1、汇报内容,中小学校园网规划与建设探讨 校园网管理经验交流 县、区 教育城域网建设探讨 一点工作体会,中小学校园网的规划,校园网的特点与需求分析 校园网的规划原则和建设目标 校园网建设的相关问题,中小学校园网的特点,校园网的重要性 校园网综合了校园中的计算机资源,实现了教育、教学、管理资源的信息共享,对外建立了广泛的信息获取和交流渠道,不仅可以大大拓展教师和学生视野,而且将会促进教师教育观念、教学思想的转变,有利于培养学生的创造性思维,提高学生获取信息、分析、处理信息的能力,从而提高学校的管理效率和教学质量,以适应教育信息化的发展。 中小学校园网的特点 从单一的信息交互网络到多业务承载网络过渡
2、结构相对简单,应用愈加复杂 建设和维护资金有限 网络使用者信息技术水平有限,对管理和服务提出了更高的要求,中小学校园网需求分析,校园网的应用目标 在校园内部实现资源共享,为教学、科研、管理提供服务,为计划、组织、管理与决策提供基础信息和科学手段。 支持教育教学改革,提高教育技术的现代化水平和教育信息化程度,为学校教师的备课、课件制作、教学辅助提供应用环境。 实现办公自动化,提高工作效率和管理水平 及时、准确、方便的收集、处理、传输学校的教育教学信息,与互联网的通讯和资源共享,实现社会教育与学校教育的结合 培养创新人才 校园网的应用模式 基于网络电子教室的应用模式:课堂广播教学、教师监视监听、小
3、组讨论发言、转播示范教学等。 基于局域网的应用模式:网络教学管理、教师协同备课、教学资源共享、第二课堂活动等。 基于互联网的应用模式:校际交流、学习资源检索、协同式学习或研究等,校园网的规划原则和建设目标,校园网的规划原则 明确目标、合理规划、软硬结合、分布实施 坚持实用性原则,符合本学校实际,满足应用需求 坚持技术先进性和开放性 坚持可用性、可靠性、安全性和可管理性的原则 校园网的建设目标校园网应该建设成为以人为本、面向服务的网络 稳定、简洁、高效,具备高可用性的网络 安全、可信的网络 能够提供多业务支撑的网络 能够适应学校三到五年发展需求的网络,校园网建设的相关问题,建设原则 坚持自主设计
4、、自主建设的原则,自己主导技术路线 技术选择与设备选型 骨干层应该全部实现千兆互联,接入层实现百兆到桌面 对于规模不大的校园网,尽量采用最简单的路由协议 核心设备应该支持IPv6,建议核心设备采用一台高性能交换机,并尽量配置双引擎和双电源;如果限于资金限制无法采购高端设备,则建议配备两台核心交换机,实现负载分担和双机互备。 强烈推荐接入设备全部采用可网管设备,并支持IP、MAC和端口绑定,如果资金充足,则建议接入交换机具备更多的安全特性(如ACL、ICMP snooping)等 出口设备可以选择路由器或者防火墙。从校园网的发展来看,由于路由器能够支持更多的功能如组播、IPv6等,具备更好的扩展
5、性,而且目前路由器也都支持基本的流量控制功能,因此建议选择路由器。从安全的角度考虑,无论是路由器还是防火墙,都要求能够支持NAT日志的输出。,校园网典型拓扑结构一,校园网典型拓扑结构二,校园无线网络的建设,建设模式 建议采用无线控制器+瘦AP的模式,采取统一认证 通过室外AP+定向/全向天线的方式来覆盖室外公共区域 通过室内AP直接覆盖或AP+吸顶式全向天线的方式来覆盖室内区域 对于部分区域,可以采用室外AP+定向天线向对端发射的方式进行覆盖,无线覆盖示意图,校园无线网络的建设,校园网的管理经验,对于网络资源进行合理规划和配置 合理的规划地址和vlan,对于IP地址,应该按照单位、部门、楼层等
6、进行划分,每段地址在满足使用要求的基础上留有一定冗余,但不要冗余过多。对于vlan尽量细分,以避免发生广播风暴或病毒时影响范围过广 对于用户进行精确定位和严格管理 尽量使用静态地址,并且将IP地址、MAC地址和用户绑定,如果有条件还可以将以上三项与设备端口绑定 如果使用无线网络,建议增加用户认证 形成良好的运行管理规范 建立各种操作流程 为所有的设备、端口和线路添加明确的描述和标签,形成完备的设备管理文档, 定期进行相关信息的备份 建立应急预案,要求用最短的时间恢复业务,校园网管理经验-运行管理,加强培训,提高用户的信息素养分期、分批为校园网用户培训基本的网络操作、系统操作和软件使用技能引导校
