高校学生宿舍网络建设与管理浅析目前高校学生宿舍网络建设的运营模式、用户认证技术、流量管理、网络安全等方面都存在着比较突出的问题，本文根据本学院学生宿舍网络实际运行状况以及作者多年的网络管理经验，提出了自己的见解和思路并加以探讨，以达到提高效益，促进学生宿舍网络规划的科学化，保证学生宿舍网络安全稳定健康地运行。

标签：校园网网络建设网络管理0引言21世纪是知识经济年代。

信息和教育相结合已经成为当今世界教育改革和发展中极其重要的部分，而当前蓬勃发展的以计算机和网络为主导的现代信息技术则是教育现代化必不可少的技术基础。

不少大专院校以及中小学正在通过网络技术在整个校园建立起功能强大的有线和无线的网络，把学生、教师和行政管理人员连接起来，并且进一步通过网络将校园和外部世界建立起桥梁。

最重要的是，网络技术已经改变了传统的学习方式和获取知识的过程。

此外，各个学校在市场经济的大环境中，还面临着生源竞争的巨大压力，不同类型和不同规模的院校对先进的信息技术尤其是网络技术的使用已经成为它们在同行业激烈的竞争中取胜的关键。

学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。

而在校园网络的建设中，学生宿舍网络是极其重要的一部分，它是校园网络在学生宿舍的重要延伸，学生宿舍网络的建设不仅为学生的良好成长、成才服务，同时也为取得经济效益、社会效益服务。

学生在宿舍网建设使用过程中，实际上是为学生的个性发展与张扬提供新的平台，从而实现学生的自我教育、自我管理、自我服务。

如学生在使用网络过程中可以提高自身的信息摄取、处理能力。

同时随着学分制的不断深化改革，将来会有越来越多的课程在网上授课。

如我们的“两课”教学、时政教育课可尝试成为同学的网上必修课。

学生们可随时随地在网上注册、交费、学习、考试。

同时可将同学的创新成果和专利在网上进行拍卖，引起有关单位的注意：开辟网上二手市场、收费邮箱、视频点播、企业广告等收费版块。

因此，宿舍网络的建设为学生的网络教育提供了必要的前提条件。

但是从实际情况来看，学生宿舍网络在网络建设的运营模式、用户认证技术、流量管理、网络安全等方面都存在着相当多的误区，本文根据本学院学生宿舍网络实际运行经验以及作者多年的经验积累，提出了自己的见解和思路并加以探讨，以达到扬长避短，促进网络规划的科学化，提高网络的运行效率，保证学生宿舍网络安全稳定而健康地运行，从而使学生宿舍网络成为培养和教育学生的有力的辅助力量。

