校园网网络管理方案

1、校园网网络管理方案学号： 19491001姓名： xxx目录前言 3第一章：网络配置管理 41.1 :配置管理 4第二章：网络安全管理 52.1 :安全管理 52.2 :安全管理方案5:规范出口的管理 5222:配备完整的、系统的网络安全设备 52.2.3 :解决用户上网身份 62.2.4 :规范上网场所 62.2.5 :安全管理制度 62.2.6 :防火墙的安全设置 62.2.7 :利用虚拟网技术 62.2.8 :软硬件技术 7第三章：网络故障管理 73.1 :故障管理工作 73.2 :网络故障的检测 73.3 :网络故障的诊断 83.4 :网络故障记录 9第四章：网络性能管理 9第五章：网

2、络计费管理 115.1 :计费管理目的 115.2 :计费管理系统 12校园网网络管理方案、尸 、-前言随着 Internet 的普及，校园网已成为每个学校必备的信息基础设施，也成了 学校提高教学、 科研及管理水平的重要途径和手段， 它是以现代化的网络及计算 机技术为手段， 形成将校园内所有服务器、 工作站、 局域网及相关设施高速联接 起来，使各种基于计算机网络的教学方法、 管理方法及文化宣传得以广泛应用并 能和外部互联网沟通的硬件和软件平台。 而如何有效地加以管理和维护， 是校园 网得以有效、安全运行的关键。由于高校的不断扩招，学校的规模不段扩大，随之校园网的规模不断扩大、 应用系统的不断深

3、入，网络环境变的愈加复杂，出现了如下需求 :首先，需要对教学区的上网进行管理，可以控制办公区的上网环境，以及对 用户的上网行为进行记录。其次，需要对学生及学生宿舍区的上网认证进行管理。学生是最容易出问题 也是最难管理的群体， 需要对学生的上网访问记录等做一全面记录， 当出现问题 时，可以使网络管理员进行问题查询，分清责任。再次，对教师小区等共用学校带宽的部门进行管理，教师小区更注重的是家 庭中孩子的上网行为管理，以及防止一些非法行为的发生。此外，用户信息、访问日志、全面的流量信息，这些信息也是很有必要的， 便于发现网络中存在的问题。为了保证网络优质高效地运行，对校园网运行情况进行监视、分析和监

4、控， 主要从以下几个方面对网络进行了较为有效的管理。网络配置管理网络安全管理网络故障管理网络性能管理网络计费管理第一章 网络配置管理1.1 配置管理根据网络拓扑结构，学校网络分三层结构。 其中以第三层为整个网络的中心， 该层包含了路由、硬件防火和中心交换的功能，是整个网络正常运行的关键。以下是根据学校网络拓扑结构进行配置管理：1. 配置管理任务 配置管理任务包括网络地址分配、子网划分、维护更新网络最新拓扑结构图 和设备清单及其参数设置。同大多数网络一样，网络采用的是 TCP/IP 协议，因此 IP 地址的合理分配就 成了网络管理员的一项重要工作。 计算机网络按院、 系划分为若干个子网， 这样

5、既可解决 IP 地址不足的问题， 又可减少网络的数据传输量， 增加网络的安全性。其具体步骤如下：按院、系确定所需子网数目；确定每个子网上的节点数；定义整个网络的子网掩码； 分配子网号和各节点的 IP 地址。网管人员根据以上步骤建立了规范的 IP 地址分配表，登记备案。同时，还 利用网管软件和操作系统提供的 ARP功能，收集相应信息并形成IP地址与硬件 MAC地址的对应表，以加强IP地址管理，保证IP地址的唯一性。2. 子网管理 对不同的子网，可视具体情况采用不同办法进行隔离。对独处一个物理网段上的院、系子网，可采用三层交换机和路由器，也可利用Windows NT、Windows2000、UNI

6、X等操作系统的路由功能实现，根据各子网的具体情况灵活配置。某 些专用子网， 由于其站点分布在校内不同地方， 处于多个物理网段上， 只能采用 虚拟子网技术克服环境的制约， 在不改动网络物理连接的情况下为其配置各自的 虚拟子网，灵活方便地实现跨越全校的专用子网。3. 配置文档完整的文档是网络配置管理任务中的重要组成部分， 是对网络资源使用情况 进行管理的重要过程。 详细完整的文档是网络配置过程的整体部分之一。 网络配 置文档应包括多种基本内容： 硬件配置、软件配置、用户及其访问权限分配记录。 对网络进行了科学合理的配置， 并有完整准确的文档记录， 因此大大减少了用于“救火”的时间。实践表明，网络配

