高效校园

2024-08-31

高效校园(通用8篇)

高效校园 篇1

随着学校网络应用层次的提升,如何构建安全而高效的校园网络成了摆在学校网络管理员面前的一个重要课题。学校服务器受到黑客攻击、病毒肆虐、网络带宽被无效流量挤占等一系列的安全与管理问题成为棘手问题。笔者在此想谈谈如何利用开源、自由、免费软件构建安全高效的校园网络环境。

之所以选择免费软件,一是在倡导软件正版化的今天,免费软件既可构建安全网络,又能节约经费开支。二是免费软件功能强大,完全可以解决学校网络安全问题。

构筑坚固门户严防外侵内扰

校园网络的第一道安全关卡就是网络防火墙,它是整个网络的门户,是构建安全网络环境的重要的环节。我们选用的是一款名为pfsense的网络防火墙,它基于FreeBsd系统开发,在网络安全领域有着坚若磐石的美誉。

硬件准备:一台计算机,加上三块网卡即可。具体的配置要求可参考下表。

软件准备:在网址(http://www.pfsense.org/mirror.php?section=downloads)下载并刻录光盘。安装过程简单,只需填写网关、子网、DNS等为数不多的参数,一个强大的防火墙很快就制成了。

防火墙的精华之处就是可以设定各种规则,防范来自内外部的网络攻击行为。pfsense是如何做的呢?

首先,我们要通过浏览器登录pfsense的管理界面(网址依安装时设置而定)。打开左侧菜单栏中的“Rules”菜单。在这里可以设置学校局域网内计算机上网的规则,也可以设置外部计算机访问学校网络的规则。

根据网络安全基本原则,一般将局域网内的计算机对网络的访问设置成不限制,而将外部计算机访问局域网计算机设置为完全禁止。同时,为了让外部的计算机可以访问学校的网页、邮件服务器等,我们还要设置一个专门用于放置服务器的DMZ(非军事区)区域。并将访问DMZ区域的权限加以限制。那么,如何定义规则呢?我们只需单击Rules菜单项的内容页上相应端口(LAN、WAN、OPT1等)下面的“+”按钮,就可以添加所需的规则了。下面就来看一下如何定义一条防火墙规则。

通过图示 , 可以发现 规则是非 常简单的 。例如,由于某教师违规使用网络,我们要限制一台IP为192.168.1.11的教师计算机不能访问外部网络。只需要在LAN端口添加这样一条规则就可以了:规则的动作设置为“block(阻止)”,源地址类型为single host or alias(单机或者别名),源地址值为192.168.1.11,规则针对的协议设置为any,目标地址类型设置为network,值设置为192.168.1.0/24,同时勾选“not”这个选项。这样,这台192.168.1.11的教师计算机就只能访问学校局域网的计算机。又如, 要限制外部计算机只能访问学校网站,只需要在WAN口添加规则。规则的动作设置为“pass(通过)”,源地址设置为any,规则协议设置为TCP,目标地址的类型设置为single host or alias,并将值设定为网站服务器IP,将目标端口号限定为80端口。为了记录访问网页服务器的详细情况,我们还可以勾选“Log packets that handled by this rule”(记录本规则所捕获的包信息)。这样就可以通过查看网络日志监控网站安全状况了。

除此之外,pfsense还具有网络地址转换、流量整理,VPN等功能。只要善加利用,pfsense完全能够成为校园网络的安全之门。

建立顺畅通道高效规范使用

在pfsense构建的安全校园网络基础上,是不是就可以高枕无忧了呢?还有一个最让人头疼的问题,就是如何有效控制教师使用网络为教育、教学工作服务,而不是使用网络做非本职工作。虽然pfsense能够实现部分功能,但“术业有专攻”,做专门的事还得请专家。这位专家是谁呢?它就是panabit——一款国内开源程度最高的流量控制、应用控制软件。

同样的,我们需要先为它准备一台计算机,因为流量控制是一项需要密集计算的工作。因此,计算机的配置要求比较高,CPU至少800MHz以上,内存也是越多越好,还需要拥有三块网卡(建议使用Intel网卡)。在相关网址(http://www.panabit.com/download/index.html)下载文件,并按说明安装。

安装完毕,同样需要使用浏览器登录panabit服务器。它有着友好的中文界面,便于我们调试。

那么panabit是如何来完成流量控制的呢?

第一步,在“对象管理”菜单下,定义“IP群组”和“自定义协议组”。“IP群组”是用来将某一类型的IP汇总成一个群组以便于设定panabit策略。我们根据需要自定义“普通用户组”、“服务器组”、“特权用户组”等。“自定义协议组”则是用来定义我们需要禁止、限制或者放行的各类网络协议的集合。panabit已经将当前常用的200余种网络协议进行了设置,我们可根据需要进行组合,形成我们需要的“自定义协议组”。

第二步,我们就可以进入“策略管理”菜单项。Panabit的“策略管理”可以分为三大类,分别是“流量控制”“连接控制”与“HTTP管控”。

“流量控制”策略的设置是用于控制网络流量的。首先,需要设置合适的“数据通道”,将需要“限制、预留或者保证”的通道建立好。比如,我们要对某些应用限制其流量为1Mbps,那么我们需要先建立一个“数据通道”,并设置其为限制1000Kbp。

然后,就在“流量控制”中定义策略组,并将之前定义的“数据通道”应用到其中的策略中去。

最后,也是最易忽视的一步,就是要将已经设置好的“流量控制”策略组进行策略调度,也就是要给这一策略组指定发生作用的时间段。

这样,一条完整的“流量控制”策略就已经定义并生效,它将在每周的周一至周五中午12:00至13:00之间生效,生效时被定义为“一般教师”的成员访问外部网络的网络带宽被限定为1Mbps。

“连接控制”策略与“流量控制”策略有类似的操作步骤,只是它是对单个IP进行连接数的限制,通过与“流量控制”策略类似的操作,我们可以控制每台计算机的网络连接数,有效减少网络带宽占用。

“HTTP管控”则是针对网站访问专门设置的一类管理策略,通过它可以严格管理局域网的用户网页访问的行为,起到有效屏蔽有害网址、防止进入恶意网站、禁止下载违禁文件的作用。

通过以上三种不同种类的网络策略协同作用,panabit可以非常有效地对校园网络流量进行控制,同时能有效地管理客户端计算机的网络应用情况。

除此之外,panabit还拥有非常专业、强大的日志记录功能,能够将每次访问因特网的行为记录。只需要在“系统维护”菜单中,设定接收日志的服务器IP,并选择所需要记录的网络日志类型即可开启。

另外,panabit还拥有着完备的统计功能,我们可以在“监控统计”菜单项下得到各类统计数据,以便于我们对学校网络应用状况进行分析诊断。

不难看出,panabit是校园网络管理的得力助手,希望在此将它介绍给有需要的教师,让它发挥更大的作用。

完善安全节点防止各个击破

在学校网络管理方面,除了在宏观方面使用了上面两款免费而又强大的软件之外,在教师客户端上我们也尝试使用免费软件,加强网络节点的安全性。网络安全体系被突破,往往是从内部的节点开始。所谓“千里之堤,溃于蚁穴”,在重视宏观层面安全调控措施的同时,也应加强作为网络节点的单台计算机的防护。如今免费杀毒软件已经普及,如360杀毒、金山毒霸等,这些免费软件的出现为我们提供了很大的选择余地。在使用过程中,我们发现360杀毒软件还推出了企业版,可以统一升级、杀毒,并且生成单位内部安全状况报告。通过安装这些杀毒软件,加上养成良好的网络使用习惯与计算机安全常规知识,我们完全能够保证计算机节点的安全性,从而为构建安全、高效的学校校园网络环境奠定基础。

从网关防火墙到流量控制服务器,再到杀毒软件,从整体的安全防护与管理到局部的单机安全与管理,我校的校园网络安全体系借由着这些开源、自由、免费的软件构建完成。在长期实践过程中,我们深刻感受到了它们的自由、高效与安全,它们的全面应用为网络的高效利用提供了有力的保障。