1学生宿舍网络建设有关问题的探讨1.1学生宿舍网络运营模式探讨学生宿舍网是近几年的建设热潮。

但财政投入毕竟有限，寻求一种适合的投资运营模式建网和养网成为目前众多学校关注的焦点。

目前高校学生宿舍网络建设模式主要有三种模式：1.1.1当地通信公司投资运营。

以目前徐州等地高校等为例，大学的宿舍网完全外包，就是由当地通信公司投资运营。

这不仅缓解了学校的资金压力，也尽快为学生创造了宽带上网环境。

学校现在都实行了公寓式管理，把宿舍网承包出去，不仅符合改革的精神，也可以让学校把资金集中在教学应用上，如管理、资源建设、安全等方面。

1.1.2学校与运营商合作投资运营。

这种模式下，学校与不特定通信运营商合作建设网络，由学生自主选择运营商接入互联网络，学校与运营商协商收费策略，同时校方拥有对网络的控制权。

采用此种方式，学校与运营商经常在收费、运行时间控制、网络维护和网络安全等方面发生相互扯皮的事情。

1.1.3学校自行投资建设宿舍网络。

运营商单独运行、校企合作运营总会存在这样那样的负面影响。

同时，大部分学校认为宿舍网商业化不一定就是未来的发展趋势，再者，如果把宿舍网承包给通信公司，学生访问校园网可能还要在公网上绕一圈再回来，速度反而很慢。

而且容易受人控制，损害学生、老师的利益；另外，安全管理方面，万一学生通过公网发布谣言等，追究下来，肯定又是学校的责任。

所以目前大部分学校采用的是第三种模式。

1.2自行投资模式下有关问题探讨1.2.1综合步线问题。

根据以上讨论，我们认为学校自行投资建设学生宿舍网络应该成为学生宿舍网络建设的主流。

但是在网络建设过程中，不少学校存在网络建设定位不清楚，轻视网络建设的科学规划，忽视网络建设投资成本与产出效益的平衡的问题。

当前高校网络建设正处于高潮时期，往往会出现热情大于冷静，在投入产出方面思考较少，影响着成本与效益的平衡等问题。

一些高校对如何提高网络效益并无太多计划，一些校园网络建设不能明确自己的定位，对自己究竟是ISP(网络服务提供商)还是ICP(网络信息提供商)认识模糊。

我们认为，高校作为信息集散地之一，当然主要作为ICP存在，但从经营学校的角度考虑，我们还应当成为ISP。

在网络基础设施建设上，一些高校追求所谓的技术高、规模大、功能全的时髦网络，虽经费有限，却没有用到刀刃上，造成了大量的浪费。

作者认为，当前网络投资最突出的问题是网络综合步线和接入设备的容量选择问题。

绝大部分学生公寓以4人为主，所以很多学校在综合布线设计的时候，将宿舍内节点设计为4个节点。

从实际运行来看，这极大地增加了网络线路和设备投资，而且网络性能也不可能得到任何提高。

事实上，即使没有校园网络接入，绝大部分同学为了打印、文件共享等需要，都在内部建设了宿舍局域网络。

在外部出口带宽在短时间内不可能解决的情况下，一个管理优异的网络，内部设备带宽不应成为网络使用瓶颈，而且在实际解决网络故障检修过程中，如果一个宿舍内存在网络故障，只要有一位同学网络通畅，其他3位同学的网络故障就相对比较容易解决了，这样就极大地提高了维护质量和速度，学生的满意度也大幅提高。

采用单线介入方式，即使在学校规定时间段内不能接入互连网络，学生仍然可以通过内部共享方式进行有些网络交流。

而且采用单线接八方式，网络设备的投资也比4线接入大为降低。

网络设备即使是满配，也几乎很少有浪费。

所以我们强烈建议学生宿舍内网络节点采取单节点接入为佳。

当然也有人会提出反对意见，认为这样一旦出现线路故障，将比较难以处理。

实际情况是，如果线材正规，几乎不会有什么线路方面的故障。

1.2.2网络接入以及认证技术的选择目前学生宿舍网络接入主要有三种接入技术：pppoe认证方式、802.1X认证方式，web认证方式。

Web/Portal认证是基于7层的认证，用户连接性差，不容易检测用户离线，基于时间的计费较难实现，同时由于用户在获得认证之前就获得认证服务器分配的IP地址，这样就造成IP地址分配浪费，更重要的是将认证服务器暴露给未认证用户，很容易形成网络攻击，导致认证服务器瘫痪，PPPOE组网灵活，能够有效隔离用户，对于ARP病毒以及广播风暴有着良好的防范能力，但是其基于窄带网络发展而来的技术，不太适合校园网络这种高速园区网络.其用户接入速度从认证成功后就固定在一个很小的数值范围内更重要的是即使是同一交换机的用户，也需要绕过各级汇聚以及核心设备，最终通过BAS设备到达另一用户，这显然降低了网络效率并增加了网络负担，这两种方案都不能有效地解决认证安全问题。

