認證，登錄系統就會把與該用戶身份相關的業務系統登錄地址推送給該用戶；同時，通過網絡層的安全控制，保障應用層的賬號信息更安全，保障用戶的良好體驗。對現有系統不需要做任何改動，師生的電腦上不需要安裝任何軟件，業務服務器上也不需要裝任何程序，就能實現登陸

四、數字化校園3+N+1解決方案的特點

網絡層的單點登陸，實現VPN、WLAN、LAN等多種接入形式的單點登陸及統一界面，方便學校樹立安全、良好的形象，網絡層與應用層的單點登陸，方便師生訪問業務系統，體現校園網建設的亮點。

（1）基于用戶名的應用層流量控制，提高帶寬資源的利用率，較少抱怨和投訴，保障師生訪問網絡的良好體驗。

（2）學校信息化技術力量薄弱，人員少，解決用戶接入不可控和審計難以真正定位到人的老難題，方便管理。

（3）滿足學校數字化校園信息規劃的需求，建設有特色的3+N+1數字化校園，體現學校信息化的水平。

（4）滿足公安部門、教育局等安全性檢查的要求。

參考文獻：

[1]許志英.數字化校園建設的研究[J].計算機教育，2007，10.

第3篇：校園網絡運維服務方案范文

近年來，隨著我國社會經濟的不斷發展，國家對教育事業的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發展和提高。信息化、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段，為教育模式的創新、先進教育理念提供了可靠的實現方法。

高校信息化主要以數字化校園建設為主，主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等；大學數字化校園建設通常先提出總體解決方案，確定數字化校園的體系結構，制定數字化校園的信息標準，以及各系統之間的接口標準，然后分階段實施。建立全校的網絡安全體系，保證校園網絡的安全，保證關鍵數據、關鍵應用的安全以及關鍵業務部門的安全，實現校園網絡及其應用系統的安全高效運行。

1教育信息化中的安全體系建設

在教育信息化建設過程中，信息安全體系是保障教育信息系統的信息完整、系統可用和信息保密的重要支撐體系，對各級學校、職業教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視，也是由于教育信息系統的復雜性、多樣性、異構性和應用環境的開放性，給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例，高校數字校園信息系統的建設是由高校業務需求驅動的，初始的建設大多沒有統一規劃，有些系統是獨立的網絡，有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網絡系統是一個龐大復雜的系統，在支撐高校業務運營、發展的同時，信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出，成為高校面臨的重要的、急需解決的問題之一。在進行數字化校園建設的過程中，也曾發生不少信息安全事件，如某高校數據中心一臺服務器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網發包，導致學校網絡出口癱瘓；某高校在高招中發現網站被掛馬、篡改，并且學校內部也曾經發現學生成績的數據庫，有被惡意篡改的痕跡。

2網絡安全威脅分析

（1）高校網站的安全威脅，包括高校門戶網站、高校招生網站、二級各院系等網站，由于高考、招生、學生就業等敏感時期，聚集了大量的學生及家長訪問流量，也引起黑客的關注，高校網站面臨的主要安全威脅有：網頁被掛馬、被篡改，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網站的管理權限，進而篡改網頁代碼；部分攻擊者將高校網站替換成黃色網站，影響極其惡劣。每年高考招生及高校重要節日期間，高校門戶網站極易被DDOS攻擊，這種由互聯網上發起的大量同時訪問會話，導致高校網站負載加劇，無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后，以該服務器為跳板，對內網進行探測掃描，發起攻擊，對內網核心數據造成影響。（2）隨著校園網信息化的逐步深入，業務系統眾多，“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業務系統均普遍的被各大高校采用，而這些系統由于管理及防護不到位，面臨著較嚴重的安全威脅：業務系統缺乏必要的入侵防護手段，高校網絡規模擴張迅速，網絡帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，沒有條件管理和維護數萬臺計算機的安全，一旦受到黑客攻擊，無法阻斷攻擊并發現攻擊源；部分高校“一卡通”充值系統與銀行互聯，邊界缺乏必要的隔離和審計措施，出現問題不方便定位，難以追查取證；校園網數據中心內的系統應用眾多、服務器眾多，管理及維護方式也不盡相同，無法做到所有的系統實施統一的漏洞管理政策。同時，對于存在安全隱患的配置檢查，也缺乏自動化的高效檢查工具和控制手段；業務系統權限控制不合理，有安全隱患。

3需求分析

根據對高校校園網絡的威脅分析，得出在校園網絡安全體系建設中，各個網絡區域和業務系統的安全需求如下：

（1）校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別、過濾、清洗，保證網絡出口的暢通，保證骨干鏈路的負載處于正常范圍之內。（2）網絡出口鏈路應有相應措施，對來源于公網或內網的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。（3）DMZ區及內網服務器區出口鏈路上，應對針對WEB應用的7層攻擊，如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。（4）應對流經核心交換區域的所有流量進行深入的檢測，以識別內部各網絡區域之間發生的入侵事件和可疑行為。（5）應對內網用戶的網絡行為，如公網訪問、數據庫訪問等進行全面的記錄和審計，以滿足違規事件發生后的追查取證。（6）應在不同校區之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。

應對全網的網絡節點進行漏洞風險管理，實現漏洞預警、漏洞加固和漏洞審計的全程風險控制。（7）應對全網的網絡節點進行配置合規管理，實現違規配置及時識別、配置整改全面深入、配置風險全程可控。（8）應對運維管理人員進行詳細嚴格的權限劃分，并通過技術手段控制運維行為權限，對運維行為進行全程審計，對違規運維操作進行實時告警。

4遵循等保要求

2009年11月，教育部為進一步加強教育系統信息安全工作，由辦公廳印發《關于開展信息系統安全等級保護工作的通知》（教辦廳函[2009]80號），決定在教育系統全面開展信息安全等級保護工作；等級保護不僅是對信息安全產品或系統的檢測、評估以及定級，更重要的是，等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合，設計一套符合高校需求的信息安全保障體系，是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法。