高效校园 篇2

社会的高度国际化、信息化使现代教育面临着深刻改变,传统的教育模式也因此受到冲击。以计算机为核心的信息技术必将导致教育教学领域的深刻改变,而计算机数字化校园的建立,正加速了信息技术的应用和渗透,使得教育迅速走向网络化和数字化,同时也为教育信息化提供了技术上的支持,并对教育观念、教育内容、教育模式、教育评价、教育环境和教育管理等方面产生一系列的改革和变化。

一、什么是数字化校园

1990年由美国克莱蒙特大学教授凯尼斯·格林发起并主持的一项大型科研项目“信息化校园计划”,是最早出现的数字化校园概念。1998年1月31日,美国前副总统戈尔在美国加利福尼亚科学中心发表了题为“数字地球:21世纪认识地球的方式”的演讲,最先提出“数字地球”概念,全世界普遍接受数字化概念,引出“数字城市”、“数字化校园”等各种概念。

因此,数字化校园的概念就是: 挖掘先进的管理理念,应用先进的计算机网络技术把学校现有的教学、科研、管理、生活、服务等有关的资源进行整合和集成,以实现统一的用户管理、资源管理和权限控制;实现资源的有效配置和充分利用,实现校务管理和后勤服务过程的优化、协调,从而创造新的教育和工作模式,完成传统教育模式难以实现的目标。

二、数字化校园特点

资源共享化:数据资源是数字化校园的统一的数据存储访问集合,由共享数据中心以及文件、目录、关系型数据库等基础构成。建立以一个共享的数据库平台,形成一个唯一的可信数据资源,使整个数字化校园的新系统、不同时期已经建设的己有系统的数据能够有机的集成,保持所有应用数据的统一和一致,并为整个学校的信息查询和决策分析提供可靠的、足够的、全面的数据保障。

管理智能化:数字化校园突破了原有的校园管理体制和管理模式,利用信息技术实现学校多方位的变革,随着数字化校园建设与管理的深入发展和不断实践,数字化校园的研究已从重技术研究转向重管理研究。数字化校园的管理既包括行政管理,也包括技术性管理,从根本上突破了原有的校园管理体制和管理模式,自上而下的利用信息技术实现学校多方位的变革。

服务系统化:数字化校园不仅是为学校创设一个高速、高效、资源共享的管理环境,而且也是一种影响教育教学观念、手段、方式及管理思想、管理体制和管理方法的文化。数字化校园彻底变革了以往办公的传统模式,由以往的人工模式转变为网上办公、无纸化办公的智能模式,大大简化了工作程序,提高了办公效率,各项工作高效运转,在教师办公、教科研活动、各类考勤等方面,数字化办公系统发挥了重要作用。

形式网络化:以网络为基础,利用先进的信息化手段和工具,实现环境、资源、活动及管理的数字化,建立网络智能办公系统、学校管理平台、教学平台,教师们便可在网络环境下开展教育教学活动,同时把新的理念、方法和措施落实到课堂,落实到每个管理的环节。教学个性化:在学科教学中充分发挥网络资源优势、突出新课程的理念后,师生活动由被动无“趣”向自主学习发展,实现以学生为主体的互动式个性化教学,应用新课程理念重新设计教学过程,便能充分发挥教学的整体功能,提升整体教学水平。

三、数字化校园建设意义

数字化校园将学校内部的相对独立分散的业务系统,进行统一整合和有效的集成,对集成数据按标准进行验证,对信息进行实时更新,确保信息的一致性、准确性,从而提升了学校整体管理水平和综合实力,提供无纸化的学校网上办公平台。

1、解决高校信息孤岛

2、规范业务流程,提高工作效率

3、为师生员工提供“一站式”服务

4、体现决策管理水平,及整体综合实力

5、有助于教学模式和观念的转变

6、辅助学校领导决策

四、如何高效利用数字化校园

1、加强对“数字化校园”的理解和认识。将数字化校园建设和学校教育改革、科研发展、学科建设等方面的工作结合起来。制定“数字化校园”的长远目标和分阶段建设目标,在目标指导下,确定各个阶段的建设内容和建设重点,确定建设原则、方法和路线等。

2、高效利用数字化校园需要领导的高度重视。数字化校园的实施建设是一项系统工程,涉及到高校的方方面面,它的建设实施不但需要学校对自身业务及数字化校园概念进行深入理解,而且还需要学校领导的高度重视及各部门、各二级学院、学生的积极配合。

高效校园 篇3

Z公司目前采用社会招聘的形式招聘基层员工,对于未来的管理人员则较多地采用校园招聘的形式。可是,在仅仅一天的时间挑选三、四百人的简历然后再进行群体面试,人力资源中心的几个招聘专员往往觉得力不从心。更令他们感到沮丧的是,很多表现优异的大学生拿到Offer后,经过考虑都放弃到公司入职。优秀的人才离职倾向高,而表现平平的员工又不能适应公司的发展要求。

针对以上问题,笔者所在的项目组经过研究,综合考虑了招聘的成本和流程,给Z公司设计了第一轮采用无领导小组讨论,第二轮采用基于行为事件访谈法的结构化面试的校园招聘方案。本文以Z公司校园招聘无领导小组讨论为案例,介绍其中一些关键的环节。

一、无领导小组讨论类型

无领导小组讨论要求所有的应聘者以平等的身份就给定的题目进行讨论,发表个人意见并进行集体讨论后形成统一意见。

根据讨论的情境,无领导小组讨论可以分为情境性讨论和无情境性讨论。无情境性讨论一般针对一个开放性的问题进行,情境性讨论一般是让应聘者根据题目中给出的组织背景和任务要求进行讨论。另外,根据情境是否跟工作相关还可以分成工作情境相关和工作情境无关讨论。

实际的操作表明,对于Z公司的校园招聘,情境性讨论比无情境性讨论效果更好。大学生对于有角色的情境性讨论具有更高的参与度,也更有扮演和表现的欲望。在讨论的时候更容易形成争论的焦点,这时候对于招聘官来说则更容易分辨应聘者的表现并对其素质进行评估。值得注意的是,由于大学生往往不具备工作经验,采用工作情境相关的讨论会扩大误差。所以,笔者所在的项目组设计的情境尽量普通,或者是更易于理解。

二、无领导小组讨论题目类型的选择

常见的无领导小组讨论题目类型包括资源争夺问题、开放式问题、两难问题、多项选择题、操作性问题五种:

1、资源争夺问题。如某公司购买了一辆新车,各部门推荐一位候选人,每人的情况都有所不同(具体情况略)。现在需要你们扮演其中的一个角色,对分配方案进行讨论,最后将讨论结果汇报给招聘官。

2、开放式问题。如不断攀升的房价牵动着城市每个人的心。有人认为国家应大力打击“炒房团”,以保证房价的稳定。请你们就这个问题展开讨论,并形成一致的意见。

3、两难问题。如你认为大力固定人民币汇率有利于国家经济的发展还是不利于国家经济的发展?