802.1X协议，其实现基于以太网交换机，可以对用户进行认证、授权，从而为我们提供了一种更实用、更安全的用户管理方式。

基于802.1X技术正成为高校宿舍网络应用的主流，我校也采用了基于802.1X认证技术的锐捷SAMll认证计费系统。

基于以上分析，作者认为在当前的学生宿舍网络以选择802.1X接入技术为最佳选择。

1.2.3网络出口设备的选型。

目前似乎对接入技术采取了大量的措施，但是忽视了出口技术的研究。

这主要是要注意NAT设备和流量控制器的选择。

首先，必须重视NAT设备的选型。

目前绝大部分高校采用多出口的路由模式，也许教育网分配的ip地址尚能勉强应付使用，但是运营商显然无法提供足够的ip地址给学校使用，所以大部分学校都使用了NAT设备以提供地址转化功能。

网络攻击、网络病毒的日益猖獗，网络日志和安全功能成为出口设备基本功能，对于传统的网络出口设备而言，在启用NAT同时，还启用安全、抗攻击、防病毒、日志等功能，会使设备性能将大幅下降，无法满足网络出口需求，成为网络瓶颈；很多学校都通过传统的防火墙来提供NAT功能，而高校学生上网人数多且上网时间集中的特点决定了传统的防火墙nat功能严重制约了网络的快速使用。

我院经过调研和试运行，最终采用了锐捷网络公司的网络出口引擎NPE2000作为专用的NAT设备，其性能卓越，而且其能提供简单会话数限制以及粗略的流量管理。

其次，必须高度重视流量管理器的选型。

学生上网时间集中，网络应用复杂，流量巨大，特别是学生尤其喜欢使用基于p2p的下载技术，致使网络高峰时间，网络几乎无法使用。

目前大部分流量管理器只能做一些粗略的流量管理，要不就是彻底封杀p2p技术，显然这使用用户使用满意度急剧下降。

我院使用Cisco的sce流量管理器，能够根据具体限制相应的应用，取得了不错的效果。

2学生宿舍网络管理有关问题的探讨在学生宿舍网络管理过程中，我们必须将合理的技术管理方案与行政管理手段完美的结合起来，才能确保学生宿舍网络安全稳定的运行。

2.1学生宿舍网络管理的技术手段学生宿舍网络使用特点是人数多，时间集中，应用繁杂。

我们学院目前有近5000学生用户，常年保持2000人同时在线，由于采用正确的管理方案，虽然时有零星网络故障报修。

但是大规模网络中断甚少发生。

我们主要采取了以下配置措施。

首先，关闭ping功能。

在使用过程中，我们发现相当多学生对计算机了解甚少，很多同学安装机器后，什么杀毒防护软件都不装就裸机运行。

同时，很多同学出于好奇，安装各类扫描软件扫描网络漏洞，我们在配置过程中，在接八层交换机上配置了病毒防护ACL，将所有端口和所有VLAN的ping功能关闭，如此一来，冲击波震荡波等病毒无法发挥其威力，同时，菜鸟级的扫描也止于无形。

经过10多年的观察，仅仅关闭ping功能，网络核心交换机就很少发生cpu利用率异常升高甚至瘫痪的情况。

其次，尽可能将同一Vlan的端口隔离。

ARP病毒是近几年以太网中最流行也是影响最大的网络攻击。

学生浏览非法网站有时会中ARP病毒，甚至很多学生根据网络资料，自行安装p2p终结者等ARP攻击工具，经常导致整网瘫痪，为此，我们对网络进行了优化配置，所有Vlan重新划分，以交换机为组来划分VLAN，同一个交换机分配一个Vlan，每个端口采用端口隔离技术，这样就尽可能的消除了目前威胁最大的arp攻击。

同时也避免了其他网络病毒的广播。

其三，必须要注意的是必须采取正确的流量管理配置方案，目前市场上很多流量管理管理器的技术都非常的成熟，P2P应用已经成为网络应用的主流，在出口带宽不可能无限制增长后，很多学校采取了封杀p2p应用，这严重影响学生的网络体验，相当学生因此以各种理由私下接入运营商的网络，从而脱离学校监管我们的做法是，采用能识别具体应用的网络流量管理器，将各用户的p2p带宽和会话数限制在相当低的范围内，这样web以及即时通信带宽就得到了体验，而一些基本的p2p应用用户也能正常体验，这样就提高了用户的体验感，稳定了用户的情绪。