5網絡安全建設方案

（1）在校園網出口處旁路部署抗拒絕服務攻擊系統（ADS）對拒絕服務攻擊流量進行清洗，并且旁路部署網絡流量分析系統（NTA）對網絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環境下，旁路部署的ADS不參與網絡出口流量的路由和交換，邊界路由器通過NETFLOW等技術將流量信息發送給NTA，由NTA分析流量特征，判斷是否遭受DDOS攻擊。當發現遭受DDOS攻擊時，NTA將激活ADS，由ADS向邊界路由器發送針對特定防護目標IP的路由，將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統進行惡意流量的識別和清洗，將不含有攻擊成分的合法流量回注至邊界路由器，按正常路由路徑發送至目標IP。（2）在出口鏈路部署入侵防護系統，對接入互聯網的訪問流量進行深入過濾，有效抵御源自公網的入侵威脅，消除安全風險。（3）在DMZ區和內網服務器出口處部署WEB應用防火墻，對服務器區的WEB服務器進行全方面的防護，對針對WEB站點的黑客攻擊，惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網頁篡改等攻擊手段進行深入防護。保障網站、電子教務系統、一卡通系統等應用系統的正常工作。（4）在核心交換區旁路部署安全審計系統，通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路，實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略，對違反審計策略的網絡行為進行實時告警。此外，安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發，并實時收集網絡時間日志和告警信息。（5）在核心交換區域的出口鏈路部署下一代防火墻，實現出口鏈路的流量檢測和安全過濾，保護內部網絡安全。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻，通過下一代防火墻對應用層攻擊、病毒進行全面阻斷，可實現基于源/目的IP地址、協議/端口、時間、用戶、VLAN、VPN、安全區的訪問控制，保證不同網絡區域之間的安全防護邊界完整。同時，通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。

第4篇：校園網絡運維服務方案范文

關鍵詞：無線校園網；移動終端；無線建設調研

0引言

進入2014年，國內的高校似乎不約而同的達成了一個統一認識，需要建立無線校園網，在移動互聯網如火如荼發展的新形式下，已在高校內成熟運行的有線網絡，逐漸不能滿足新的移動終端的需求。無線技術初始大規模應用于筆記本電腦，極大提升了筆記本移動辦公的效率，然而，在筆記本黃金發展時期，并沒有帶來無線網絡的迅速普及，從2008年起，Google了第一款基于Android系統的智能手機，短短6年間，Android智能手機以壓倒性的優勢占據了國內外手機市場，蘋果的IOS平臺和微軟的wP作為令外兩大智能機系統平臺也毫不示弱，智能機雨后春筍般的爆發帶來了一個迫在眉睫的問題――網絡問題，如何高效接入互聯網。

當越來越多的移動智能設備在校園內使用，學校層次不得不考慮如何有效地跟隨信息化發展的脈搏，恰如其時的進行移動校園網的建設，滿足師生員工日益增長的移動網絡需求。一旦產生建設無線校園網的想法后，我們首先所要做的事情就是去有無線校園網的兄弟院校進行調研，與公司進行技術交流。本文將在調研過程中一些觀點和共識經驗予以闡述。

2無線校園網的定位與特點

無線網絡可以定義為有線網絡的補充，也可以定義為一種全新的符合信息化時代應用發展潮流的主導網絡。對于高校信息化建設，我們需要對用戶日益增長的無線網絡需求具有前瞻性，今年以來含有WIFI模塊的移動設備逐漸遍及校園，對無線網絡的需求也越來越迫切，特別是圖書館、教學樓等用戶集中的場所，未來將毫無疑問的是無線網絡的領域。基于不同的定位，未來網絡規劃以及資金的投入將會有大不同。

相比于公共場所的無線網，校園內的無線網絡應避免過于強調覆蓋區域的大小而不考慮是否能使用，應做到無線覆蓋到哪兒，哪里就能正常的使用，否則將不利于無線校園網的實際應用及后續建設，甚至會影響到建設單位的聲譽。因此既要限定AP的發射功率在國際標準范圍內（緩解用戶健康安全的擔憂），又要保證既覆蓋就能通信。這是區別于運營商自建無線網絡的最大區別。

無線網絡由于其物理層載波技術的特點，任意時刻AP只能與一個終端進行通信，必須要采用合適的流控手段限制用戶的最大并發數，讓如P2P之類的軟件能工作，又要減少用戶自身行為導致的上網速度慢和影響他人使用無線網絡等問題。

3無線校園網的規劃

建設無線校園網的最終目標是做到全校覆蓋，完全做到并超過有線網絡的覆蓋度，并能做到無縫漫游。在實際建設中，需要根據整體規劃將無線校園網建設分為若干期進行建設，主要有如下幾點的考慮：

資金問題：要做到一次性全部覆蓋，存在巨大的資金壓力，即使有運營商的共建模式，較好的建設方式也是先試點某些區域。

建設過程的總結：無線校園網的建設過程，是一個學習的過程，不斷地積累方能在后期建設中予以應用，對于節約建設周期、少走彎路、減少出現的問題是相當有益的。

建設區域的特殊性：不同的區域有不同的應用需求，同時區域內的電磁環境也相差極大，需要采用不同的建設策略、設備選型以及技術方案。

4無線校園的技術細節

AP總量的規劃：從實際情況以及應用經驗看，如教室、圖書館的用戶密集場所，每人持有的無線終端數量可能不止1個。因此AP實際能支持的最大用戶數并發數是非常重要的指標。部署AP的數量應保證其支持的用戶數接入數不少于座位數，且應預留網點以備將來能新增AP。

集中轉發與本地轉發：實際應用中，在不同的場景下考慮不同的轉發模式，整網不必局限于一種固定的模式。在圖書館、教室、大型會議場所等高密度用戶場所，可采用本地轉發模式，其余場所則可采用集中轉發模式。在集中轉發下，大流量會對AC性能產生影響，而本地轉發對AP的配置要求相對復雜，因此建議將兩種方式結合以各取所長，分別用于不同的場景。

Portal認證模式下請求攻擊：在Portal認證模式下，Portal認證服務器會攔截用戶的HTTP請求，予以重定向，返回認證頁面，實際情況下，非瀏覽器的行為發生的HTTP請求相當多，如后臺運行的軟件更新請求，這些大量的、無效的HTTP請求會嚴重降低認證服務器的性能，直接導致認證頁面遲遲不能打開，在密集場所，此現象更為突出，建議部署一臺跳轉服務器，專門用戶處理HTTP請求。

同頻干擾問題：目前業界采用的微蜂窩技術（以junipe、銳捷、H3C等廠家）和同頻部署技術（梅魯）。微蜂窩技術類似于GSM基站的安放模式，合理選點，降低功率，相鄰信道隔開，使用頻分和時分技術；梅魯的同頻部署由于同一片區域內AP都工作于同一頻率，無需頻分，只需要時分技術，同時時分技術也是梅魯最先提出并實現的，由于同頻工作的原理，決定了AC的負載變大，待機數量減少，且如果是本地轉發，各AP需要接受AC的策略協商處理轉發。

vlan劃分與用戶認證：如果所有的AP處于同一vlan下，用戶不存在vlan之間的漫游，在AP間切換時，無需再次認證，但此時來自網絡的風暴會影響無線網絡的正常運行，且不能定位到用戶所在區域信息；將AP按區域劃分到不同的vlan，用戶在vlan間切換時，如果不做特殊處理，認證設備需要用戶重新認證，用戶體驗不好。