4、多项选择问题。如交通堵塞是现代城市的难题之一。有人提出解决交通堵塞问题的办法(具体情况略)。现在请选出你认为的5条最佳的解决办法,陈述你的理由,并和其他人展开讨论,最终将讨论结果汇报给招聘官。

5、操作性问题。如在小岛上建设基地,请大家组成一个设计和实施小组,负责生活区、生产区、休闲区的规划和实施,并利用所提供的模型完成建设的过程。

三、无领导小组题目设计步骤

无领导小组讨论的题目设计是在工作分析和素质模型构建的基础上进行的。大致的步骤有工作分析、测试素质和行为标准的确定、测试目的和对象的确定、题目素材的收集、讨论题编制、讨论题的检验和修正、评分表的编制。

笔者认为以上过程中最重要的步骤有测试素质和行为标准的确定、评分表的编制。其中测试素质和行为标准的确定是最难的一步,同时也是与招聘官评分信度和效度相关最大的关键步骤。许多招聘官反映无领导小组讨论的打分不容易进行,可能的原因是:招聘官不清楚测试素质的定义、内涵,测试素质本身没有一个等级清晰的评价标准。

针对第一个问题,Z公司拟建立招聘官资格认证体系和相应的培训体系,通过职业化招聘官队伍建设来解决这个问题。而解决第二个问题的关键就在于设计测试素质时要遵循如下几个原则。

四、设计测试素质的五大原则

1、针对岗位:要在工作分析或素质模型构建的基础上确定测试素质。

2、合理选择:有些素质可能并不适合用无领导小组讨论来测试,需要用其他的测试方法。比如“学习能力”这一素质,按照笔者所在项目组对这一素质的定义和分级,学习能力较高的层次可以分别概括为“举一反三”、“融会贯通”和“提炼升华”。这几个层级的行为标准很难在无领导小组讨论中被观察到,但是在结构化的面试中,可以通过行为事件访谈的方法判断出应聘者这一素质的得分。

3、分级明确:测试素质要有清晰的定义,并且应与应聘者在讨论过程中的行为进行对应。比如“沟通能力”的定义是“针对一定的受众对象,倾听、了解他人的感受,清晰表达自己的意见,与他人进行信息传递的能力。”对于每一个素质,针对不同的层级还有更详细的行为描述。

4、指标独立:素质之间要保持独立性,在解释上和层级定义上不要有交叉的内容。这一点其实很难在现实中做到,很多素质的分层级不是很容易辨别清楚。那么就要加深招聘官对于素质分层思想的理解。另外,对于行为的把握要做到更加准确,从而进行准确的归类。

5、适量的素质:在测试的过程中,如果要考察的素质过多,势必会分散招聘官的注意力。同时,由于招聘官不可能评判标准完全一致,过多的指标也会造成评价结果的差异性过大。另外,关注的素质过多,可能会增加素质相互关联程度,这样也增加了招聘官对素质的定义和理解难度,可能会造成主观评价成分过多的情况。在实际工作中,我们一般采用5-6个维度(素质)进行测试。

五、招聘官评分表的设计

根据以上五个原则设计出来的素质评价标准,最终要反映到招聘官评分表上。一般的评分表包括以下几个要素:应聘者编号、招聘官姓名、测试维度、招聘官观察记录、分值区间、定量评价、评语评价。

为了能更方便招聘官进行打分,我们不仅将素质的定义标注上,同时也将素质分级的简要行为标准也附上。这也有利于招聘官评价标准的统一。以下是Z公司某岗位校园招聘评分表(如表-1)。

经过第一轮的无领导小组讨论后,大概会淘汰70%-80%的应聘者,然后再针对所要关注的素质,对剩下的候选者进行结构化的行为事件面试。对入职的新员工,人力资源中心会将这两个测试的总结果作为最初的素质测评档案进行保存。在员工入职半年后,人力资源中心会再次组织测试,对比前后两次测试的结果以及员工入职后的绩效表现,便可以评估员工的素质发展情况和招聘的有效性。

高效校园 篇4

安全、高效的校园网络是高校重要的信息基础设施。学校通过校园网能够进行对外宣传,展示学校风貌;可以在校园网上开展多媒体教学、远程教育、进行网上联合科研、建立数字图书馆、实现办公自动化、承载校园一卡通系统,方便师生的校园生活。因此,规划、设计和建设好校园网是高校信息化基础设施建设的大事,各高校也是加大投入,努力建设先进、安全、高效的校园网。本文结合四川外国语大学智慧校园网络的规划及具体实施,探讨满足高校智慧校园建设需求的校园网络架构设计与实施。

1 高校校园网现状及问题

高校校园网有一定的共同特性,所采用的网络架构多是三层以太网架构[1],有校园网核心层,有各个区域的汇聚层,各楼宇的接入层;校园网通过出口路由的方式接入教育科研网以及中国电信、联通、移动等运营商;校园网安全主要通过部署校园网出口防火墙、入侵检测、病毒防范等系统实施校园网保护;校园网服务提供区一般部署在防火墙的DMZ区;目前校园网多是千兆主干光纤网络,网络的管理主要基于免费的主机监控软件或网络产品附带的网络管理软件。

随着计算机及网络技术的发展,特别是各种应用的飞速发展对网络带宽、安全、稳定提出了更高的要求,现在多数校园网都需要进行升级改造以满足应用的需要。一些高校已经开始或准备开始从数字校园建设阶段进入到智慧校园建设阶段,如何才能使我们的网络基础设施能够承载智慧校园呢?我们必须对现有网络进行详细的分析,找出不足,以便改进和升级。

1.1 校园网多条出口链路未得到合理、高效的利用

目前我校有6 条出口链路,1 条350M教育网光纤,1 条10M联通网光纤,4 条3300M电信网光纤(其中1 条300M,另外3条各1000M)。教育网带宽用于教学区上网,联通网带宽仅用于校外联通用户访问校内公共资源,300M电信带宽用于办公区上网,3000M电信带宽用于学生宿舍区和家属区上网。之前我校采用目的路由的方式,将流量分发到指定链路上,但会出现例如电信链路过载使得师生访问缓慢,而其他链路却空闲浪费资源的情况;当某条链路故障的时候,设备还按照之前的规则来引导流量导致部分师生无法使用,必须手动将路由切换到正常链路,当故障链路恢复后又必须手动切换回来,出口带宽利用率低,管理麻烦。

1.2 DNS解析不能满足多种用户访问的要求

我校有三条校园网出口链路,教育网、电信、联通,如何实现入站流量DNS智能解析,以保证校园网首页、邮件、OA及其他业务能够通过最快的链路提供给外网用户使用,在出口链路故障时,如何自动切换流量,避免访问中断。校内用户访问校园门户、使用校园网服务多是通过域名方式进行访问,但部分用户的地址解析由运营商DNS服务器完成,因此每次访问都需要绕道外网后再访问,无形中形成了流量的浪费和访问速度的下降。同时内部人员由于DNS是自动分配,不能保证访问外网的服务都自动解析到对应运营商的服务器镜像IP地址。

1.3 如何进行带宽控制,以保证带宽的高效利用

目前千兆流控设备不能满足对近万兆带宽的流量控制管理,已有的流控策略没有弹性,不能充分利用带宽资源,不能对P2P流量或其它重要应用类型,应用弹性的流控策略。

1.4 对用户认证授权,以保证校园网使用的安全可控

目前一些教学和办公用户一般开机即可访问校内资源甚至上互联网,没有实现上网实名认证。校园网目前的管理及审计工作还是基于IP实现,无法对应到实名用户,不便于校园网的管理及问题追溯。

1.5 存储、管理急剧增加的用户网络行为日志

公安部《互联网公共上网场所相关规定》等法律法规纷纷对用户的上网行为提出记录和审计要求。学校需要对上网用户的互联网访问行为进行记录和审计,便于事后的行为溯源,满足监管部门的要求;同时针对手机接入WIFI访问的情况也需要一并审计,但是一些学校还没有建立完备的日志记录审计系统,或者跟不上带宽增加的步伐,不能做到对所有用户的日志记录进行集中管理和审计。

1.6 如何保证智慧校园网络安全

校园网应用日新月异,但网络风险层出不穷,多样化的网络攻击频频发生,如何保证校园网正常运行免遭网络黑客、病毒的侵害,避免校园网内部僵尸木马蠕虫泛滥,阻断“肉机”同外部控制器连接后成为跳板,对内部发起攻击或对外发送攻击流量导致校园网拥塞。

各高校都建设了各自的数字化校园,有自己的数据中心,运行着学校的各种管理、应用系统,还存放和运行着很多托管系统,由于设施和管理原因,存在很大的安全隐患。近年来高校网站被篡改、挂马以及各类基于应用的攻击屡屡发生,互联网各种蠕虫、病毒木马泛滥,针对重点高校的网站和服务器的攻击越来越多,传统防火墙工作在网络层,无法对应用层风险进行全面的防护。

