构建全方位校园网管理系统

摘要：随着网络环境的日益恶化，网络管理已成为企事业单位网络维护的头等大事，本文结合笔者多年的网络管理经验，从网络管理、流量监控、日志管理、安全管理等方面全面阐述了构建全方位校园网管理系统的指导思想和实现方法。

关键词：校园网；管理系统

中图分类号：G637 文献标识码：A 文章编号：1006-3315(2008)06-117-01

在当前的校园网建设过程中，有一个重要的建设方面就是校园网管理系统的建设，可以说随着网络规模的不断扩大，网络信息传输的日益复杂化，构建全方位的校园网管理系统已成为当前校园网建设的迫切需求，下面结合我院校园网现状谈谈如何构建一款廉价的全方位校园网管理系统，我院的网络拓扑结构如下：

现有网络状况描述如下：我院校园网建立于2003年，主要满足网络教学及网络信息查询之用，信息节点共计1400多个，由于网络用户规模庞大，人员参差不齐，而且网络设备差异性巨大，所以对校园网的安全稳定运行提出了很高的要求，为此我们从网络流量监控、网络日志管理、网络设备管理、网络安全监控等方面为我院的校园网量身订制了一套完整的校园网管理方案：

一、流量监控系统

在网络日常管理中经常会发现由于网络病毒、网络攻击、BT下载等大流量的网络传输，造成网络设备负载较大，甚至出现网络瘫痪及断网的现象，给正常的网络教学和网络管理造成了巨大的损害，为此实时监控网络流量，发现网络异常所在成为了当前网络管理的重中之重，在本方案中采用MRTG、Sniffer软件实现网络流量监控及网络异常分析。MRTG是一款应用广泛的网络流量统计软件，以图形方式显示具有SNMP功能的设备的网络通信的状况。可以实时统计从路由器和其他网络设备获得的网络通流量信息及其他统计信息。Sniffer是一款用于收集网络数据，网络流量信息及用户信息的嗅探工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。在该系统中首先通过MRTG监控全网流量，然后对比日常基准流量，发现异常流量所在的区域，在确定异常流量产生的VLAN和接口之后，可以通过交换机端口镜像或HUB旁路技术连接Sniffer嗅探主机，查找异常流量产生的主机及流量类型，在确定异常流量的来源之后即可采取相应的方式处理网络异常。

二、日志管理系统

在当前网络环境中针对网络日常访问的管理及日志记录显得尤为重要，比如了解特定时间的主机流量情况，网络协议分布，网络访问内容的调查等等，这些活动是发现网络异常的重要手段，也是纪录网络攻击和入侵的重要数据来源，常用的日志监控方式为基于Linux的主机系统及大部分的网络设备采用Syslog服务器作为日志监控服务器，由于Linux的Syslog为文本方式，不便于阅读，所以可以使用专业的Syslog服务器软件进行全网的日志监控和流量采集，由于我校使用的是NetScreen防火墙，为了实现对日志的管理及网络异常信息的监控，使用了爱德威特公司的Firewall Analyzer系统，该系统是一个基于Syslog的防火墙日志分析工具，它能收集、分析和汇报整个企业范围内的防火墙、proxy服务器和Radius服务器上的日志，通过该系统可实时的了解到有关带宽使用情况、带宽占用较多的用户、协议使用情况、网络事件统计、病毒状态等等方面的信息，为网络管理人员实时了解全网流量提供了有力的保障。

三、网络管理系统

随着惠普公司的第一款网络管理系统软件Openview的诞生，掀开了网络管理的新纪元，使用基于SNMP协议的网络管理系统来进行全网设备的管理已成为各种网络管理环境的主流，由于我校大量采用了思科公司的设备，所以在网络管理系统的选择上选取了CiscoWorks 6.1网络管理系统，该管理系统由多个功能模块构成：CiscoView是一个可视化的思科设备配置工具，对于集中的管理和配置思科网络设备极为方便；WhatUp Gold是整个网络管理系统的核心，通过该模块可以进行网络结构的拓扑发现，并对发现的网络结构进行全面管理，在设定了网络设备及服务器的SNMP属性之后即可对设备进行全面有效的管理，比如了解当前的网络设备的连通性状况，了解当前的网络服务器的工作情况，通过故障警报，可以让网管人员及时发现和解决网络故障；Threshold Manager是设备故障管理模块，在有网络流量异常发生的过程中，通常都会有网络设备的CPU及内存过载的现象，所以通过该模块设定每一款监管设备的阀值，当网络设备出现故障时即可触发网络警报通知网管员网络异常所在。

四、安全管理系统

由于受病毒及网络黑客的影响，网络安全防御，网络病毒防范已成为网络管理不可缺失的部分，由于网络安全是一个庞大的体系，需要的投入巨大，所以对于校园网而言，重点是保障教学的正常进行以及网络连接的畅通，所以有必要首先考虑病毒的防范，因为有些病毒和木马自动扫描传播的特性，所以仅靠单机版的网络杀毒软件已经很难满足网络管理的需求，所以应使用一款高性能、高准确率的网络版杀毒软件，同时实现桌面管理的需求，根据需要，我院选择了卡巴斯基网络版杀毒软件，为了控制网络病毒的传播，建议在每台主机上安装ARP防火墙及天网防火墙。对于网络攻击及网络异常行为的发现和堵截，可使用McAfee Entercept IPS系统实现入侵检测及安全防御，同时兼顾防火墙功能，该系统有服务器端，控制台，客户代理三部分构成，在网络中的服务器及工作站上可以安装不同的客户代理，最终由该系统的服务器全面监管各个代理的工作状态，可实现跨网段全网实时安全管理及防御，配合上述流量异常分析，即可找到网络异常的根源所在。

除此之外，可根据实际需求构建上网行为管理系统、网络认证计费系统、桌面管理系统、防病毒网管等，网络管理是一项系统工程，没有哪一种技术或哪一款软件能解决网络中的全部问题，而现实可行的方法是在认真分析了全网的需求和现状之后制定出符合该本网络环境的网络管理系统，才是解决问题的根本途径。