7、园网用户正确使用网络力争为每个单位培养一个网络协管员 让学生参与学校网络建设和网络管理 有条件的中学可以考虑成立学生网络社团,协助老师管理校园网 充分利用网络管理工具 使用系统自带的ping、tracert等可以对网络进行检测和故障判断 使用TCPdump或者Wireshark可以抓取网络报文,用于故障的定位和分析,以及用户网络行为分析 利用开源的Cacti等工具可以构建自己的网管系统,网络管理工具介绍,Ping和tracertping是对tcp/ip网络上的任意一台计算机发送一个icmp(internet control message protocol)的请求。接收这个信息包的计算机,要返
8、回个“应答”包。收到了“应答”包,就可确认可否进行通信。ping除了确认通信外,还可以确认名字解析,测定通信所需的时间等。ping命令的具体语法格式:ping目的地址参数1参数2其中,参数主要有: -a:解析主机地址-n:数据:发出的测试包的个数,缺省值为4 -t:继续执行ping命令,直到用户按ctrl+c终止-w:设定time out的值 -l :设定ping包的大小,默认值是60tracert 命令是用来检验数据包是通过什么路径到达目的地的。通过执行tracert,可以让我们清楚地看到数据走的是什么路径。当ping一个较远的主机出现错误时,用tracert 命令可以方便地查出数据包是在那
9、里出错的。如果信息包一个路由器也不能穿越,则有可能是计算机的网关设置错了。那么,我们可以用ipconfig命令来查看。,网络管理工具介绍,Netstat利用该工具可以显示有关统计信息和当前tcp/ip网络连接的情况 ,用户或网络管理人员可以得到非常详尽的统计结果。当网络中没有安装特殊的网管软件,但要对网络的整个使用状况作个详细的了解时,netstat是非常有用的。 netstat的语法格式是:netstat-参数1-参数2 其中主要参数有: -a: 显示所有与该主机建立连接的端口信息。 -n: 以数字格式显示地址和端口信息。 -e: 显示以太网的统计住处,该参数一般与s参数共同使用。所显示的内
10、容中,“discards”表示不能处理而被废弃的信息包数,“errors”表示坏掉的信息包数。这些数值大时,很可能是集线器、电缆和网卡等硬件发生了故障。另外,网络太拥挤也可能导致这些数值的增大。 -s: 显示每个协议的统计情况。如果用户想要统计当前局域网中的详细信息,可通过键入 “netstat-e-s”来查看。,网络管理工具介绍,Nslookupnslookup一般是用来确认dns服务器动作的。nslookup有多个选择功能,用命令行键入nslookup 执行,即可显示出目标服务器的主机名和对应的ip地址,称之为正向解析。若失败了,可能是执行nslookup命令的计算机的dns设定搞错了。另
11、外,还有可能是所查询的dns服务器停止或工作异常。还有这种情况,虽然返回了应答,但一和该服务器通信就失败。这种情况多数是目标服务器停止工作,但也有可能dns服务器保存了错误的信息。在dns服务器出现问题时,有时可能只能进行正向解析,无法进行逆向解析。此时,只需执行nslookup,看是否输出目标主机名即可。,网络管理工具介绍,抓包工具WiresharkWireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。,网络管理工具介绍,网管工具Cacti Cacti是一套基于PHP,MySQL,SNMP及RRDTool
12、开发的网络流量监测图形分析工具,可以监控每个端口的流量状态并形成图形报表,还可以根据日、月、年等进行统计。,网络管理工具介绍,网管工具Weather map 可以通过手工画出拓扑图,并且可以在拓扑图上实时显示出链路的运行状态和利用率,网络管理工具介绍,网络监控和安全审计软件:百络网警,软件特点:一:可以完成公安部要求的60天日志备份;二:可以实时控制计算机在互联网上的活动。三:使用规则设置,可以轻松管理任何一台电脑。百络网警功能非常强大,也是校园网管理必备的软件之一。,网络管理经验-安全管理,网络安全针对不同权限的用户进行访问控制,对于重要部门如财务等应该定义严格的访问控制策略,只允许特定用户