2 智慧校园网络建设的目标

智慧校园的建设需要先进、高效、安全的校园网基础设施平台的支撑,智慧校园网的建设更多是在原来校园网基础上的更新、升级,以使校园网能够满足智慧校园建设对大带宽、多出口链路管理、校园网无线全覆盖、多类型应用建设、安全审计、统一身份认证、入侵检测与防御、智能DNS域名解析、业务负载、数据中心安全保护等需求。

我们希望建成全网支持IPv6 的万兆主干光纤校园网络;校园网多个出口链路能实现科学合理的负载;建设覆盖全校的无线网络并纳入校园网的统一规划和管理;建设支持校内外用户使用的智能DNS,提高网络访问的效率;建设满足安全要求的统一身份认证和安全审计系统;建设完备的校园网安全体系保护校园网资源、服务和用户;建设应用负载和内容缓存系统提高用户网络使用体验;建立综合网管系统,提高对校园网的监控和管理能力。

3 智慧校园网络设计

我校已建成三层架构的千兆主干光纤校园网,这样的结构层次清晰,协议支持好,扩展方便,但是对各个汇聚分中心环境要求高,汇聚设备更换成本高,故障点增多,应用部署不够灵活,管理维护不方便。本次网络改造将取消部分汇聚层,只保留教学区汇聚,对网络架构进行扁平化改造,同时使全网支持IPv6 并升级到主干万兆光纤网络。基于网络安全、稳定、高效的要求,对智慧校园网络架构进行了如下详细设计。

3.1 网络结构设计

对校园网结构进行调整和优化[2],实现校园网扁平化管理。所谓扁平化,是从网络中设备所承担的功能上区分,将网络划分为业务控制层和接入层。接入层由汇聚和接入层设备构成,仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。本方案设计采用功能、性能、可靠性和可扩展性良好的两台核心交换机,支持双机集群、虚拟化等技术,有足够大的背板带宽、快速的转发速率、稳定的性能,同时支持IPV4 和IPV6 协议,两台核心交换机做集群,实现一体化管理。智慧校园网络结构拓扑图如图1 所示。

核心层:校园网核心交换机采用双机部署方式,提供CSS集群提高系统可靠性。

汇聚层:汇聚交换机通过万兆端口双归属到核心交换机,通过链路捆绑技术或者路由协议避免环路,实现链路负载均衡。

智慧校园数据中心:数据中心通过万兆端口与核心交换机互联,通过路由协议避免环路,实现链路负载均衡。

校园网安全:见网络安全设计部分。

扁平化[3]:原汇聚交换机、楼宇交换机关闭三层功能,作为二层交换机使用。即原来的DHCP中继、ACL访问控制、Qo S、组播、三层路由等功能全部由核心交换机实现。这就要求核心交换机具备超大规格的ACL表项、MAC地址表项以及路由表项,以应对扁平化给核心交换机带来的压力。

校园网出口:本方案通过出口的网关设备实现链路的合理管理。采用带有ISP地址库的网关设备,链路出栈的时候能够自动的被分配到对应运营商链路上,避免跨运营商的情况;当多条链路中有链路中断了,能够自动将访问请求分配到健康链路上,避免网络中断,当链路恢复后可自动切换回之前的状态。如果多条链路中的部分空闲、部分却又拥塞,能够自动的把流量分配到空闲链路以避免资源浪费和访问体验下降。

流量控制:本次方案设计采用新的万兆级智能流控设备,对校内办公、教学用户采用一套账户同步统一流量管理。改变当前流控策略为弹性智能流控策略,根据带宽使用情况及应用重要性智能分配带宽。

3.2 网络安全设计

网络安全[4]包括校园网出口安全、数据中心安全(另外专门项目设计)、身份认证、内容审计、VPN系统等内容。见图2网络安全结构拓扑图。

出口安全:在校园网出口部署符合国家最新计算机网络安全标准的安全网关设备,进行安全隔离及防护,避免大规模僵木蠕发作导致校园网瘫痪。实现对校园网出口2-7 层统一防护,同时防止内部师生电脑被植入僵尸、木马、后门等,防止其主动外链恶意服务器下载有害代码造成跳板攻击,组织其对外发送垃圾流量造成出口拥塞;避免外部利用内部存在漏洞或已被植入木马的肉鸡对我内网发起攻击,切段肉机与目的服务器的联系;采用专业的fw、ips、waf、僵木蠕防御、漏洞检测扫描、网页防篡改等功能,对校内多个网站提供安全防护;保护内部师生的操作系统及财产安全。

身份认证:新建万兆级身份统一认证系统,本次认证系统要实现,无论上网人员用什么账号走哪条链路都能够识别到人,支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;支持二维码认证方式,当有访客到我校参观,可通过扫码上网;支持与我校微信公众号结合的认证方式,用户关注微信公众号后即通过身份认证;支持LDAP、Radius、POP3、Proxy等第三方认证结合,如我校明年建立此类认证系统也可同步读取认证信息。

内容审计:建立满足公安部33 号令、公安部82 号令、公安部《互联网公共上网场所相关规定》等法律法规对用户上网行为记录和审计要求的日志记录审计系统。使用外置数据中心,存储至少90 天的日志以便于公安部门检查,存储内容应包括使用的人、应用、URL、网页快照、关键字等。不仅对使用电脑上网的人群进行审计,同时对手机等移动终端接入WIFI访问网络也进行审计,实现有线无线统一审计。

VPN系统:为了师生在校外能够安全访问校内资源,处理相关业务需建立VPN系统。新建VPN系统需要支持IPSEC、SSL、PPTP等多种访问方式,支持记录用户的访问行为如:记录账号在何时访问了何种业务系统。

智能网管:智能网管能够集中管理网络中的路由器、交换机、防火墙等网关设备、服务器、存储设备、视频监控等设备,同时可以对第三方设备进行监控,实现全网设备统一管理;支持网络规模平滑扩展,功能组件可按需求选择;提供拓扑管理、故障管理、性能管理、配置管理等功能;能通过监控任务自动对网络线路进行周期诊断和临时诊断,协助用户评估网络服务质量;针对管理人员提供敏捷报表,从多个维度对报表数据进行分析;支持移动管理,用户可以在移动终端上进行无线网络管理,包括监控、故障诊断等功能。

4 结束语

校园网是智慧校园重要的网络基础设施,在高校教学、科研、管理和师生的信息交流、生活服务方面都起着关键的支撑作用,没有安全、高效的校园网络就没有智慧校园。本文以四川外国语大学为例,分析了当前校园网的架构、存在的问题,建设智慧校园对网络的实际需求并设计了我校的网络建设与改造方案,实践证明方案是可行并满足智慧校园建设要求的。

参考文献

[1]张丹东,戴俊文.高校校园网络架构设计与实践.电信科学,2010.

[2]陶舟,王一举,黄东平,陈飞.数字化校园的网络架构与设计——以长江大学数字化校园网络建设为例[j].长江大学学报(自然版),2006.

[3]葛玉军.校园弹性扁平化计算机网络设计[j].福建电脑,2012.