7、置文档越完善、更新越及时，则处理网络故 障的时间就越短。第二章 网络安全管理2.1 安全管理网络的安全问题主要是由网络的开放性、 无边界性、自由性造成的， 所以我 们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、 无边界的 网络环境中独立出来， 成为可管理、 可控制的安全的内部网络。 也只有做到这一 点，实现信息网络的安全才有可能， 而最基本的分隔手段就是防火墙。 利用防火 墙，可以实现内部网 （信任网络 ）与外部不可信任网络 （如因特网）之间或是内部网 不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。2.2 安全管理方案为满足因特网的分级管理需求根据 Inter

8、net 网络规模大、用户众多的特点， 对 Internet/Intranet 信息安全实施分级管理的解决方案， 将对它的控制点分为 三级实施安全管理。第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部 网的监控；内部网传输数据的备份与稽查。第二级：部门级， 主要实现内部网与外部网用户的访问控制； 同级部门间的 访问控制；部门网内部的安全审计。第三级：终端 / 个人用户级，实现部门网内部主机的访问控制；数据库及终 端信息资源的安全保护。规范出口的管理 实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统 一的管理， 使校园网络安全体系能够得以实施。 为校园网的安全提

9、供最基础的保 障。2.2.2 配备完整的、系统的网络安全设备 在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝 大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络 版的防病毒系统等。 另外配置安全设备既要考虑到功能， 同时也必须考虑性能和 可扩展性， 以避免成为网络的瓶颈。 通过配置安全产品可以实现对校园网络进行 系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决2.2.3 解决用户上网身份问题，建立全校统一的身份认证系统 校园网络必须要解决用户上网身份问题， 而身份认证系统是整个校园网络安 全体系的基础的基

10、础， 否则即便发现了安全问题也大多只能不了了之， 只有建立 了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题， 同时也为校园信息化的各项应用系统提供了安全可靠的保证。2.2.4 严格规范上网场所的管理，集中进行监控和管理 上网用户不但要通过统一的校级身份认证系统确认， 而且，合法用户上网的 行为也要受到统一的监控， 上网行为的日志要集中保存在中心服务器上， 保证了 这个记录的法律性和准确性2.2.5 根据相关部门的要求，配备专门的安全管理人员，出台网络安全管 理制度网络安全建设是 "三分设备，七分管理 " ，没有切实可行的安全保障体系和 制度，网络安全就

11、变成了空谈。 随着网络技术的迅速发展和上网用户对网络的了 解程度越深， 网络安全的形式就越严峻， 这也从近几年互联网络安全问题频频出 现得到印证。而网络安全的技术又是非常复杂和广泛的，现状还是 " 道高一尺， 魔高一丈 " ，这样，管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修 补和定期询检， 保证对网络的监控和管理。 另外， 学校必须颁布网络行为规范和 具体处罚条例，这样才能有效的控制和减少内部网络的隐患。2.2.6 防火墙的安全等级和权限设置利用防火墙的安全等级和权限设置，有选择地对源地址、目的地址、TCP端口号、协议类型进行筛选，控制数据包的传送，禁止外部网络访

12、问内部网络，防 止来自外部的恶意攻击。利用虚拟网技术利用虚拟网技术， 将全校分布在不同部门、 不同网段上的办公应用服务器划 分为一个虚拟子网， 限制用户对其访问。 出开放必要的端口外， 其他端口和服务 安全禁止， 以增加安全性。 为了避免用户滥用网络资源， 对不同的虚拟子网赋予 不同的对外访问权限， 如只能访问校内、 只能访问中国教育科研网、 可以访问整 个互联网等，同时按照 IP 地址和用户帐号进行流量控制和统计，力争是网络资 源得到更为有效的应用。软硬件技术利用软硬件所提供的功能采取尽可能多的措施提高网络的安全性， 如在各层 交换机端口上绑定MAC地址以防止地址盗用；在网桥上设置过滤功能，