5無線產品測試環節

無線產品的測試是理性的獲知產品的性能，為后期的招標提供參考依據，從純粹測試的角度出發，逐項功能測試是不可行的，學校不是測試機構，也不具有專業的測試設備，一般會選擇關注的要素進行測試。在學校制定的測試項中，接入能力、吞吐率以及并發用戶數是必須要測試的，這些是由區域的高密度接入所決定的，同時為了公平起見，建議由校方準備測試終端，避免測試廠商疑慮對方的測試終端是不是特別優化過。

6無線校園網的運維管理

無線校園網屬于基礎網絡，建議校方行政規定要有絕對的控制權，不宜由運營商獨建，即使是共建模式，應確保設備以及線路都屬于校方，出于校內安全問題的考慮，線路的運維由校方負責，運營商分攤運維費用。

（1）有線無線一體化。包含運維一體化、資費一體化等。在現有運維管理軟件中要體現出無線設備的狀態，監控POE交換機的工作狀態，及時定位故障AP；有線、無線的計費應使用一套計費系統，有線最佳的計費策略是計時，而無線的最佳計費策略是計流量，這是由他們的使用場景所決定的。進行適當的換算，以精簡的計費策略供用戶選擇，不僅方便用戶，更在運維層面減少大量工作。

（2）無線網絡精細化管理。考慮到不同區域，不同時間，不同用戶組，認證系統需要和無線網管系統相互配合，動態下發控制策略，滿足不同群體的需求，如接入保密區域的終端不能上外網，離開之后，接入其他AP則可以訪問Internet；考試期間，教學樓里面的無線對學生而言只能上校園網，而教師則可以接入外網等。

第5篇：校園網絡運維服務方案范文

【關鍵詞】校園網 虛擬化 VMware vSphere 測試

【中圖分類號】G434 【文獻標識碼】B 【文章編號】2095-3089（2014）7-0236-03

目前校園網在前期的系統架構建設中，一般都依托IT 技術的發展，大多建立了基于服務器、存儲、網絡、終端和各類應用系統的IT傳統架構。隨著信息化建設的進行，往往形成有十幾套隨著數十套各類應用系統在傳統IT架構上運行。這對整個運維工作帶來了巨大的挑戰。然而隨著全球IT技術的快速發展，虛擬化架構的出現和應用被逐漸證明是更加適應各類企業、學校、政府等的IT架構，同時也更加綠色環保，并且在管理上也更加的快捷、方便。本文以VMware公司所開發的VMware vSphere在校園網中的適用性進行探究。

1、傳統校園網IT架構的特點及主要存在的問題

1.1 校園網IT架構特點

校園網的建設是為學校教學、教育科研提供優質的網絡化教學環境服務的，是具有交互功能和專業性較強的計算機局域網絡。除了有必備的硬件設備和操作系統平臺外，還提供多媒體教學資源、教師備課系統、電子圖書閱覽檢索、多媒體教學軟件開發平臺、校園網站和教學資源網站建設、教學教務管理及行政事務管理等。并且提供包括提供Internet服務、遠程教育服務、電子論壇、視頻會議等通信功能。因此，校園網是集有教學、管理、通信等三大功能為一體的綜合性網絡架構。

1.2 主要面臨的問題

1.2.1服務器資源沒有充分利用

由于校園網承擔了多樣化的任務，因此在建設中往往在購買服務器的一般都按較高配置采購，以保障應用在高峰期能夠正常使用并為后續使用負載留足資源。但如此一來服務器資源有相當部分沒有得到充分的利用，特別是在非高峰期時。一般來說在90%的非高峰期內，有70%的服務器資源的閑置的，實際利用的只有30%左右。這樣不僅造成了資源的浪費和運維費用的高企，還使得管理人員運行維護工作量和難度的增加，對整體系統穩定運行也埋下了隱患。

1.2.2 應用服務多元化

隨著信息系統的建設，各類應用服務不斷增多，校園網中不僅有基于B/S模式系統結構的，也有基于C/S模式系統結構的。并且這些應用系統對操作系統、數據庫等需求不一，開發環境各異，如JSP、ASP、PHP等。

1.2.3 業務連續性存在隱患

由于傳統系統架構一般都采用硬件+操作系統+應用系統的構架，一旦其中有一項出現問題都會對業務的連續性造成很大的影響。雖然也有相應的技術方案和備份系統，但實際實施成本較高，難度大，并且恢復時間也相對較長。

2、VMware vSphere系統架構

2.1 vSphere的體系結構

VMware vSphere設計為將整個 IT 基礎架構（如服務器、存儲和網絡）實現虛擬化。vSphere是一個整體架構而非單個產品，它將這些不同種類的資源組合起來，使嚴密、不靈活的基礎架構得以轉換為位于虛擬化環境中的簡單、統一、易于管理的組件集合。在邏輯上其由三個層構成：虛擬化層、管理層和界面層。

2.2 vSphere 數據中心

典型的 vSphere 數據中心包含多種基本物理構造塊，如 x86 計算服務器、存儲網絡和陣列、IP 網絡、管理服務器和桌面客戶端。它包含以下組件：

計算服務器：計算服務器是指在裸機上運行 ESXi 的業界標準 x86 服務器。ESXi 軟件運行虛擬機并為其提供資源。

存儲網絡和陣列： 光纖通道存儲區域網絡 （FC SAN） 陣列、iSCSI（小型計算機系統接口）SAN 陣列和網絡連接存儲 （NAS） 陣列是 vSphere 支持且廣泛應用的存儲技術，可滿足不同數據中心的存儲需求。

IP 網絡：每個計算服務器都可擁有多個物理網絡適配器，并以此為整個 vSphere 數據中心提供高帶寬和可靠的網絡。

vCenter Server：借助 vCenter Server，可以對數據中心進行單點控制。它提供基本的數據中心服務，如訪問控制、性能監視以及配置。它可將各個計算服務器的資源整合起來，以供整個數據中心內的虛擬機共享。