高效校园 篇5

关键词:linux,iptables,NAT,防火墙

随着Internet的普及,学校的教学与管理对网络的依赖性越来越强,校园网络环境的安全问题被越来越多的学校和教育机构所重视。然而,网络安全设备昂贵的价格使很多学校只能望而止步,加之网络管理人员的技术和安全意识方面的不足,校园网络的安全现状不容乐观。

Linux平台下的iptables以其安全、高效、开源、免费等特点被广泛应到校园网和中小型企业网当中。

●配置iptables,实现校园网通过NAT共享访问Internet

实现通过一条线路共享上网的方法有很多种,选择通过Linux系统的iptables方法,需要并安装一台Linux服务器(配置不需要很高),相对于其他方法,软件的设置比较复杂,但是能够实现更多的管理功能,如访问控制、访问日志记录和审核等,而且性能较高,可以提供更多的用户访问Internet,适用于学校、中小型企业等。

校园网要求有较好的可管理性,并且将来需要实现一定的防火墙功能,因此,比较适合选择使用Linux系统的iptables。Linux系统性能稳定,同时又能为网络提供必要的网络管理需要,可以通过设置iptables防火墙功能实现访问控制。

按照图1所示连接网络,服务器的网卡eth1连接内部网,网卡eth0连接外部网。

启用路由转发IP forwarding功能。配置好内部网用户的主机IP等参数,内网用户已经可以通过NAT服务器共享访问Internet了。

●配置iptables,打造安全的校园网防火墙

校园网已经配置了Linux服务器iptables的NAT功能,实现了内部网用户共享访问Internet。iptables的功能十分强大,需求中的几项内容完全可在iptables中实现。我们可以利用Linux服务器iptables的防火墙功能,实现对校园网络的安全管理。

1. 在Internet上发布内部网的Web服务器

如果想让外部网络用户通过Internet访问学校的Web服务器,首先必须提供一个固定的公网IP地址,还要为企业Web网站注册一个能够在Internet上访问的域名(如www.myschool.com),并将这个域名绑定为固定的公网IP地址。如果直接将Web服务器放置于外部网,即可被Internet用户访问,但是这样做不安全。要想让内部Web服务器被外部网访问,需要建立内部网Web服务器的私有IP地址(192.168.1.100)与注册域名的固定公网IP地址与之间的映射。这样,Internet用户就能通过域名访问到内部网的Web网站。

当Internet用户访问企业网站,如http://www.mycschool.com,即访问NAT接入主机的80端口(80端口是访问Web网站使用的默认端口)时,只要将该数据包直接发送到内部IP地址192.168.1.100:80,即可访问企业内部Web服务器网站。因为只需要访问Web网站,在IP映射中只需要打开Web服务端口80。

将服务器eth0接口接收到的目的端口为80的所有数据包进行目的NAT (DNAT) ,转换为192.168.1.100,这样,该数据包就被转发到目的IP地址为192.168.1.100的内部网Web服务器。

当内部网的Web服务器收到来自Interent的访问请求后,需要回送网站页面给Internet用户,为了不让外部网用户获知内部服务器的真实地址,可将服务器eth0接口接收到的源IP地址为192.168.1.100(内部Web服务器)的所有数据包,进行源IP地址NAT,转换(伪装)成源地址为NAT主机外网IP的数据包。这样,所有目的为NAT主机外网IP80端口的数据包都将被转发给192.168.1.100,而所有来自192.168.1.100的数据包都将被伪装成来自地址NAT主机外网IP的数据包,从外部网转发出去。对于外部网用户,会觉得是正常访问Internet上的校园网Web网站,而不会知道被访问的服务器的真实位置。

2. 禁止外部网的ping

命令ping是测试网络连通性最常用的命令,同时也是网络攻击者利用的工具。大量的ping操作会消耗目的主机的CPU资源,可导致目的主机因无法正常提供服务而瘫痪,这就是常说的“拒绝服务攻击”的一种。iptables的-p参数可以很容易的实现禁止使用ICMP协议。这样,来自外部网络(eth0)的ping数据包被拒绝。

3. 禁止某些内部主机访问Internet

iptables可以控制数据包的转发,通过添加规则,限制某些源地址的数据包通过iptables防火墙,即可限制这些主机访问Internet。

4. 限制对某些不健康网站的访问

不健康的网站主要是指有违背国家法律法规内容的网站或者一些色情网站,这对净化校园网络环境来说是至关重要的。这类网站限制,我们可以通过设置iptables禁止访问该网站的域名或IP地址方式实现。对于管理员来说,能够做到对一些已知网站的访问限制。

这里介绍限制的方法,具体限制哪些网站由管理员按照介绍的方法自行添加。限制方法可以参照下面的实例。

限制对域名为www.playboy.com网站的访问:

[root@localhost~]#iptables-I FORWARD-d www.playboy.com-j DROP

限制对IP地址为202.17.61.4网站的访问:

[root@localhost~]#iptables-I FORWARD-d 202.17.61.4-j DROP

5. 封闭一些病毒常用的端口

计算机病毒在传播时会使用某些大于1024的端口,例如,蠕虫病毒“震荡波”(Worm.Sasser)可以利用TCP协议的5554端口开启一个FTP服务,用于病毒的传播。管理员要多查阅有关常见病毒的介绍,掌握常见病毒使用的端口范围,以便实施控制。要想关闭网络192.168.1.0中所有主机的使用TCP协议访问的目的端口5554和445,具体方法参照下面的实例:

iptables为我们的校园网提供了很好的互联网接入和信息安全解决方案。然而一个安全高效的校园网络仅仅依赖软硬件设备是远远不够的,还需要科学的管理和细致的日常维护。安全网络是我们追求的目标,绝对的安全确是不存在的。我们期待经过我们不断的努力探索,学习交流,我们的校园网络会一天比一天更安全!

参考文献

[1]林慧琛, 刘殊, 尤国君.Red Hat Linux服务器配置与应用.北京:人民邮电出版社, 2006

[2]李蔚泽.Red Hat Linux9架站实务.北京:机械工业出版社, 2004

[3]郝维联.Linux服务器配置实训教程.北京:机械工业出版社, 2009

高效校园 篇6

1、Solar Winds简介

Solar Winds是专门为各种复杂的网络环境开发的网络管理、网络监控和网络探测工具, 能够满足电信运营商、大中院校、企事业单位对网络管理和专业咨询的不同需求.在广大用户关注的软件使用便利性上Solar Winds具备一下特点:网络管理软件的简便的安装和方便使用;网络状态监测管理系统直观的操作;监测数据、设备状态、故障时间能更快速发现。专业的SolarWinds网络性能监视管理系统, 在全球得到最广泛的使用。超过45%的全球财富500强公司使用Solar Winds系统来管理他们的网络。在中国, 众多省市移动、电信网通核心IDC机房以及大中院校在使用Solar Winds管理系统对全网设备进行全面监测管理。

Toolset网络管理工具集包含47种实用的网络管理工具。能够帮助网络工程师实现对网络监测和分析以及网络故障及时发现。Toolset最新版本可直接内置到Orion中, 你能从Orion中直接启动Toolset应用程序。主要功能如下:交换机端口绘图、IP Network Browser、Network sonar、MAC地址发现、IP地址管理、Advanced Router CPU load、对路由器的配置、Proxy ping、Email管理、故障监视工具、网络节点监视、M I B工具、S N M P图表、安全性能、SNMP Trap工具、Ping诊断工具包括Trace Route。

Solarwinds Orion:Orion网络性能监视器是一个完全web化的网络故障、流量和性能监视管理软件, 实现对整个网络的可视化管理和实时监控, Orion只需要几分钟时间就可以安装、配置完成, 并易于使用。同时可以适应任何大小网络对网络管理的需求。Orion与现在市面上任何一款网络管理系统相比, 在系统的初始实施与总体价格上都是最便宜。无论是中小型公司还是大型企业, 网络工程师和网络管理员在使用Orion后, 都能够得到实际的效益和投资回报。

2、IP地址规划

学院的服务器操作系统采用的是Windows NT/2000/2003Server系统, 客户端采用Windows 98/Me/2000/XP/2003 Server系统。Windows为TCP/IP客户端提供了3种配置IP地址的方法, 用于满足Windows用户对网络的不同需求。具体采用哪种IP地址分配方式, 可由网络管理员根据网络规模和网络应用等具体情况而定。学院校园网的分配方式如下。

2.1 静态分配

静态设置IP地址时, 需要为网络中的每一台计算机分别设置4项IP地址信息 (IP地址、子网掩码、默认网关和DNS服务器地址) , 在没有重新配置之前, 计算机将一直拥有该IP地址。为方便管理, 学院校园网家属区和办公区, 全部采用静态IP地址分配方式。

2.2 DHCP分配

选择这种方式, 必须规划好专用的DHCP服务器。根据实际需求, 学院校园网学生区, 采用DHCP分配方式, 当不能自动获取IP时, 为其设置静态IP地址。

2.3 NAT转换方式

现在, 私有IP地址已经规划好了, 私有IP地址只能在校园网这个局域网中被识别, 如果这些计算机要上Internet怎么办呢?只要使用NAT方式就可以实现了。它可以将专用IP地址 (如10.x.x.x) 转换为一个公有IP地址。也就是说, 对于一个局域网而言, 无论其中有多少台计算机, 只需要有一个可全局路由的IP地址即可。这种方式既节约了IP地址, 又能同时满足多个用户的上网需求, 它就是组网的首选了。网络地址转换 (NAT, Network Address Translation) 被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单, NAT不仅完美地解决了IP地址不足的问题, 而且还能够有效地避免来自网络外部的攻击, 隐藏并保护网络内部的计算机。