13、访问。 在边界与核心设备上定义专门的访问控制列表来关闭常见的病毒和攻击端口 严格记录NAT日志,必备后期用户定位和查询 系统安全 及时安装系统安全补丁 安装杀毒软件并及时更新升级,开启文件实时监控可以减少病毒的感染 定期查看网站访问日志和系统日志,检查网站的流量,对一些入侵记录日志做好备份并上报 对于使用数据库的网站要做到防注入、防挂木马 做好帐号和密码安全设置工作,密码设置需要一定的强度,并定期更换新的密码,对于不同的帐号,则采用最小权限原则。 制订数据的安全备份计划并定期落实执行,网络管理经验-安全管理,客户端安全 加强宣传和培训工作,提高安全防护意识,“防”永远重于“治”!引导用户养成自
14、觉使用杀毒软件和防攻击软件的好习惯 及时安装系统补丁 安装防病毒软件 不要随意下载和接收来路不明的任何文件 不要访问未信任网站 不要打开陌生邮件,县、区教育城域网建设探讨,教育城域网建设需求 提供学校接入服务:加强单独校园网的功能并丰富其内容,充分实现整个区域教学资源平台的整合和共享 提供丰富的教育资源:提供网络教学、远程教育、教学资源库、辅助教师备课系统、学校信息平台等不同形式的资源服务于教学,并能够开展多媒体音视频教学 提供先进的管理手段:对全网网络的集中管理和有效监控 对外信息交流和数据交换:实现内外部信息的有效互通和共享,促进教育信息化的发展,健康的教育城域网的构成,推广应用,网络建设
15、,应用平台建设,推广应用应用培训 课题研究引领 评比竞赛,网络建设 网络结构 网络安全 设备选型 实施步聚,应用平台建设信息中心 资源中心 教学中心 管理中心,县、区教育城域网实施步骤,应用平台建设,网络建设,制定规划,推广应用,筹建,工程实施,应用及完善,县、区教育城域网网络环境建设,需求分析 首先要调查全县/区的校园网建设现状、学校分布情况、学校规模、信息点数量、同时在线峰值、年内的可能会增加的信息点数量、用户群、迫切需要开展的主要业务和今后5年内可能会开展的业务等 确定各线路互联带宽及IP地址分配情况 ADSL接入学校用户(农村偏远小学):4MBbs接入,最少保证2MBps; 光纤接入学
16、校用户(乡以上学校):100MBps接入,保证10MBps; 县区外网出口:县区如有外网出口,则建议独享100MBps , 县区中心到市中心:1000MBps光纤; 每个县(区)的教育用户一般为一个C的教育网IP地址,可以根据学校的规模进行地址分配。,县、区教育城域网网络环境建设,组网技术比较,县、区教育城域网网络环境建设,确定网络结构对于县、区层面的教育城域网来说,仍然采用星形拓扑结构,分为核心层、汇聚层和接入层,其中接入层负责通过专线等方式接入辖区内学校,汇聚层负责汇聚一定范围内的接入单位,并上联到核心设备,而核心层负责数据的转发和上联到地市中心。县区中心的办公网、数据中心等作为单独的接入
17、单位直接连接到核心层设备。 网络结构特点 统一规划、分区出口; 区块化设计,不同区块负责各自的独立业务,互不干扰. 网络安全设计 每个县区出口都采用防火墙进行安全防护,有条件的部署流量控制设备 采用入侵检测设备配合防火墙进行入侵防御 采用日志系统进行上网日志行为记录 数据中心专用防火墙保障数据资源的安全性,工作的体会,校园网基础网络是校园网各项服务的基础,对学校的发展越来越重要,因此网络管理人员要有大局观,使命感 校园网的价值要通过服务体现出来,因此做好服务是校园网管理的根本任务。只有本着“以人为本”的原则,多从用户的角度去思考,才能够真正把服务做好;同样,只要能够把服务做好,就能够得到用户的理解和支持 提升自己需要理论与实践相结合。一方面,学习网络理论知识,cisco、H3C等厂商的网络学院教材和认证培训教材都是学习网络知识的好资料,另外设备自带的配置手册也可以充当网络理论学习的教材;另一方面,充分利用校园网络环境进行动手的训练。 加强与同行之间的交流,取长补短,互利互惠。,使用时,直接删除本页!,精品课件,你值得拥有!,精品课件,你值得拥有!,使用时,直接删除本页!,精品课件,你值得拥有!,精品课件,你值得拥有!,使用时,直接删除本页!,精品课件,你值得拥有!,精品课件,你值得拥有!,谢谢!,