13、限制所能 通过的网络协议和工作站；在数据库配置中设定有效的 IP 地址来限制能对其访 问的 IP 地址范围。应当看到，随着技术的发展和网络结构的变化，网络安全程 度必然是动态变化的，必须不断采用新的安全管理措施，加强系统的安全。互联网络的飞速发展，对校园网络中师生的生活和学习已经产生了深远的 影响，网络在我们的生活中已经无处不在。 但在享受高科技带来的便捷同时， 我 们需要清醒的认识到， 网络安全问题的日益严重也越来越成为网络应用的巨大阻 碍，校园网络安全已经到了必须要统一管理和彻底解决的地步， 只有很好的解决 了网络安全问题，校园网络的应用才能健康、高速的发展。第三章 网络故障管理故障管理是

14、判断、 查找、排除网络故障的过程， 它是校园网管理中最重要 的任务。如果没有规范的差错管理模式， 网络管理员将花费大量的时间和精力用 于排除故障以保持网络的正常运行。 反之，就可以大大减少处理故障的时间， 提 高网络运行效率。3.1 故障管理工作 加强对网络的监控， 通过主动轮询的方式检查网络的连接和设备状态。 网管人员可根据需要和具体情况设置间隙时间的长短， 自动对网上 IP 资源的状 态，配置和事件进行监控。观察网络设备运行正常与否，对故障迅速定位，减少 故障判断过程，提高事故处理速度。 在操作系统和数据库系统中，都有用于管理跟踪和故障记录的日志文 件，自动记录了网络中服务、应用及硬件发生

15、的错误、警告或消息标识。网络管 理人员可充分利用这些信息进行网络运行状态分析和趋势预测， 及时发现潜在的 隐患。我们知道，网络负载增加对流量过载的影响是渐进的，数据库的表空间、 服务器的磁盘空间也是逐渐减少的， 因此，只要网络管理员加强监控， 在警戒位 进行相应处理，就可以预防系统性能的下降。3.2 网络故障的检测在正常操作中， 通过执行监控过程和生成故障报告来检测； 在执行配置测 试时发现错误；通过预设置门限并动态监控状态变化，来预测潜在的故障。3.3 网络故障的诊断网络故障诊断应该实现三方面的目的：确定网络的故障点，恢复网络的 正常运行；发现网络 规划和配置中欠佳之处，改善和优化网络的性能

16、；观察网 络的运行状况，及时预测网络通信质量。网络故障诊断以网络原理、网络配置和网络运行的知识为基础。从故障 现象出发， 以网络诊断工具为手段获取诊断信息， 确定网络故障点， 查找问题的 根源，排除故障，恢复网络正常运行。网络故障通常有以下几种可能：物理层中物理设备相互连接失败或者硬 件及线路本身的问题 ；数据链路层的网络设备的接口配置问题；网络层网络协 议配置或操作错误； 传输层的设备性能或通信拥塞问题； 上三层网络应用程序错 误。诊断网络故障的过程应该沿着 OSI 七层模型从物理层开始向上进行。 首先检 查物理层，然后检查数据链路层，以此类推 ，设法确定通信失败的故障点，直 到系统通信正常

17、为止。如何在互联网络运行后了解它的信息，了解网络是否正常运行，监视和 了解网络在正常条件 下运行细节，了解出现故障的情况。对每一个症状使用特 定的故障诊断工具和方法都能查找出一个或多个故障原因。 一般故障排除步骤如 下：第一步，当分析网络故障时，首先要清楚故障现象。应该详细说明故障 的症侯和潜在的原因 。为此，要确定故障的具体现象，然后确定造成这种故障 现象的原因的类型。例如，主机不 响应客户请求服务。可能的故障原因是主机 配置问题、接口卡故障或路由器配置命令丢失等 。第二步，收集需要的用于帮助隔离可能故障原因的信息。向用户、网络 管理员、管理者和其 他关键人物提一些和故障有关的问题。广泛的从