虽然NAT可以借助于某些代理服务器来实现, 但考虑到运行成本和网络性能, 很多时候都是在路由器上来实现的。在学院, 是利用防火墙来实现NAT转换的。

借助于NAT, 私有IP地址的“内部”网络通过路由器发送数据包时, 私有地址被转换成合法的IP地址, 一个局域网只需使用少量公有IP地址 (甚至是1个) , 即可实现私有地址网络内所有计算机与Internet的通信需求。目前网络中应用最多的就是端口多路复用方式, 学院用户上网也是通过这种方式。

2.4 公有IP地址的规划

一般情况下, 公有IP地址只有ISP提供的有限几个IP地址, 它的分配采用静态的方式, 也就是给每台计算机分配一个固定的公网IP地址。如果网络中每台计算机都采用公网IP地址的静态分配方案, 那么很可能是IP地址不够用, 这个时候就需要规划哪台计算机、设备使用公用IP地址。在学院, 使用公有IP地址的设备主要有:学院主页服务器、部门主页服务器、精品课程服务器、防火墙地址转换池等。

学院的公用IP地址段为:电信出口网段:125.X.X.X。网通出口网段:221.X.X.X。教育网出口网段:210.X.X.X。

每台服务器配有至少4张网卡, 分别设置为电信、网通、教育网、学院内网IP地址, 并添加适当的路由, 使访问电信资源走电信链路、访问网通资源走网通链路、访问教育网资源走教育网链路、访问校内资源走内网链路。

2.5 私有IP地址的规划

公有IP地址被少数设备占用了, 在学校内部还有很多计算机, 怎么给他分配IP地址呢?这个时候, 就要考虑使用私有IP地址了。首先, 要考虑选用哪一段私用IP地址。由于校园网在规划时划分了4个OSPF区域, 所以IP地址也根据区域来划分。每个区域约100台网络设备, 用户约2000人。学院根据学校的实际情况, 为网络设备选用192.168.0.0网段, 为用户计算机选择10.0.0.0网段。具体分配如下。

(1) 网络设备网段:192.168.X.X。主要用于路由器、交换机和防火墙的管理地址和路由地址等。根据每台设备的接入层次 (核心层设备、汇聚层设备、接入层设备) 与所处区域不同, 192.168.0.0的详细分配如下。

192.168.1.X-192.168.4.X:OSPF1-4的核心层和汇聚层设备IP地址。

192.168.10.X-192.168.40.X:OSPF1-4的接入层设备IP地址。

(2) 服务器网段:10.1.1.X。为了保证校园网服务器提供的服务 (如WWW、FTP等) 稳定长期的正常运行, 该校的所有主干服务器全部放在这个网段。

(3) 网络管理网段:10.1.0.X。为了确保网管系统安全稳定地长期正常运行和对网络设备的安全管理, 特意配置网管网段, 并在交换机等设备中做好权限配置, 使只有位于该网段中的设备才能够通过SNMP、Telnet协议管理全网设备。在本书中, SolarWinds网管服务器的IP地址为10.1.0.254。

(4) 用户网段:10.1.4.X~10.255.X.X。除用作服务器、网管的网段10.1.0.X~10.1.3.X (10.1.2.X和10.1.3.X为服务器的预留网段) , 从10.1.4.X开始为用户所用。根据用户所处区域不同, 10.0.0.0的详细分配如下。

10.1.X.X:OSPF1的用户IP地址。

10.2.X.X:OSPF2的用户IP地址。

10.3.X.X:OSPF3的用户IP地址。

10.4.X.X:OSPF4的用户IP地址。

划分区域后, 再按楼层、楼宇分配IP地址段, 如OSPF1区的10号楼, 使用10.1.10.X, 其中第一个可用IP地址10.1.10.1为网关, 其他楼宇的IP地址分配方式与此类似。

3、网络设备的SNMP配置规划

SNMP是专门设计用于在IP网络管理网络节点 (服务器、工作站、路由器、交换机及HUBS等) 的一种标准协议, 它是一种应用层协议。SNMP使网络管理员能够管理网络效能, 发现并解决网络问题以及规划网络增长。通过SNMP接收随机消息及事件报告, 网络管理系统SolarWinds Orion能及时获知网络运行的各种信息和出现的问题。

3.1 SNMP团体字符串规划

网管系统主要是基于SNMP协议来管理网络的, 所以我们需要为被管理的网络设备配置SNMP。主要需要配置以下3项。

配置该设备的SNMP只读字符串, 比如ybuTempR。

配置该设备的SNMP读写字符串, 比如ybuTempW。

启用SNMP和Telnet协议, 并设置哪些IP地址可以通过SNMP和Telnet协议来管理该设备。为了安全起见, 必须将所有设备都配置为只允许在网络管理网段 (10.1.0.x) 的服务器能够通过SNMP、Telnet协议管理该设备。

3.2 SNMP团体字符串配置

如果需要对设备进行管理, 必须在设备上配置SNMP信息。下面来看看如何在交换机上配置SNMP信息, 以思科交换机6509为例, 配置SNMP命令如下:

在交换机上的SNMP配置好后, 可以通过网管服务器10.1.0.254对它进行管理。

4、网管服务器规划

现在, 根据学院的网络建设与发展情况, 网管系统服务器主要包括:主网管服务器和网管数据库服务器。对它们的规划如下。

4.1 主网管服务器的规划

主网管服务器一台, 主要用于安装SolarWinds Orion网络管理系统, 收集数据。配置为IBM X346、CPU 2×3200MHz/2MB Cache、内存4000MB、双通道ServeRAID 7k RADI5阵列卡、6个SCSI 320 146GB硬盘。该服务器配置了6个1000M电口网卡 (IBM X346服务器自带2个1000M电口, 配置了1块Intel PWLA8494MT PCI-X 1000M四电口服务器网卡) 。另外还有一个独立于服务器中安装了操作系统的RSA II远程控制网卡。在IBM X346中可以通过安装Remote Supervisor Adapter II SlimLine远程控制系统适配卡, 轻松实现功能强大的基于IE浏览器的远程管理系统。该服务器配置了5块网卡, 分别用于连接电信出口网段、网通出口网段、教育网出口网段、内网网段和独立的RSA II远程控制网卡。

4.2 网管数据库服务器规划

网管数据库服务器一台, 用于存放SolarWinds网管系统收集到的大容量数据。配置为2×CPU 2200MHz/2MB Cache、内存4000MB、硬盘RAID5 SCSI 320 200GB、RSA II。该服务器配置了5块网卡, 分别用于连接电信出口网段、网通出口网段、教育网出口网段、服务器网段 (网管服务器通过该网卡访问数据库) 和独立的RSA II远程控制网卡。

现在, 学院用另外一台IBM X365兼作主网管服务器和网络数据库服务器的备份服务器, 配置为2 CPU 2.2GHz/2MB Cache、内存4GB、硬盘RAID5 SCSI 320 200GB、RSA II。以后条件成熟时会逐步增加主网管备份服务器和网管数据库备份服务器, 主要用于主网管服务器和网管数据库服务器的备份, 以便在出现问题时及时恢复。

4.3 数据库服务器规划

为存储大量的网管数据, 我们需要用到数据库。数据库是计算机应用系统中的一种专门管理数据资源的系统。由于SolarWinds Orion NPM使用MicroSoft SQL Server数据库用于存储收集的数据, 此处简单介绍服务器数据库的规划。SolarWinds Orion NPM支持SQL Server 2000或以上的版本, 其新版本主要有:SQL Server2000、SQL Server 2005、SQL Server 2008。其中每个版本又分为标准版、企业版、个人版等, 这么多的版本, 怎样选择?经过比较与长期使用, 学院的网管数据库使用了Microsoft SQL Server 2000Enterprise简体中文版+Service Pack 4, 它能满足数据存储的需要, 此其他系统的兼容性好、安全性高。有需要和有条件的用户可以使用SQL Server 2005, 但不建议使用SQL Server 2008。

