| 出版日期:2003-08-11 总期号:1240 本年期号:59 |
|
 |
高校校园网:可运营与可运行
可运营与可运行的确是两种终极的网络状态:可运营是网络成熟应用的标志,而可运行只是网络实施的最低要求。在近期一次“创建可运营的高校校园网座谈会”上,笔者却接触到厂商与用户在高校校园网建设方面看似矛盾的两种说法。用户最感头疼的是校园网基本运行中的特殊问题,如盗用资源、内部控制;而对于运营这个热门话题,他们认为,校园网建设以开放的研究和讨论为主,收费运营达到“以网养网”在目前来讲就是很高的目标。厂商力推可运营理念,其技术核心就是解决认证、控制与管理的难题。不难发现,可运行的保障是如何有效管理,可运营理念的技术基础同样也是管理,看似矛盾的说法就有了统一的结合点——校园网管理核心。 其实,校园网能否发挥应有的效用,需要解决的问题很多,如应用系统零散、软件课件资源有限、监控网络应用等等。将高校校园网加点运营思想,也就是以网络可运营的角度从管理、安全、控制等各方面更为严格地完善网络以达到运营要求。这样,在能够运营的网络中解决困扰运行的问题,也就成了水到渠成的事。 
“创建可运营的高校校园网座谈会”嘉宾 常州信息职业技术学院计算机系 眭碧霞 南京商业干部管理学院信息系主任 王骏 瞿殿祥 机械工程学院网络中心 伍银 武装 北京物资学院网络中心主任 王玉泉 张焕鹏 神州数码网络集团副总经理 司绍华 神州数码网络集团市场部总经理 张何文 神州数码网络集团教育行业总监 刘辉 神州数码网络集团解决方案中心产品市场总监 黄坚 神州数码网络集团产品规划经理 王丽君 神州数码网络集团解决方案中心行业技术顾问 张延新 厂商观点 为校园网加点运营思想 经典校园网的结构分成核心、汇聚和接入三个层次。按网络类型可划分成教学用的子网、办公的子网、宿舍的子网等等各种各样的类型,这些可以看成标准的企业网。真正高校校园网非常有特色的一点在接入层,其接入类型非常多,有学生、有教职工科研用的,也有办公网、家属用的等等,同时接入运行率非常高,一个大学的上网用户数甚至可以比一个城市还要多。另外,在高校校园网当前非常特别的一点是其双出口结构:电信与CERNET中心。在整个高校校园网络有关很多类型的用户,学生宿舍区和教工家属区融合企业网和商业网共同的特征,这两个用户群的实际运行需求很大,也是非常适合做运营的。 整个校园网遇到很多问题,运营概念应该是解决这些困难的核心。虽然校园网可能更多的是教学与科研所必需的一种工具,但它的运营是不是可行呢?首先,带宽、网络资源有效应用是困扰整个校园网建设非常关键的问题。通过运营理念可以使学校的带宽与网络资源更加有效地利用。同时,通过网络运营,可以使整个网络以网养网,达到自主发展的目的,使得资源不断积累,使得学生和教职工都可以在运营过程中,通过自身以网养网科研发展水平不断提升。不少厂商为此搭建了专门针对高校的一套解决方案。例如神州数码网络集团就提出建设智能、安全、可运营的数字化校园的理念与方案。 身份认证为主的管理 企业网认证以安全为主,其数据具有私密性例如银行数据的保密性,而高校数据一般需要共享和开放,因此以身份认证为主的管理模式进行有效控制就更为重要。 灵活的接入认证方式:神州数码可运营校园网解决方案可提供PPPoE、DHCP+Web、802.1X、专线固定IP 地址接入等多种接入和认证方式。例如在教学区建议使用专线固定IP 地址接入方式,因为这部分应用主要是行政、教学或者科研之用。在学生宿舍区和教职工家属区建议使用PPPoE 、DHCP+Web或者802.1x 认证接入方式。 网络安全管理:由于校园网络连接园区内部所有用户,安全管理十分重要。具体技术措施包括校园网VLAN设计,如学生宿舍区最好以班级或者专业划分VLAN;教工家属区属于完全的商业应用,不同家庭的用户之间几乎不需要通信,建议每个家庭处于单独的VLAN。此外,NAT地址转换,通过ACL功能实施校园网上网控制,严格的telnet/enable/snmp的访问权限可以保证校园网络设备的高度安全,提供有效的防范措施针对PPPoE协议、DHCP SERVER、WEB SERVER的DoS攻击;校园网用户上网记录或日志管理等措施都可以达到安全管理的效果。网络管理员通过DCBI-2000认证计费系统可查看用户上网详细记录。包括用户IP地址、MAC地址、VLAN ID、上网时间、流量信息、接入服务器IP、端口等。通过对上网记录的分析,能够及时发现异常用户。 接入控制与IP地址管理:在校园网中一般采用LAN的接入方式,因此校园网的运营不可避免会存在IP地址管理的问题。由于学生所住房间经常调整,通常每学年就要移动一次;许多合法的IP地址在用户结束使用后仍没有收回,造成IP地址的浪费。