管理客戶端：vSphere 5.0 為數據中心管理和虛擬機訪問提供許多界面，如 vSphere Client 和 vSphere Web Client。

2.3 vSphere的分布式服務

vSphere的分布式服務，如 vSphere vMotion、vSphere Storage vMotion、vSphere DRS、vSphere Storage DRS、Storage I/O Control、VMware HA 和 Fault Tolerance，這些資源可實現虛擬機的高效自動化資源管理和高可用性。

vMotion 實現了虛擬機在物理服務器間的實時遷移，真正地使操作系統和應用程序的工作負載不再受限于底層物理硬件。Storage vMotion則可在不停機的情況下將虛擬機的存儲實時遷移到新的數據存儲中。DRS通過跨物理主機平衡 CPU 和內存工作負載，將物理主機集群作為單個計算資源進行管理。VMware HA 對虛擬機駐留所在的 ESXi 主機進行池化，形成一個集群，從而為虛擬機和其中運行的應用程序提供高可用性。集群中的主機將受到持續監視。發生故障時，故障主機上的虛擬機將會試圖在其他主機上重新啟動。Fault Tolerance（FT）通過創建一個虛擬機一個完全相同的副本，實現了兩個虛擬機保持相同狀態，可以在一臺虛擬機出現問題時，進行零宕機切換。

3、VMware vSphere系統在校園網適用性測試

對于VMware vSphere系統是否在校園網中適用，擬主要從系統穩定性、系統故障切換等方面進行測試。

3.1 測試環境搭建

測試環境服務器采用2臺Dell R520服務器，分別命名為VM1和VM2。其主要配置為2*E5-2420（1.90GHz）、 16GB內存、300GB*2 SAS硬盤、H310 RAID卡及雙千兆網卡。存儲設備采用1臺支持iSCSI的希捷NAS，容量為4TB。服務器安裝Dell官網的EXSi 5.5系統，并通過iSCSI與NAS相連，虛擬機文件均存儲在NAS上。另用一臺服務器安裝VMware vCenter用于配置、管理、監控EXSi主機，并根據實際情況進行相關網絡方面配置，以保障網絡連通性和網絡帶寬。

3.2 系統穩定性測試

對于系統穩定性方面的測試主要從VMware EXSi主機和在其中運行的虛擬機兩方面進行。主要測試其在系統高負載工作狀態下，系統的穩定性。測試方法為在虛擬機連續運行拷機軟件48小時，期間觀察VMware EXSi主機和虛擬機的狀態，并在測試結束后檢查VMware EXSi主機和虛擬機是否還能正常工作。

首先在一臺VM1主機新建2臺Windows2008 R2虛擬機和1臺Linux 虛擬機，每臺虛擬機分配8個CPU內核和4G內存。然后在Windows2008 R2虛擬機上運行Prime95軟件，在Linux虛擬機上運行mPrime軟件，軟件運行參數均設為默認值，運行時間為48小時。

經過實際測試，在拷機過程中，在vCenter上會持續報警VM1主機CPU利用率異常，并從監控界面上可以看到VMware EXSi主機CPU利用率一直維持100%，但對主機操作、功能均正常進行。拷機48小時后，3臺虛擬機也均正常運行，未出現異常現象。測試結果表明，VMware vSphere系統在高負載環境無論主機和虛擬機均能穩定運行，可以滿足校園網的需求，在將多臺物理服務器合并到一起時能保障運行的穩定性。

3.3 系統故障切換測試

對系統故障切換測試主要是考察VMware HA是否能及時發現故障主機和及時進行故障切換。測試方法是將VM1主機連接的網線拔除，模擬主機發生故障，測試vCenter能否在第一時間發現并及時將在VM1上運行的虛擬機切換到VM2上重新啟動運行。

首先在vCenter中將VM1和VM2兩臺主機加入同一個集群中，并在集群中新建1臺虛擬機（命名為TestHost1），并手動指定其在VM1主機中運行。當虛擬機在VM1中正常啟動后，使用一臺終端持續Ping虛擬機IP地址。之后將VM1主機的網線拔除，模擬主機出現故障。這時觀察到vCenter立刻報警VM1主機離線，并且顯示TestHost1在VM2上重新啟動。同時Ping命令在顯示超時丟包5個以后，重新ping通，并且遠程登錄TestHost1測試，系統正常。測試表明VMware HA可以在一臺主機發生故障時能在很短時間內對系統進行切換，縮短業務中斷時間，可以滿足校園網對于業務連續性的要求。

對于Fault Tolerance（FT）功能，筆者也對其進行了測試，方法和環境同上，只是對于虛擬機有特殊要求，如只能配置為單個CPU，不能使用快照功能，不能使用3D視頻功能，不支持storage vMotion，DRS自動配置為禁用，不支持USB和聲音，不支持網卡直通等。測試過程中，Ping命令始終顯示正常，只是在進行切換時有個相對較高的數據包延遲。結果表明Fault Tolerance（FT）可以在服務完全不中斷的情況下進行故障主機切換。這對于性能要求不高，但對連續性要求高的應用適用該功能。

4、結語

VMware vSphere虛擬架構不僅降低了運營和維護成本，無論從數據中心的空間、服務器數量、電力消耗、空調和人力成本各方面都有顯著改善；而且也大大的提高了效率，減少了新應用部署的時間，大大降低了服務器重建的時間。并且vCenter還提供了集中化管理、自動化操作、資源優化和高可用性。提升了數據中心的響應能力、維護效率和可靠性級別。

參考文獻：

[1] VMware.VMware vSphere 文檔.，2014-5-5

[2] 陳斌.VMware 服務器虛擬架構解決方案在數字圖書館中的應用[J] .農業圖書情報學刊，2012（09）：70-73

第6篇：校園網絡運維服務方案范文

關鍵詞：校園網；網速度慢；網絡安全；認證服務器；防火墻

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2011)20-4838-02

2010年3月致5月，廣州城建職業學院學院進行了網絡管理系統的升級整改工作，作者有幸參與了校園網第三期工程方案的規劃、設計并組織參與了整個項目的招標、評標、工程建設、并承擔了該網絡的運維工作，該三期網絡項目共投入經費275萬元。該項目的具體介紹如下：

1 網絡現況

1.1 覆蓋范圍

該校園網于1999年開始建設，經過一二期的建設，已有信息點15000余個，網絡采用了三層網絡架構，信息點都采用了UTP5 類雙絞線連接致接入交換機、接入交換機有實達1926+和部分長城6126承擔。接入層交換機通過雙絞線匯入到每層的匯聚交換機上，匯聚交換機有CISCO3550承擔，匯聚交換機再通過單模光纖接入核心交換機4006上。該校共有兩個校區，校區之間相距大概1公里左右，校區面積加起來共有1000余畝。，校園內共有14棟樓房，4棟是學生宿舍樓，3棟教師宿舍樓，2棟教學樓，實訓樓（1樓是圖書館和電子閱覽室，2樓是實驗教室，3到7樓是計算機教室，其中4樓為校園網絡中心）、辦公樓、體育館、商店、學生食堂各有1棟，樓與樓之間的距離：40-1000米；園內有管道敷設。