4.4 服务器在网络中的位置规划

学院校园网现有8000多个信息点、400多台网络交换设备、100多台网络服务器。学院骨干网络是由4个核心交换机组成的OSPF2000Mbps双环结构, 划分为4个区域OSPF1~OSPF4。全校网络最终都是汇总到O S P F 1办公楼核心, 并通过D r.C o m计费系统、FortiGate 5020电信级防火墙连接到教育网、电信、网通3个Internet出口。

为方便校内外用户对服务器的访问, 提高访问速度, 合理规划服务器在网络中的位置很重要。如果只将服务器连接到内网网段, 校内访问很方便, 但校外用户不能访问;若只将服务器连接到外网网段, 这时校外访问很方便, 校内访问却要慢些。我们有3个出口, 由于各个网络之间的互联互通问题, 如只连接电信出口交换机, 电信用户访问快, 而网通用户和教育网用户访问慢, 只连接网通或教育网的情况也一样。为解决这个问题, 可将服务器配置多个网卡, 同时连接4个网段。Web等提供服务的服务器放在服务器网段 (10.1.1.X) , 与网络管理有关的服务器放在网管网段 (10.1.0.X) 。

数据库服务器在网络中的位置规划要简单一些。如果需要监控的网络设备 (网络节点) 不是太多, 比如500台网络设备以下的网络, 数据库服务器可以考虑与网管服务器安装在同一台物理服务器中。如果需要监控的网络设备超过500台, 建议使用另外一台独立的物理服务器来安装数据库服务器, 不建议和网管服务器安装在同一台物理服务器中。由于数据库服务器只需要让网管服务器通过内网访问, 所以数据库服务器在网络中只需连接到内网的网管网段 (10.1.0.X) 即可, 或者连接到内网的服务器网段 (10.1.1.X) 也可以。

5、网管软件规划

事实上, 网络管理技术是伴随着计算机、网络和通信技术的发展而发展的, 它们之间是相辅相成。从网络管理范畴来分类, 网络管理技术可分为对网“路”的管理, 即针对交换机、路由器等主干网络进行管理;对接入设备的管理, 即对内部PC、服务器、交换机等进行管理;对行为的管理, 即针对用户的使用进行管理;对资产的管理, 即统计IT软硬件的信息等。学院网管系统主要包括主干网管系统、专用网管系统和网络设备管理软件3类。

5.1 主干网管系统

学院主干网络管理系统主要包括以下3种。

Orion NetPerfMon:主要用于将网络的各种历史数据保存到数据库中, 这是该校网管系统的核心数据库。Orion NetPerfMon是SolarWinds公司开发的系列网管系统中的核心组成部分。

SolarWinds Engineer’s Toolset:是一套包括许多工具的网管软件, 主要用于网络发现、错误监控、性能管理等。新版本SolarWinds Engineer’s Toolset 9.x可以同Orion NetPerfMon7.7或以上版本相集成。

SNMPc:是由Castle Rock Computing公司开发的AT-SNMPc网管软件, 它是一个结构比较完整、功能比较强大的优秀网管平台。这里主要用它来发现网络拓扑图、实时监测网络拓扑变化、保留网络拓扑及其通讯情况的历史数据。

5.2 专用网管系统

可以根据需要部署其他的网管软件, 常用的网管软件如下。

WhosOn:主要用于监测Web服务的运行情况。

WebTrends、Sawmill:主要用于监测Web服务的访问日志。

MRTG:用于辅助流量监测。

WildPackets OmniPeek、Sniffer Portable:用于抓取网络数据包。可以将网管服务器的备用网卡接到某个交换机的一个镜像端口上, 进行实时抓包分析。当然, 也可以部署在一台单独的服务器上, 还可以使用VMware部署在一台虚拟机服务器上。

WhatsUp Professional:是Ipswitch专为中小企业准备的下一代网络管理方案, 这里主要用于监测网络服务的运行情况。它是在WhatsUp Gold的基础上进行了扩展, 将可升级性、可扩展性和可用性提升到了一个新的层面。

5.3 网络设备管理软件

网络设备管理软件主要是指由网络设备生产商提供的专门用于管理该品牌网络设备的专用管理软件, 除以下几种外, 还有许多品牌的网络设备都有专用管理软件。

CiscoView:主要用于管理Cisco网络设备。

QuidView:主要用于管理华为网络设备。

防火墙网管软件FortiGate 5001 Web Config。

网络安全设备网管软件。

6、结语

本文主要阐述了网管系统的整体规划, 具体包括了IP地址规划、网络设备的SNMP配置规划、网管服务器规划、网管软件规划、远程管理系统规划、网络操作系统规划、网管服务器备份规划、网管服务器防病毒软件和防火墙软件规划、网管文件资源服务器规划。通过这些规划的制定和实施, 能够为校园网的管理提高效率和安全性。经过在学院网络中的部署, 取得良好的效果, 达到网络管理的目的。

参考文献

[1]冷飞.基于MRTG的校园网流量监控的部署廊坊.师范学院学报 (自然科学版) , 2009.2.

[2]吕元海.校园网流量监测与分析.国外电子元器件, 2008.10.

[3]程斌, 魏国强, 何光营.基于应用层的校园网网络流量监测与分析[J].上海电力学院学报, 2010年01期.

[4]陈明强.校园网建设的设计与实施[J].广西师范学院学报 (自然科学版) , 2004年S2期.

高效校园 篇7

运用信息技术手段, 创设场景, 激发学生的学习兴趣

为了更好地引起学生对本单元所学知识的兴趣, 我在热身和巩固练习环节, 利用网络资源 (如:视频、动画等) , 以刺激学生感官, 激发学生学习兴趣, 唤起学生学习热情, 以达到增强学习效果的教学目的。在本课的导入环节, 学生在销售平台上观看网购视频, 教师提问:“What does the video show to us? What can we get buy from online shop? What are the advantages about shopping online? ”以此引导学生回答问题。

激起学生的学习兴趣, 就是要把学生的注意力吸引到本课的教学内容上来。在巩固练习内化新知的环节进行情景交流, 我用Flash动画创设场景, 让学生身临其境, 从而自然而然地产生学习需求, 让学生在经历和体验中学习。通过情景练习将知识转化为技能, 突破了本课难点, 也实现了锻炼学生语言的交际功能。在网上购物, 巩固网购相关单词的环节中, 信息技术提供仿真的网络环境, 以便学生体验网上购物, 实现了“做中教, 做中学”的教学目的。

利用数字资源, 培养学生良好的英语语言表达习惯

英语作为一门语言, 有其自身特有的语音规则。今天的英语教学是以应用为主, 已经不再像往日那样, 仅是为了应付考试的“灌输式”教学, 所以, 培养和激发学生的学习兴趣, 让其敢说、爱说英语, 且具有良好的语音、语调和语感基础是英语教学的重要责任所在。

在本节课的句型学习和解决网购问题的环节, 我利用Flash提供的分句声音供学生反复跟读录音, 模仿听说, 并提供生动的人机会话的场景, 使学生能大胆地读、大胆地说, 从而排除羞于读错的心理障碍, 避免“哑巴式”的英语教学。在分组做替换练习的环节中, 学生利用平台上传声音, 形成学习资源, 师生可以利用平台上传的声音, 进行自评、互评和师评。学生把上传的声音和对话录音进行比对, 说出优缺点。这样, 每次上传前, 学生会尽力模仿, 听录音的学生会仔细辨听, 找到不足, 提高听说能力, 从而改变以往传统的英语听说课的教学模式, 提高了课堂效果。

