探索双出口校园网络配置改善学校现代教育教学网络环境

探究双出口校园网络配置改善学校现代教育教学网络环境探究双出口校园网络配置改善学校现代教育教学网络环境随着计算机网络技术的开展，越来越多论文联盟.Ll.的学校建成了连通因特网的校园网络系统，并有学校在网上建立了eb网站、FTP文件传输效劳、E-ail电子邮件效劳、A办公等应用，为学校的教育教学和科研提供了便利。校园网用于教育教学显示出不同于以往的优势，然而其中也有不尽人意之处。笔者在近几年的理论中进展探究，寻找到一种有效的网络出口配置方法，可以改善和稳定校园的网络出口环境，并为教育教学很好地运用。一、问题的提出和分析学校的现代教育技术程度在十多年的开展中经历了比拟大的变化，最初大多是计算机的单机使用，开展到连通网络的少量办公计算机，这些对网络的需求都比拟低。而目前学校里老师都人手一机，信息技术课程的开设对网络的需求也比拟大，加上各类效劳于教育教学的网络效劳，这些对学校网络提出了更高的要求。为了方便和加强学校之间以及与上级主管部门之间的信息联络和资源共享，一般学校都通过接入教育城域网进而与其他学校和用户共享因特网资源。由于教育城域网与因特网之间的网络带宽本身有限，随着众多学校对网络带宽资源需求的增长和局部学校用户对某些消耗大量网络资源的应用如BT、电驴等网络下载不加限制，必将导致网络的堵塞，从而影响学校的教学使用，甚至影响学生信息技术课程的正常教学。所以，越来越多的学校开场通过ISP因特网运营商提供的第二出口直接接入公众网络，这使原先比拟脆弱的单一出口有了备份，不会因为教育城域网发生堵塞或故障而中断校园网与因特网的连接。同时这也对学校的网络出口设备和配置提出了更高的要求。二、配置双出口的网络，做好对外访问控制策略配置，保障正常的教育教学的网络使用1.配置负载平衡、互为备份的双出口网络我校以前购置的硬件防火墙只提供了一个外网接口，不能适应这种需求。在此情况下，我校配置了两台安装了微软ISA2022防火墙的系统，在学校内部配置路由策略，使教育城域网的访问和应用都通过其中一台ISA出口，而向公网的访问和应用那么通过另一台ISA出口。这满足了网络应用的需要，但由于割裂了两个出口的协同作用，常导致某个出口的使用程度比拟低或闲置，另一出口那么由于使用量大而网速缓慢，而且可能由于某种原因公网接口中断时学校网络也中断，严重影响了学校的正常教育教学。利用FreFrntTG防火墙系统软件的增强NAT(网络地址转换)功能可以很轻松地到达所需要的功能，TG提供了两种使用形式：其一，故障转移形式：在主要的网络出口工作正常的情况下，所有的流量都通过该出口进展，只有当它出现故障的时候才将所有的流量转移到备份的出口上；其二，负载平衡形式：这种形式下，所有的出口都被使用，按照用户定义的比例来分担访问流量，而当某一出口连接被测试到异常中断时，自动地把所有的访问流量转移到另一出口上。经过比照，在配置中我校选择了第二种的形式，并根据出口带宽的不同进展了比例分配。为了让系统可以自动根据网络连接中断与否的情况调整，设置了对出口的连接性进展测试。TG系统的测试默认是通过与因特网的根域名效劳器的53端口的连接恳求来判断接口是否中断。在我校的实际使用中，公网接口几乎不会出现连接测试中断的现象。而无锡教育城域网的接口测试那么根本没有联通的时候，这应该和教育城域网对外访问的控制有关，笔者通过把接口测试修改成与本地ISP的80端口的连接恳求，这样就使接口的连接性测试保持了畅通。以下是修改以后的测试接口连接性的vbs代码：eneedtgettheISPRedundanynfiguratinbjetfirst:setRt=reatebjet(FP.Pt)setArray=Pt.GetntainingArray()setExtealNetrk=Array.Netrkrdiguratin.Netrks(External)setISPRfg=ExtealNetrk.ISPERedundaynfig删除原来的连接测试的地址ISPIfg.nnetivityVerifiatinRetEipAddresses.ReveAll()参加新的地址ISPRfg.nnetivityVerifiatinRetelpAddresses.Add32ISPRfg.retivityVerifiatinRetelpAddresses.Add6ISPRfg.nnetivityVerifiatinRetelpAddresses.Add1ISPRfg.nnetivityVerifiatinRetelpAddresses.Add0把默认的连接测试的端口号53修改80ISPRfg.nnetivityVerifiatinRetePrt=80ISPRfg.nnetivityVerifiatinRetePrt=53保存修改ISPRfg.Save通过以上配置，到达了对外访问的负载按预定的比例分配，在某一接口因故中断时也能自动把访问转到另一接口，TG系统已经根据流量比例分配到不同的NAT出口地址上了。2.做好对外访问控制的策略配置，抑制对网络的不良使用在我校，笔记本计算机已配置给每一位一线老师使用，老师对自己的笔记本计算机有完全的支配权，所以想要通过域环境来控制学校内师生的上网行为已不可能。而校内不可防止有局部用户会自觉或不自觉地使用占用大量带宽的软件，如BT、电驴等下载，对于这类用户如不加以限制，即使接入再多再宽的出口，也会造成网络的堵塞，影响其他师生正常的教育教学使用。对于这类情况，我校对每一需要访问外部网络的用户固定其IP地址(这可通过IP-A地址绑定等手段实现)，在网络出口上回绝其论文联盟.Ll.他用户的访问行为。利用TG的网络连接数限制功能可以对每一用户的连接数量进展限制，这在一定程度上抑制了此类不良使用行为，由于TG不具有带宽控制功能，不能完全限制用户的恶意占用带宽的行为。但这可以通过插件的方式解决，软件BandidthSplitterfrFrefrntTiG就是其中之一，利用它可以对用户使用的带宽和网络连接数量进展完全的控制，有效地防止了校园网出口带宽被不合理的占用，充分保障了学校教育教学工作的顺利开展。对于校内师生的上网行为，基于管理的目的，可能需要限制一些网络的使用。如对一些网络聊天及网络游戏等进展屏蔽，我们可以在允许用户访问外网的策略上做HTTP策略限制。假如再配合制止用户计算机与聊天或游戏效劳器的连接，就可以很好地到达学校的管理目的，保证学校用户专心于教育教学工作。为了保护学校师生的上网平安，我校对允许用户访问外网的策略上开启了对FITTP传输的内容进展非法软件扫描，从而阻止病毒、木马、间谍软件等非法软件在学校网络内的传播，进步校园网络的整体平安性。TG中使用的反病毒扫描引擎可以通过网络实时更新，这实在在一定程度上保护了校内用户的信息平安，使校内师生可以放心使用互联网络。3.固定访问教育城域网的出口，加强教育系统内部的网络联络和资源共享对于学校来说，很多教育教学需求经公网接口无法实现，必须通过教育城域网的接口才能进展，对这类访问恳求可以通过修改TG的网络规那么来实现，限定访问出口的NAT地址为城域网的接口地址。这里要注意的是网络规那么的次序非常重要，所以需要指定NAT地址出口的规那么放在其他也能匹配的规那么前面，以使其能优先执行。通过这一系列在网络出口处的配置，我校的网络根本上不再出现中断和堵塞的现象，老师也反映使用学校网络时页面刷新很快，速度比以前有了比拟大的进步。三、做好网络应用效劳的发布，便利学校对内对外的教育教学使用目前，很多学校在网络上建立了eb、A等应用，为学校师生的教育教学和科研工作效劳，为师生提供互动的工具，为家校提供联络的途径，让社会理解学校的开展。这就需要让师生在校内校外都能访问到学校的主页，能使用学校建立在网上的应用。为平安起见，我校把不需要让师生在公网使用的网络效劳均建在学校内部网络，而师生需要在公网上使用的效劳那么建立在DZ(俗称非军事化隔离区，DZ是个位于内网和外网之间的特殊区域，一般用于放置对外开放的效劳器)区。由于我校内网与DZ区的网络天见那么是路由关系，内网访问这些效劳那么通过在TG防火墙系统中直接建立访问规那么进展，对于来自外部网络的访问，由于DZ区和外部网络之间是NAT的关系，必须通过防火墙的发布规那么才能进展。我校对外发布了eb、FTP等网络效劳，方便了老师在家办公和师生的家校联络。对于确有需要