1.2 信息點的特點

這方面的需求不同學校有著明顯不同，大體都可以分為，教學、辦公、服務這四方面應用。如對教學、科研方面的網絡設計應考慮穩定、擴展、安全等問題；辦公、服務等帶寬是要著重考慮的方面，所以學校應該根據自己的實際情況來考慮網絡的結構，及安全問題。

1.3 軟硬件配置

接入交換機由實達1926+和部分長城6126承擔，匯聚層交換機由CISCO3550承擔，匯聚交換機再通過單模光釬接入核心交換機CISCO 4006上。網關由redhat9.0服務器承擔，在此上運行了NAT和計費軟件。出口有兩個分別是100M的chinanet電信網絡和10M的cernet教育網絡。

1.4 當前管理模式

由于校園網絡采用基于IP網關的認證計費方式，網絡用戶登錄外網必須在網關出口處認證，網絡使用高峰時段網絡系統出現瓶頸，導致網絡用戶登錄外網困難、上網掉線。無管理軟件，全是管理人員手工進行管理。

2 當前存在的管理問題

2.1 網速問題

開學以來新開用戶劇增，總用戶數量較大，較前期最高增加30％，最大同時在線人數已達6000以上，現有校園網絡系統（網絡認證計費系統、出口帶寬、交換設備等）不堪重負，已超出其使用極限，網絡結構及網絡設備在近期的運行中暴露出諸多問題，主要表現在：

2.1.1 網絡結構不合理

由于校園網絡采用基于IP網關的認證計費方式，網絡用戶登錄外網必須在網關出口處認證，網絡使用高峰時段網絡系統出現瓶頸，導致網絡用戶登錄外網困難、上網掉線；

2.1.2 網絡主要設備性能不夠

由于專用的路由和NAT（網絡地址轉換）硬件設備由服務器替代，網絡使用高峰時段服務器資源利用率接近100%，導致用戶上網速度慢，打開網頁困難；

2.1.3 網絡出口帶寬不夠

現有出口帶寬（CHIANNET:100M，CERNET:10M）不能滿足現有校園網絡用戶的上網要求，網絡使用高峰時段出口帶寬一直處于滿負載狀態；

2.2 網絡安全問題

網絡整體安全性較差：在校園網絡前期建設中使用的交換機性能較好，但無法進行有效的網絡安全管理，盜用IP地址、利用ARP欺騙、私設等情況日益嚴重；

2.3 網絡失控

網絡管理難度加大：隨著接入用戶的增加，無論是維護、收費還是管理難度越來越大，網絡設備的維護工作量劇增；內網資源少：校園網絡沒有建立內網資源庫、學習資源庫平臺、安全穩定的郵件系統，為用戶提供的應用服務少。在校園網絡前期建設中使用的交換機性能較好，但無法進行有效的網絡安全管理，盜用IP地址、利用ARP欺騙、私設等情況日益嚴重；

現有出口帶寬（CHIANNET:100M，CERNET:10M）不能滿足現有校園網絡用戶的上網要求，網絡使用高峰時段出口帶寬一直處于滿負載狀態；由于專用的路由和NAT（網絡地址轉換）硬件設備由服務器替代，網絡使用高峰時段服務器資源利用率接近100%，導致用戶上網速度慢，打開網頁困難。

3 整改思路

根據此種情況，計劃在近期進行校園網的改造升級，提出了校園網的升級改造要求：

1） 校園網是應用為主的一項基本建設工程，校園網應將其根本目的定位在為教學、科研、管理及生活服務上，以滿足學校事業發展為第一目的；

2） 根據學校的財政狀況，不盲目追求設備的先進性，而注重投資的效益；

3） 充分利用先進的網絡技術及設備滿足校園網要求，所采用的技術及設備具有滿足近期（3年內）學校發展的需求并有較大的升級改選余地；

4） 強化管理功能，校園網建設重要，管理更重要。要管理好校園網，除了網管人員的專業素質和道德水準外，網絡的規劃和設計、網絡設備的選擇非常重要；

5） 校園網絡建設的重點是應用，各種網絡應用與服務需要開展。

4 整改實施方案

4.1 拓撲結構

一個好的校園網設計應該是一個分層的設計，在本次網絡工程方案設計中仍然采用三個層結構：接入層（訪問層）、匯聚層、以及核心層。案設計中仍然采用三個層結構：接入層（訪問層）、匯聚層、以及核心層。考慮到兩個校區人員都比較多，核心交換機CISCO 4006明顯不堪重負，且南校區匯聚層都直接接入核心，南北校區之間的光纖已經無冗余，股采購一個全新的性能高好的核心交換機，把現在的CISCO4006潛入南區，作為南區的核心交換機，這樣南區以后再建網絡項目可以直接接入它即可。本次核心交換機我們選擇了銳捷RG8606三層交換機，該交換機具備冗余電源模塊，有10/100/1000B ASE-T電口60個，1000BASE-LX接口數40個，并有擴展槽。能夠滿足當前以及今后3-5年需要。接入交換機選擇RG-2150G交換機，該交換機具有802.1x認證功能，具有50口，只需要20臺，每臺通過雙絞線連接致匯聚交換機3550上，匯聚交換機通過光纖連接時南區的CISCO 4006上，使用多鏈路捆綁技術，從而達到帶寬倍增，均衡流量等目的。

4.2 網絡安全控制

部署了基于802.1X的RADISU認證服務的SAM系統，做到全網統一身份認證，SAM系統實現了全體學生宿舍、教師宿舍、辦公區域和公用機房的身份認證。系統基于802.1X技術，實現了對用戶對用戶的身份和IP、MAC、交換機端口、交換機IP等信息嚴格綁定，一旦出現安全事件，可迅速追查到人；針對網絡中的安全事件（網絡攻擊、異常數據流、蠕蟲病毒等），能夠自動發現，并可以依據預定的策略自動進行處理，保障網絡安全，提供強大的實時在線升級功能，抵御最新的網絡攻擊和病毒。對于存在安全問題的用戶，系統將自動告警，提示用戶可能存在的問題，以及處理方式；提升用戶安全意識，讓用戶切身體會到安全問題的嚴重性，網絡安全組件統一管理，協同工作。構建一個全局安全網絡。整套系統管理簡單，后期需投入的管理工作量小，所有安全設備均旁路部署，不形成性能瓶頸和單點故障；部署完成后將極大的提升現有網絡性能。