巧妙运用信息技术手段, 改变传统单词教学模式

数字资源更为生动、逼真, 易于被学生接受, 易于唤起师生情感, 调动了学生的学习积极性, 从而提高教学效果, 达到教学目的。在本课的词汇学习环节, 学生自主学习网购重要词汇。通过连线把对应声音、图片、中文连接起来, 反复点击练习, 学会单词的读音。随后我设计两个环节:一是学生根据读音挑出相应的单词, 并把它们按网购流程放到相应位置。平台提供游戏动画, 在学生放错位置时, 可自动给予提示, 方便学生自主学习。二是根据读音写出相关单词, 然后平台提供相关的动画, 系统在学生遇到听写困难时, 可分别提示一个字母或两个字母, 并按提醒字母的个数, 相应计分。学生通过耳听手写, 头脑记忆, 既提高了听的能力, 又强化了对单词的记忆。在学习医药网站的部分单词时, 用“打气球”的游戏, 扩大学生的词汇量, 让学生在“玩中学”。这改变了以往的教师教、学生跟读、下课背单词、再听写的模式。

适度运用信息技术手段, 反馈强化, 促进教学水平的提高

信息技术手段的运用不在于多, 而在于增效。PPT是我们课堂教学中最常用的演示工具, 借助这种工具, 可以创设问题情境, 引发学生思维, 也可以用于增加练习的容量, 加快反馈。同时因为它的超链接功能, 我们也可以有目的地通过网站链接一些资源信息, 方便快捷地为学生提供探究学习的途径和范围等。同时, 利用一些网络化平台 (如:Moodle平台、校园论坛、校园博客等) , 可以实现师生对学习任务的交流和评价, 完成对学习任务的前测和后测, 形成学生自主学习的策略和能力。本节课除了论坛、QQ等, 还从知识目标、能力目标、参与小组活动情况和上传的声音材料四个方面进行自评、师评和互评。教师利用评价系统收集学生各个环节的评价成绩, 并通过评价系统进行统计、计算, 自动生成图表, 并反馈给每位学生。学生通过对评价图表的分析, 找出不足, 明确努力的方向。教师可以及时获取教学的反馈信息, 对自己的教学进行反思和调整, 促进教学水平的提高。

总之, 通过本节课, 我感受到通过信息化手段, 学生的学习方式发生了改变, 整个过程都是学生自主探究的过程, 实现了“以学生为中心”的学习模式。评价系统、游戏等活动贯穿教学始终, 激发了学生的学习兴趣。数字化校园建设下的信息化课堂, 优化了听说课的教学, 提高了课堂效率。

摘要:中学英语课程教学的一个重要任务就是培养和提高学生的听说能力, 对于职业教育学校的学生来说, 英语的听说更对其就业起着重要的作用。由于对英语学科的恐惧、对自己学习能力的缺乏自信、对未来就业方向的不明确等因素, 学生们往往对英语没有兴趣, 没有感觉, 从而导致了英语学习方面的困难。本文就笔者在数字化校园建设下的听说课教学的实践与体会, 从激发兴趣、培养习惯、改变单词教学模式等方面, 阐述了如何实现高效的英语听说课教学。

高效校园 篇8

无盘网络系统主要提供教学、培训、网吧、办公、数据保密、图形设计、酒店、TV等各行各业, 可以提供无盘XP版、无盘WIN7、无盘2003、无盘2008等无盘网络系统, 有效地节省投资, 无盘网络还有便于维护的特点, 省去不少人力维护!无盘网络系统成本较低, 同时可以很好的完成有盘的功能, 这就是无盘的特点。

下面先了解一下无盘网络工作原理

无盘工作站系统是由网卡的启动芯片 (Boot ROM, 部分网卡的启动程序已嵌入主板的BIOS中, 无需启动芯片) 以不同的形式向服务器提交启动请求信号, 服务器收到某台工作站启动请求信号后, 根据预定的启动机制, 向请求的工作站发送启动数据, 工作站下载完启动数据后, 系统控制权由网卡的启动芯片转到工作站内存中的某些特定区域, 并引导操作系统。

首先基于RPL启动工作原理:

RPL为Remote Initial Program Load的缩写, 启动过程分析如下:

客户机开机后, 初始化网卡, 网卡BootROM上固化的软件向网络广播一个FIND帧, 即引导请求帧, 该帧中包含有客户机的网卡ID号。服务器端的远程启动服务接收到客户机广播的FIND帧后, 根据帧中所带的网卡ID号在远程启动数据库中查找相应的工作站记录, 如果不存在这样一个记录, 引导过程不能继续;如果此工作站记录已经存在, 远程启动服务则发送一个FOUND帧给客户机的RPLROM, FOUND帧中已包含了服务器的网卡ID。SEND.FILE.REQUEST帧是一个要求服务器发送文件的请求。服务器端的远程启动服务在收到SEND.FILE.REQUEST帧后, 将执行点转向启动块的入口, 启动工作站。最后, 连接到该客户机的计算机目录 (Machine Directory) 所在的服务器上, 并根据计算机目录中的有关设置及数据完成Windows系统的启动过程。

为了在高效、快速、安全的情况下完成无盘网络中各工作站的数据存储, 本文引入了校园网中网络数据中心通常用的存储技术———磁盘阵列存储, 同时可以将多个无盘网络的多媒体机房的磁盘阵列存储设备集合起来, 完成更强大的磁盘阵列存储集合;这样既可以满足各无盘网络机房的正常使用, 也可以利用存储空闲提供其他校园网数据的存储, 具体如图1-1所示。那么下面简单介绍磁盘阵列技术。

磁盘阵列 (Redundant Arrays of Inexpensive Disks, RAID) , 是由许多台磁盘机或光盘机按一定的规则, 如分条 (Striping) 、分块 (Declustering) 、交叉存取 (Interleaving) 等组成一个快速, 超大容量的外存储器子系统。它在阵列控制器的控制和管理下, 实现快速, 并行或交叉存取, 并有较强的容错能力。

磁盘阵列原理。从用户观点看, 磁盘阵列虽然是由几个、几十个甚至上百个盘组成, 但仍可认为是一个单一磁盘, 其容量可以高达几百~上千千兆字节, 因此这一技术广泛为多媒体系统所欢迎, 并且有“价格便宜且多余的磁盘阵列”之意。磁盘阵列作为独立系统在主机外直连或通过网络与主机相连。磁盘阵列有多个端口可以被不同主机或不同端口连接。一个主机连接阵列的不同端口可提升传输速度。和目前PC用单磁盘内部集成缓存一样, 在磁盘阵列内部为加快与主机交互速度, 都带有一定量的缓冲存储器。主机与磁盘阵列的缓存交互, 缓存与具体的磁盘交互数据。

磁盘阵列优点较多, 提高传输速率。RAID通过在多个磁盘上同时存储和读取数据来大幅提高存储系统的数据吞吐量 (Throughput) 。在RAID中, 可以让很多磁盘驱动器同时传输数据, 而这些磁盘驱动器在逻辑上又是一个磁盘驱动器, 所以使用RAID可以达到单个磁盘驱动器几倍、几十倍甚至上百倍的速率。这也是RAID最初想要解决的问题。因为当时CPU的速度增长很快, 而磁盘驱动器的数据传输速率无法大幅提高, 所以需要有一种方案解决二者之间的矛盾。RAID最后成功了。

特色:比传统的机房管理要高效和便捷, 比传统的机房更安全和可靠;站到高校整体高度来看, 大大提高学院计算机的利用率, 实现资源统筹安排, 远程、安全、高效的管理。

参考文献

[1]张振东, 信息化校园网络核心机房整体建设探讨, 辽宁农业职业技术学院学报, 2012年第2期

[2]梁玮, 基于ZigBee技术的计算机机房监控系统, 计算机安全, 2012年第6期

[3]李金方, 校园网机房扁平化, 中国教育网络, 2012年第5期

[4]徐雪峰, 校园网络机房计费管理信息系统的设计与实现, 科技信息, 2011年第33期

[5]任军利, 校园网无人值守机房设计探讨, 陕西教育:高教版, 2011年第6期

上一篇:初中古诗文教学策略下一篇:练习形式设计