18、网络管理 系统、协议分析跟 踪、路由器诊断 命令的输出报告或软件说明书中收集有用的 信息。第三步，根据收集到的情况考虑可能的故障原因。 可以根据有关情况排 除某些故障原因。例 如，根据某些资料可以排除硬件故障，把注意力放软件原 因上。对于任何机会都应该设法减 少可能的故障原因，以至于尽快的策划出有 效的故障诊断计划。第四步，根据最后的可能的故障原因， 建立一个诊断计划。 开始仅用一 个最可能的故障原因 进行诊断活动，这样可以容易恢复到故障的原始状态。如 果一次同时考虑一个以上的故障原 因，试图返回故障原始状态就困难的多了。第五步，执行诊断计划，认真做好每一步测试和观察，直到故障症状消 失。第六

19、步，每改变一个参数都要确认其结果。 分析结果确定问题是否解决， 如果没有解决，继续下去，直到解决。3.4 网络故障记录以日志的形式记录告警、诊断和处理结果。第四章 网络性能管理性能管理主要指系统调整，整体容量规划和性能故障查找。目的是维护和改 进网络的速度、响应时间、灵活性和适应性。 为此利用网络测试仪以及网络设备 自带的网管工具，对网络带宽的利用率、网络碰撞状态、帧级错误、广播数据等 参数的瞬间值、 平均值、 最大值和累计值进行统计分析， 实时显示占用带宽最多 的几种协议所占比例，监测网络最繁忙的网段和站点，提供网络负载分布情况。 网络管理员可对监测结果进行详细分析， 力争从被动管理模式转换

20、为主动管理方 式，根据数据流量分析结果和不同应用的轻重缓急， 利用带宽分配器， 以合理的 带宽管理策略，采用负载均衡和带宽匹配的原则，对网络带宽进行分配和控制， 对确定存在的网络瓶颈提出网络扩展、增加带宽的解决方案。在性能管理中， 我们既通过增强或改善网络状况的静态措施来提高网络的性 能，如增强网络服务器能力、 采用更先进的网络设备等手段来改善网络环境。 但 更为重要的是在网络管理中采用负载平衡等动态措施充分发挥网络潜能， 提高网 络性能。网络日志管理采用了蓝信网络日志概要工具1 概要的记录信息 全面记录用户所访问过的网站地址可以记录用户某一时间，访问过的 URL地址，而不记录具体的网页内容；

21、可 以根据URL提供用户使用HTTP多线程方式下载的各线程下载的文件起始位置。 记录用户使用FTP工具上传、下载文件的信息可以记录用户某一时间，使用FTP工具进行上传或下载的文件名称以及下载 文件大小，而不记录文件的具体内容。 记录用户发送邮件的信息，包括邮件发送者，邮件接收者，邮件主题等可以记录用户某一时间， 使用类似 Outlook 等邮件工具发送或接收的邮件的 信息，如邮件发送者，邮件接收者，邮件主题等。 出于用户隐私的考虑，可以 仅记录了邮件头部分的相关信息，而没有对邮件内容进行记录。2 强大多样的日志保存方式将日志导入到数据库中该工具同时还提供将所有的日志信息导入到数据库中， 并提供

22、友好的基于数 据库的WEB查询界面，从而能够方便用户快速查找详细的日志信息， 并且用户还 可以根据自己的需求，决定数据库中保存几个月的日志信息。3 有效记录信息、保存日期更长的日志系统提供特殊的URL过滤功能，可以将网页上的图片，脚本等无用的日志信息过滤掉，可以节省 78%左右的空间， 极大节省了储存的磁盘空间， 延长了存储时间。4 不影响整体网络性能采用旁路式架构，不会出现网络中的瓶颈问题。5 方便的配置管理可以使用友好的图形配置管理工具，配置或修改网内的用户、保存的文件个 数、HTTP日志过滤条件等。6 稳定性及安全性可以做到 7*24 小时的正常运行， 在异常情况 （如断电，网络病毒攻击等 ）下，可提供比较详细的日志分析，以达到对网络更好的维护和检测。第五章 网络计费管理5.1 计费管理目的计费管理纪录网络资源的使用，目的是控制和监测网络操作系统的费用和代价。计费管理的主要目的是正确的计算和收取用户使用网络服务的费用。在计费管理中，首先要根据各类服务的成本、供需关系等因素制订资费政策，资费还包括根据业务情况制订的折扣率。其次要收集计费收据，如使用的网络服务、占用时间、通信距离、通信地点等计算服务费用。通常计费 管理包括以下几个主要功能：（1）计算网络建设及运营成本。 主要成本包括网络设备器材成本、 网 络服务成本、