4.3 出口設備的選擇

以前由于經費問題沒有購買硬件網關，出口網關一直有一臺安裝了LINUX9.0的IBM@346服務器承擔，在其上配置IPTABLES實現NAT網絡地址轉換和實現簡單網路安全功能。但是由于上網認識的增多，網絡使用高峰階段，服務器CPU資源使用率接近100%，導致用戶上網速度慢，打開網頁困難，況且也不安全。所以這次我們采用了銳捷公司的RG-1600防火墻，該防火墻具有10/100/1000base-T端口4個，吞吐量達到2GBbps，最大并發連接數達到2000000，每秒鐘新建連接數也大于50000，VPN隧道數大于5000個，策略數大于10000個。部署以后，不再是網絡瓶頸。隨后我們在防火墻上啟用了防蠕蟲病毒功能，啟用了對常見P2P軟件的流量限制功能，保證率網絡帶寬的合理利用，由于學員有電信和教育網雙出口，我們亦在防火墻上開啟了策略路由和負載均衡技術。

4.4 網絡管理模式

目前，GSN系統正在對全網的所有安全事件、網絡病毒攻擊行為、用戶行為和用戶主機安全信息進行深入分析和全局監控。通過這種實時全網偵測，可以在第一時間內將網絡異常現象通過接入層隔離出網絡，使得網絡異常現象完全不影響核心網絡；在發現安全問題后能自動對用戶進行安全事件告警，并迅速根據用戶身份選擇將用戶隔離到安全修復區域或自動阻斷異常數據流。該系統部署完成后一個月的穩定運行中，對網絡內的安全事件和網絡病毒進行了有效抑止，最直接的例證就是：全國蔓延并造成嚴重影響的各種病毒，在我學就悄然無聲。另外，通過GSN的主機完整性（Host Integrity）規則約定了對用戶主機的準入標準。通過GSN先進的“免疫型”防ARP欺騙/攻擊手段，能夠徹底解決ARP攻擊帶來的斷網事件的發生。

從系統提供的安全事件的統計報表對比來看，學校園網絡中的安全事件已經較部署前有了大幅度的減少，網絡質量得到了顯著改善，校園網用戶的網絡安全意識也有了很大的提升。GSN系統極大保證了網絡的安全性，提升了網絡管理效率。

4.5 傳輸介質

我們學院分為南北兩個校區，相距1公里左右，且中間有高速公路隔開，網絡信息中心在北區辦公樓605室，在這次方案中有新建網網絡項目分別是汽車試驗大樓和南區2棟學生宿舍大樓，故在本次方案中匯聚層交換機與核心層交換機使用單模光纖，匯聚層交換機與接入層交換機以及接入層交換機到桌面都在一棟大樓內，距離沒有查過100米，故采用超5類非屏蔽雙絞線，100Mbps帶寬。

5 結束語

本校園網三期擴建改造項目于2010年5月25日基本完工，并投入運行。并與8月25日驗收通過，并對對結構化布線工程的光纖及雙絞線性能參數、網絡流量進行了相關測試。本工程項目加快了網絡速度，加強了網絡安全，得到了學院領導和學生用戶的一致好評。

參考文獻：

[1] 陶嘉慶.信息安全保障建設時間的思考[J].廣播與電視技術,2007(8):136-137.

第7篇：校園網絡運維服務方案范文

關鍵詞：網絡安全；分布式拒絕服務攻擊；流量控制；流量清洗

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology, Anhui University Finance & Economics, Bengbu 233041, China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status, the establishment of a business model, a flow of cleaning equipment functional requirements, design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology, trigger technology, clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

隨著互聯網技術的飛速發展，各類政府部門、高校、科研機構信息化水平的持續提高，各項業務對于互聯網的依賴性越來越大。同時，由于網絡安全技術和網絡攻擊手段的不斷發展和演變，使得這類用戶的互聯網業務面臨著極大的威脅和風險。其中，分布式拒絕服務型攻擊（Distributed Denial of Services，簡稱DDoS攻擊）是目前互聯網中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊不但能夠給各類互聯網用戶和服務提供商造成業務中斷、系統癱瘓等嚴重后果，同時也嚴重威脅到高校校園網的基礎設施。

目前，由于商業競爭、政治情緒、經濟勒索等因素的驅動，DDoS攻擊越來越呈現出組織化、規模化、專業化的特點，攻擊流量動輒數G、十幾G，攻擊頻率也大有愈演愈烈之勢。在這種緊迫形勢下，配合當前數字化校園的建設戰略，建設專門的DDoS 攻擊流量監測和清洗平臺是一個必然之選。基于該平臺，一方面可以為校園網的網絡基礎設施提供安全保障，有效提高校園網網絡的健壯性；另一方面能夠結合數字化校園應用系統的安全需求提供DDoS 攻擊的防護業務，從而達到提高網絡帶寬高利用率和網絡高可用性的目的。

1 校園網網絡現狀

在網絡資源方面，現在高校校園網通過多期擴容工程，已經形成了核心、匯接、接入三個網絡層次，這種清晰的網絡層次，給實施流量的監控、控制提供了良好的網絡基礎。在設備資源方面，各高校校園網核心層以及匯接層大部分采用了Cisco、Juniper、華為等主流廠商的高端設備，支持Netflow功能，性能上可以提供保障，支持DDoS 攻擊防護平臺的建設實施。

可以說，目前高校校園網網絡已經具備了建設DDoS 攻擊防護平臺所需要的網絡和設備資源。除此之外，需要相關的管理部門盡量落實建設方案，包括規劃、設計、實施以及業務維護等各個環節所涉及的服務隊伍。

高校校園網網絡分為核心層、匯接層、邊緣層和業務層，核心層、匯接層、邊緣層節點根據業務發展需要配置相應檔次的路由器。核心節點設備及之間的互連鏈路、核心節點設備與匯接節點設備的互連鏈路以及匯接節點的設備組成的網絡定義為骨干層。校園網網絡的其他部分為接入層，具體包括各接入節點設備間互連鏈路、接入節點設備與邊緣層設備的互連鏈路。