另外在校园网经常出现IP地址盗用或冲突的问题。用户恶意更改IP地址,在实际的运营中轻则导致其他用户上不了网,重则导致整个网络陷入瘫痪(比如用户的IP地址设成网关地址);有的运营商采用IP地址和MAC地址绑定的功能,但由于一方面不能有效地解决IP地址冲突问题,同时增大了交换机的成本投入,而且工程的实施又极其繁琐。在解决方案中可以实现对用户账号与IP、MAC、接入交换机IP、接入端口、VLAN ID、DHCP SERVER等多元素的任意绑定,就能够很好地解决IP地址的管理问题,同时提供强大而灵活的用户接入控制功能。 全面的网络资源盗用控制:IP网络基于包交换,就可以通过代理服务器方式盗用网络资源。要保证网络的正常运营,就必须解决用户盗用网络资源的问题。神州数码校园网解决方案有效避免了运营网络出现收费盲点以及架设代理服务器造成的网络安全威胁:带宽控制功能可以防止部分网络盗用的现象;采用流量计费、包月+限制流量的计费策略;若实行简单的包月制,通过Proxy Server、串联HUB等方式就会相当普遍,但采用时长预付费方式,在Proxy方式下,除非主从机器同时上网,否则从机单独上网时会将费用记录在主机上,由于这种情况存在,盗用的概率大大降低;通过限制TCP/IP的Session,防止用户做代理,单个用户访问Internet的会话连接应该在一个固定的范围内,若某用户的会话连接数目超过一定阈值,可以认为该用户使用代理服务器的方式在盗用网络资源,接入管理器将向网管系统进行告警或拆线,从而最大限度地预防网络盗用;通过802.1x客户端禁止用户做代理;在802.1x认证中可以对同一个端口的MAC地址认证人数进行限制。 解决安全与灵活的矛盾 有了这些控制和管理,安全的网络同样需要灵活。如何解决安全和灵活的矛盾呢?神州数码网络通过网络管理软件LINEMANAGER对网络硬件进行管理,并融入对用户的管理机制,让不同的用户灵活方便地上网,任意选择适合他们的计费方式,实现既安全又灵活的网络和用户管理。 轻松的运营管理:采用神州数码DCBI-2000 Radius认证计费管理系统,用户管理可以实现用户开户、停机、删户、预付时长用户发卡、用户资料查询和修改、用户密码修改、用户上网记录、缴费账单查询。账目管理可以实现对用户缴月费、对预付时长预付流量用户充值、用户批量缴费、按运营商要求格式导出账单等功能。计费管理不仅可以直接使用系统提供的包月、计时长、计流量、实时扣费、卡业务等计费原型,网络管理员同时可以自定义计费策略。比如设置优惠时段,哪些服务收费,哪些服务免费,对不同的用户可采用不同的计费策略和资费标准。还可以定制用户服务,如上下行带宽等。 用户关注 管理与可运营 普遍来看,高校校园网建设一直在不断发展,起步晚的高校起点都比较高。例如物资学院从2000年开始在扩建网络,点数大概在四千点左右,正在紧张地实施之中。南京商业干部管理学院和常州信息职业技术学院正在扩建新的校区。一般校园网建设请专家来论证,各高校都是从零开始。从网络管理队伍来讲,也是要重新组建的,队伍总有一个熟悉和丰富经验及管理的过程。但校园网应用要考虑到前期投资,怎样能够最大限度保证前期的应用,后期的改造能不能和前期融在一起,后期的应用怎么快速跟上,这对于高校网络管理队伍都有难度。 在校园网建设过程中,还有很多基本的影响运行的问题没有得到有效解决。在网络管理过程中,校园网管方面遇到了各种各样的问题,因为学生的思路很活跃,老师和网管往往处在比较被动的位置上,所以在管理过程中,确实希望厂商能够给网管提供比较好的工具:不限制正常的访问,但是能很快定位到非正常访问的信息源这是很关键的一点。而且,校园网中的学校IP盗用的问题、资源盗用的问题确实比较严重,学校越大越难管,怎么解决资源盗用的问题,怎么样通过网管实现,用户期待这样的产品,也同样期待产品的创新。有的老师就明确提出:新产品替代老产品会取得出奇制胜的效果,界面能不能再创新?界面能否做得更简单易用。 在可运营的讨论上,学校和运营商有很大的差别。高校校园网一开始的投资,并不是像运营商一样获取上网费用,而是为了教学的需要,达到教学计划的要求。就目前状况来看,可运营也仅仅针对员工家属区、学生宿舍子网,并不会扩展到教学区与科研子网中。盈利只是边际效应问题,也就是说,利用校园网的前期投入,让网络产生一个边际效益,让教育网能够“以网养网”,不断发展。新一代高校校园网的最终目的就是能够为广大师生持续地提供各种最好、最方便和顺畅的网络服务,因此,新一代高校校园网必然要面临着一个如何实现自身良性和可持续发展的问题。 |
||||||||||||||||||||||||||
