升级园区网

随着教育信息化的深入发展，数字校园、智慧校园的应用建设不断提升，对中小学校园网络提出了更高的要求。前阶段，为配合省教育专网的开通建设，我校响应市、区电教馆的统一部署，对学校网络进行了升级改造，改造的目的是保证校园网络速度更快捷，性能更稳定，管理更高效，安全更可靠。

作为学校单位的网络有其自身的特点，一是网络终端比较分散，根据教育管理需要，教学、办公室终端位于不同的楼层内。二是无论是内外或外网，教师一般下载较多的是教学课件、音视频资源等，因此下载的数据信息量比较大。三是由于学生机房的使用时间集中，会出现短时的大流量并发数据，而且应用像极域等广播控制软件，容易出现网络广播风暴。

因此，要确保校园网络升级改造顺利开展，达到网络改造升级的目标，作为网管员必须要做好以下几方面工作。

规划好网络拓扑结构图

网络拓扑图能直观明了的看清楚网络中各个节点之间的链接，还有接口之间的链接，也就是反应网络中各实体间的结构关系，这样方便配置和排除错误。网络拓扑设计得好坏对整个网络的性能和经济性有重大影响。因此在升级改造前，网管员要重新规划单位的网络拓扑图（如图 1）。

分配管理好IP地址

在网络中，IP地址是运行TCP/IP协议的唯一标识符，因此合理有效的分配好IP地址十分重要。

图1 网络拓扑图

IP地址分配可以是固定IP地址，也可以采用DHCP动态IP地址，当然两种不同的分配方法在管理上各有优缺点。作为IP地址分配应考虑如下一些原则，一是网关应该设置成1个网段中的最前或最后(即XXX.XXX.XXX.1或 者XXX.XXX.XXX.254)。二是不同的应用或用户组采用不同网段，可以通过不同的网关或子网掩码分开，也可以通过划分VLAN实现。三是要考虑设备终端的扩容，要保留一定的备用IP地址。我们单位这次上级主管部门分给我们的IP地址 段 为 10.180.168.1—10.180.171.254。根据单位实际，我们将IP地址进行了细化规划，分配规划的原则是用户终端采用固定IP地址，根据实际应用情况划分不同网段。所以我们将10.180.168.XXX段全部用于网络中心管理，其中1－30用于各类服务器或管理IP地址，如防火墙、Web服务器、ftp服务器、视频服务器、电子图书服务器以及无线路由器IP等。31－50用于单位公共场合的终端设备，如会议室、报告厅、专用场室等，51-80用于校园安全监控录像机等IP地址，201-254用于配置各楼层交换机的IP地址，其余地址暂时备用。10.180.169.XXX段全部分配给教职工的计算机IP地址，10.180.170.XXX段用于所有教室多媒体设备IP地址，10.180.171.XXX段全部用于4个学生机房的IP地址，这样有规则的IP地址分配，有利于今后的应用管理和维护。如出现IP地址冲突、流量不正常情况等，都能比较快速找到问题终端。对于暂时不用和备用IP地址通过防火墙地址服务策略进行封堵。

安装配置好网络交换设备

一般情况下，网络的升级改造都是由中标的IT业务单位网络工程师负责安装配置的，但作为单位网管员要告之本单位的功能需求和网络运维要求，便于工程师按需而配。而且作为网管员也要掌握基本的配置方法，如防火墙设备中策略的设置、NAT转换配置、日志的备份与设置等，在交换机管理中要求能掌握端口映射、VLAN划分等。为了确保网络速度的提升和运行稳定性，主干交换设备之间的连接最好采用光纤模块。

做好安全策略与行为控制的设置

我们这次升级的主要网络设备是防火墙采用山石SG-6000、核心交换机采用锐捷RG-S8160、楼层交换机是锐捷RG-S5750和锐捷RG-S2928等，教育城域网和本单位内楼宇之间将原10/100M光纤收发器换作千兆光模块。原来的交换机不具备网管功能，所以设备升级后，为确保网络安全和网络正常运行，网管员要掌握并做好相关的安全策略行为控制的设置。虽然防火墙中可以设置一些应用策略，但作为行为控制方面的功能还是比较少的，所以作为网络管理者不仅要掌握控制硬件设备的运行情况，更要了解终端用户的上网情况，因此在升级改造中有必要考虑安装一款适合本单位的行为控制软件设备，我们单位是采用网路岗软件，通过核心交换机上配置镜像端口来实现控制，效果很好。

做好资料归档工作

作为一项网络升级改造的系统工程，做好必要的档案资料整理，有助于今后网络系统的维护。主要做好这几方面的资料归档，一是记录好所有网络设备的登录帐户和密码，考虑到网络的安全性，必要的时候还要更改安装工程师给你设定的初始密码。二是收集整理好各类设备的报修卡、操作手册、使用说明书等档案资料。三是汇总整理好本单位的拓扑图、IP地址分配表、设备MAC地址登记表等信息，对于MAC地址，可以通过登录核心交换机，运行show arp命令获得。

在这次网络升级与改造过程中，我们也碰到了一些问题和实践体会，在此也进行一起分享。在本次升级改造中，对楼宇之间的主干线路换成了光纤模块，但对于个别楼层之间，因网络通讯速度和要求不高，仍采用光纤收发器，但在插拔更换光纤收发器后，出现了网络不通，指示灯闪烁正常，后来找到的原因是因为光纤收发器有单模与多模搞之分，结果插拔调换后变成一端是多模，一端是单模的情况，因此导致网络不通。

设备需同步更新。如果楼层交换机采用千兆设备，但楼层之间如果还在用百兆的光纤收发器，那千兆设备的性能仍是不能正常发挥出来。对网络的速度仍然有制约的。

网络升级改造一般是为了提高网络的速度、安全性和稳定性，因此往往会考虑更新防火墙和交换设备。防火墙有一定的安全策略与控制，但在行为控制上有一定缺陷，因此在升级改造时要考虑部署相应的行为控制软件或硬件设备。

4.学校单位的学生机房由于上网时间集中，访问量大，机房内机器一般都装有像极域等控制软件，容易出现广播风暴，容易有病毒的威胁。一般将机房电脑独立成内网通过代理或路由出去。对整个单位的网络影响会小很多。我们的做法是将升级换下的原学校总出口的三星NXG150-E防火墙（带路由功能）作为学生机房的路由。这样相当于把学生机房的所有计算机作为独立的局域网。通过适当的配置，既安全又快捷。

下阶段我校将配合智慧校园建设，再作一次无线网络的升级改造。