2 業務需求分析

2.1 用戶分析

目前，各高校校園網通常通過互聯網向外提供各種應用和業務，如網站門戶、遠程教學、電子郵件、教學科研管理等等。他們對業務的連續性要求較高，DDoS 攻擊造成的業務中斷會對高校造成非常大的經濟或社會利益的損失。高校校園網內部也需要建立一套有效的異常流量監控和控制機制來保護其基礎業務系統。愈演愈烈的DDoS 攻擊，可在短時間內使網絡堵塞、關鍵節點資源耗盡，給校園網基礎業務系統系統的穩定性、安全性帶來嚴重的威脅。

2.2 業務模型分析

DDOS 攻擊防御系統主要為用戶提供的業務模式為：1）長期在線檢測和清洗；2）長期在線監測，觸發清洗。

為校園網所能夠提供的基礎服務可以包括：

1）資源預留：在DDoS 攻擊防護平臺上為校園網應用保留攻擊防護所必須的資源，包括流量采樣和分析設置、流量清洗空間（空間大小根據流量清洗需求及清洗設備能力確定）、牽引/回注電路及相關網絡設備及其配置等。

2）制定安全基線：通過分析校園網業務流量特征、常見攻擊流量特征，構建校園網安全基線和基礎攻擊防護策略。

3）7*24實時監控：校園網安全專家運維團隊對針對校園網的流量進行7*24實時采集和分析，對異常流量進行跟蹤并記錄，對可能造成校園網業務中斷的惡意攻擊啟動預警機制。

4）安全事件通告：對造成業務影響的惡意攻擊或其他異常及時以約定的響應模式告知用戶并與用戶進一步協商應對策略。

5）流量分析報告：按照約定時間周期為用戶提供流量采樣的分析報告，無論此間是否收到攻擊或者啟動過防護措施。

3 流量清洗設備功能要求

1）流量清洗設備必須滿足能夠有效防護目前常見的DDoS 攻擊類型，具體為：Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 連接耗盡、HTTP Get Flood、CC、UDP FLOOD 攻擊等。通過軟件升級，以保證流量清洗設備能夠防御新型的DDoS攻擊。

2）流量清洗設備滿負荷運行時，對攻擊流量的清洗精度應大于99%，對合法用戶流量誤判率應小于0.1%。

3）系統流量清洗與DDoS 過濾的方式與原理，包括過濾，反欺騙，異常識別，協議分析，速率限制等盡可能多的方式方法。

4）當流量監控設備發現DDoS 攻擊流量時，流量監控設備直接觸發流量清洗設備以啟動對目標攻擊流量的流量清洗操作：

5）設備提供二次開發接口，當通過IDS/IPS 或其它方式發現DDoS 攻擊后，網管系統可通過SSH-script 等方式向流量清洗設備發出啟動指令；

6）支持旁路(Offline)工作模式。當發生DDoS攻擊時，清洗設備可通過BGP路由宣告的方式將去向被保護目標的流量導入流量清洗進行處理。

4 總體建設方案

DDoS攻擊防護系統的建設是在降低對現有網絡的影響，保證業務系統的連續性和可用性的基礎上，針對不斷發展的攻擊形式，有效地進行檢測和清洗。防護平臺涉及兩個關鍵系統，及異常流量檢測系統和DDoS 攻擊清洗系統，平臺架構可以參照圖1。

1）異常流量檢測系統

提供對DDoS 攻擊行為的深入分析。檢測設備被動監測網絡業務，搜尋與“正常” 行為的偏差或DDoS 攻擊的基本行為。攻擊被識別后，檢測設備發警報給清洗設備，觸發清洗設備啟動，以實現清洗設備對正常流量中的攻擊流量進行清洗，同時也支持提供攻擊報警來通知相關的維護人員，以手工啟動清洗設備以及相關的快速響應措施。異常流量檢測設備由綜合網管系統提供，主要支持手動啟動清洗。

2）DDoS 攻擊清洗系統

DDoS 攻擊防護解決方案的關鍵部件。該設備是一個高性能DDoS 攻擊緩解設備，當流量被“牽引”到該設備后，能通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離，通過限速或過濾等手段遏制攻擊流量，同時保證合法的數據包能繼續傳送到目標地址。

圖1 平臺構架示意圖

5 DDOS攻擊清洗方案

5.1 流量牽引技術

流量牽引主要指將去往被攻擊目標的流量重路由到一個用于攻擊緩解的流量清洗中心，以便在清洗中心中處理, 丟棄攻擊流量。當發現了一個攻擊時，流向攻擊目標的流量需轉移到一個清洗中心。有多種技術都可觸發這種流量轉移，觸發可為集中或分布式，手動或自動進行。

5.2 集中觸發與分布式觸發

集中觸發是在安全管理中心配置一個“觸發器”，所有的轉移動作從這個觸發器觸發。觸發就是在路由器上增加一條靜態路由添加一個特殊標記，隨后重到BGP中。當攻擊結束以后，可以刪除這條路由，停止牽引。集中轉移觸發的主要優勢在于，流量轉移由網絡中的單一點控制，管理和觸發轉移過程更方便，但是需要單獨購置攻擊觸發設備。

分布式觸發是當清洗中心的清洗設備需要工作時， 它們各自向網絡中的一個路由器發送一個BGP更新，將到目標地址的下一跳設置為它們自身。采用分布式觸發的主要優勢在于，它能靈活地將清洗設備資源分配給遭受攻擊的特定用戶。

由于校園網需要對全網進行保護，把攻擊流量在盡可能靠近攻擊源的地方消滅，所以可采用集中觸發。

5.3 流量清洗技術

流量“牽引”到清洗設備后，通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離，丟棄攻擊流量，保留正常流量。

典型的流量清洗的過程由五個模塊（步驟）組成：

1）過濾：包括靜態和動態的DDoS 過濾器filters。

2）反欺騙：用以驗證進入系統的數據包沒有欺騙信息。

3）異常識別：監測所有通過了filter 和反欺騙模塊的流量，并將其與隨時間紀錄的基準行為相比，搜尋那些非正常的流量，識別惡意包的來源。

4）協議分析：處理反常事件識別模塊發現的可疑數據流，目的是為了識別特定的應用攻擊，例如http-error攻擊。

5）速率限制：提供了另一個執行選項，防止不正當數據流攻擊目標。

5.4 流量回注技術

經過流量清洗后，正常流量被重新轉發回網絡，到達原來的目標地址。根據網絡環境不同，目前主要有以下幾種注入方式：

1） L2 injection：注入路由器和清洗設備在同一個二層子網；

2） PBR based injection：通過策略路由實現流量注入；

3） GRE Injection in an IP Core：注入通過一個GRE 隧道實現。GRE隧道發起在清洗設備, 終結在CPE 設備；

4） VRF Injection in an MPLS core：流量通過一個獨立的“inject” VRF進行注入；

6 小結

DDOS攻擊防御業務平臺將根據校園網自有異常流量檢測和分析系統、IDS或者其它網絡監控系統對DDOS攻擊檢測結果，或者應用戶申告對相應用戶進行DDOS攻擊防御。項目建設范圍將包括針對DDOS 攻擊的流量引導、清洗和回注過程等的前端功能實體以及后端業務管理平臺和設備系統管理平臺，針對DDOS 攻擊的檢測和分析綜合網管工程等其它工程完成。它的建成將極大地緩解高校校園網由于DDOS攻擊造成的弊端，最終更好地為教學和科研工作服務。

參考文獻：

[1] 尹春霖,張強,李鷗.基于IXP1200平臺的DDoS防御系統實現[J].信息工程大學學報,2005,6(4):59-62.

[2] 蓋凌云,黃樹來.分布式拒絕服務攻擊及防御機制研究[J].通信技術,2007,(6):32-33.

[3] 吳瀟,沈明玉.基于流量牽引和陷阱系統的DDoS防御技術[J].合肥工業大學學報：自然科學,2008(01):25-28.

第8篇：校園網絡運維服務方案范文

感動新生，加油精品網絡 實施細則： 針對**大中專院校較少的現實情況，分公司運維部主要把精力放在話務量較多的梁中、紅中等縣內知名高中，同時會同市場部在縣內各中小學校重點推行“園丁卡”,提高在校園市場的現有占有率。對在開學期間和“教師節”期間產生的局部時段話務沖擊，及時進行監控擴容，保證校園網絡質量和話務吸納。 2、

激情節日，暢通網絡 實施細則： （1）與市場部聯系，及時了解節日期間話務高峰區，對本縣國慶、中秋、圣誕和元旦等重大節假日以及重要大型活動進行話務預測和分析，提前作好相應基站的擴容工作。(2)在“第二屆雙桂旅游文化節”活動期間，對“雙桂堂”、“小峨嵋”、 “明月湖”、“百里竹海”等重要旅游景點提前做好擴容和線網設備的優化工作，保證話務的最大吸收。(3)在保證網絡安全的基礎上，利用負荷分擔、載波池和半速率等技術手段，盡可能地吸收國慶、中秋、圣誕和元旦等重大節假日的話務高峰，減少擁塞，提升收益。特別是對分公司市場部大眾街營業廳開業慶典活動、客戶聯歡活動、VIP客戶金秋釣魚活動做好網絡支撐工作。 3、

傾網之戀，甘為孺子牛 實施細則： （1）通過擴容和SDCCH的處理解決高擁塞小區，疏導和吸納局部突發高話務。（2）開展基礎維護競賽活動，促近運維人員的主動維護意識，提升網絡的健康狀態，減少故障及帶來的損失。 （二）網絡宣傳 1、

第9篇：校園網絡運維服務方案范文

>> 為孕婦量身打造的移動電子病歷軟件 基于SNMP++網絡管理軟件的編程實現 網絡監控管理軟件的設計 管理軟件的未來 為你量身打造的早餐計劃 為中國的公務航空量身打造 為男士量身打造 為網吧量身打造 施耐德電氣為發電行業量身打造的預測性資產分析套件軟件解決方案 警報管理軟件的實現 SAN存儲管理軟件的研究 健康儲備管理軟件的應用 企業管理軟件的未來 管理軟件的“天王”時代 管理軟件架構的架構 管理軟件企業的戰略轉型 管理軟件的SOA攻略 管理軟件：理性的蛻變 一種基于NAS的網絡存儲管理軟件的設計與應用 IT運維管理軟件：為客戶“而生” 常見問題解答 當前所在位置：

快車代碼：CF0805SBRJ01

常見問題處理

登錄客戶端問題 處理流程

1.提示賬號密碼錯誤 進入服務管理工具，點擊“用戶資料”查詢，確認賬號或其他資料是否正確，如用戶密碼丟失，可在確認用戶身份后找管理員修改賬號密碼。

2.提示登錄或注銷超時失敗 先中斷連接，再檢查物理鏈路，也可通過訪問內網服務器來判斷問題。

3.提示請在指定地址登錄 該賬號已綁定MAC或IP地址，該賬號只能在指定的MAC或IP地址里使用。

4.提示費用已超支，或費用不足 說明余額不足，要充值。

3.登錄成功但無法訪問外網 如不能訪問上一級網關，則點擊“管理員系統設置用戶資料”查詢，查詢是否有效；或檢查MAC和IP是否正確。

小編帶你訪陳總

Q：我在網上見過有對城市熱點的破解，你們對破解有什么看法？是否已經對你們帶來了很壞的影響？貴公司以后在軟件上是否有新的發展方向？

A：被破解代表著軟件有價值，而且會有很多人在使用，其實這是用戶對產品的一個肯定。我們不是靠直接賣桌面軟件，所以破解對我們的影響不是很大。城市熱點今年發展方向除了在傳統的有線寬帶計費認證領域之外，已經完成了第二戰場的開辟，無線寬帶的認證和應用，發展嵌入式的系統軟件和無線終端的軟件開發，主要的產品有Wi-Fi定位系統和多媒體廣播系統，主要用在運動會、展會、旅游景點和小區。

更多采訪內容見CFan博墅（.cn/index.php/76976/action_viewspace_itemid_281228）。

客戶端技巧秘技

用客戶端登錄和Web登錄都可，但客戶端登錄更方便、安全。雙擊“ 寬帶登錄客戶端”運行后，點擊“登錄”并輸入賬號和密碼即可完成。成功后能看到上次的上網時間和流量。

小編手記：因為采用了實名制身份認證，所以能查詢用戶的訪問記錄和統計連接曲流量。

點擊“設置”，我們可以“啟用自動登錄模式”，以后就可直接登錄。并可以選擇“登錄成功后自動最小化”，能在登錄成功后自動將窗戶最小化。

常見問題幫你解

運行客戶端時提示“控制端口被其他程序占用”，一般的癥狀是打不開任何網頁但能ping通。

解決：點擊“開始運行”，輸入“CMD”后回車，在命令行窗口輸入“netsh winsock reset”，重啟即可正常。

啟動客戶端時總提示“登錄超時失敗”。

解決：先上校園網，如上不了說明是線路問題，或檢查自己的IP設置是否正確。如果能上校園網，就查看一下DNS服務器配置是否正確。當然，你也可以直接將防火墻關閉或卸載。