[分享]：中国科大校园网建设的若干经验

lxwldy

　　中国科大校园网自1993年10月正式批准立项建设,至今已获得了长足的发展,其影响涉及到学校教学、科研、管理各方面。 校内各类计算机设施连网率达到80%以上,拥有“地”(DDN)和“天”(VSAT)两条对外信道,通信量在全国高校位居前列。该网可提供 各类网络服务,所有教工和在册学生均拥有电子邮件账号,每日进出校园网的电子邮件逾万封。中国科大校园网因建设成绩突出,曾 获“1997年中国科学院科技进步二等奖",并在中国科技网(CSTNET)建设五周年时被评为优秀用户单位。本文是对六年来中国科大 校园网建设过程中逐步摸索、积累的一些经验和教训的总结。

规划与实施

　　一个校园网项目从立项、设计、采购、建设、调试到投入运行,是一项复杂的系统工程。如何减少失误、保护投资、提高效益? 笔者认为要特别注意以下方面:

1.长远规划,避免“一步到位”
　　校园网的建设应遵循“边投资,边使用”的原则,初期不要把摊子铺得太大,保证适当的投入可以尽快得到收益。计算机网络的技术 更新换代、设备价格降低和性能提升的速度都很快,如果抱着“一步到位”的思想,就可能会使先期巨大的投入得不到充分的利用,而这 样的投入在几年后恐怕也不能适应网络应用的需求。因此,建网时要确保为网络扩展留有余地。在校园网规划中,选好网络主干设施的重 要性超过服务器设备。现有布线可以重用或者重组,路由交换设备也能通过降到下一级子网的方式继续发挥作用,最大限度地保护投资。

2.审慎把握技术发展趋势
　　网络规划者必须认真调研网络的发展趋势,做出准确判断。中国科大校园网建设中并没有跟随ATM的热潮,而是在主干上采纳了比较成 熟的FDDI技术,100Mbps速率有效、可靠地连接了东、西两个校区。实践证明,那些采用第一代ATM交换机作为骨干的校园网不久就陷入了路由 瓶颈的困境。目前,千兆以太网已经市场化、IP over SONET和RSVP(资源预留协议)初露端倪,ATM的优势也开始受到质疑。因此,在考察网络 发展趋势时,还要算应用账、工程账、经济账。

3.精心选择建设参与单位,从严把握建设方案
　　校园网通常采用招标方法选择建设方案,但筛选出的方案未必最佳,甚至可能有明显失误。因为,投标者为了达到“标底”,可能会推荐不适用的设 备(如所谓的企业级系统),或者推荐购买昂贵的软件许可证,投标者自身的背景制约了其方案选择余地,组合结果未必恰当。即使是技术水平高、信誉好 的厂商作为产品提供者,其方案也未必适合我国校园网环境。例如,计费对目前国内校园网运行来说至关重要,但是国际知名的网管系统均在这方面有很 大欠缺。更不用说众多投标者期望以搭积木的方式做系统集成,在投标方案中多多鼓吹优势,而对缺点含糊其辞,甚至把甲校的方案仅做很少的修改就用 在乙校招标。因为缺乏经验,中国科大校园网1993年第一期建设时购买了某公司的X.400邮件系统,而实际上未能投入使用,造成招标部分失误。
　　因此,在招标前对其他已建成的校园网做投资、运作、管理的详细考察,将可能得到投标者无法提供或者隐瞒的信息。选中承建单位后,要严格执行合 同,履行各项条款。

4.与学校基础设施建设紧密结合
　　网络布线要覆盖整个校园,可利用现成的各种管道,避免过多架空线。网络设备的供电、防雷等应纳入建筑或者建筑群整体规划中。在建设新楼群时, 除水、电、气管道外,要预设或者预留网络连接的空间。合理的校园网布线将保证网络正常运行,不受其他基建活动影响,并且减少了网络升级的代价。

5.充分利用各种环境、政策上的条件(如世行贷歇、网络科研项目招标等)
　　中国科大是一所重点高校,得到中国教育科研网(CERNET)支持。它通过CERNET安徽省网租用的DDN信道接入CERNET华东地区网络中心,而且作为中 国科学院的下属单位,通过专用卫星信道直接接入中国科技网(CSTNET)网络中心。同时使用两条信道并精心划分网络流向,将保证中国科大校园网在对 外通信方面的高可用性,并且降低了通信成本。校园网作为中国科大建设“一流大学”的重要支撑设施,正计划采用千兆以太网技术实施全面改造,达到 “主干千兆,百兆到楼”的网络容量。

系统与管理

　　目前,计算机和网络设备等硬件降价很快,但软件却越来越复杂和昂贵,明显成为瓶颈。笔者认为开放源代码软件(Open Source Software) 是一条值得关注的路线。对某些因为操作系统过于陈旧、不堪维护的服务器或工作站,甚至可以删除原装操作系统,改Linux/FreeBSD等。高档Unix服 务器也可使用开放源代码软件进行增强。大量采纳开放源代码软件的前提是需要较强的技术力量,在这方面,大学校园具有先天的优势,并且切实地起 到开风气之先的效果。
　　早在1995年Linux系统传入中国|时,我们就在中国科大校园内加以运用。经过几年学习和积累,我们在校园网上大量地采纳了各种开放源代码软件,取 得了很好的效果。以中国科大电子公告系统为典型代表,从1996年初开通以来,作为一个校园公告系统,访问人次已超过700万。我们还|使用基于GPL (GNU Public License)的软件建立了独具特色的音乐服务器。中国科大校园网上WWW与FTP服务软件中,遵循GPL的Apache和WU一FTPD占优势地位。全 校的电子邮件服务是在开放源代码软件Sendmail、Qmail、Pine等的基础上进行定制的,防火墙系统和代理服务器也是完全在开放源代码软件的基础上 建立的。这些没有在软件上花费国家任何投资,还培养了一批网络人才。因为我们可以在整个网络范围内寻求软件解决方案,并进行源码级的定制,具有 商业软件无可比拟的优势。

　　对于校园网上运行的难以替代的商业软件(如Windows操作系统平台、文字处理软件Office、数学软件MatLab等)必须统一管理,利用教育单位的 背景与相应厂商协商合理的使用授权方案,如按年计算费用,在维护知识产权的同时从整体上减少软件购买的支出。

　　对于校园网管理条例,应依据国家相关法律、法规制订,它将对校园网的建设目的、机构组成、经费来源等方面做出规定,是校园网所有规章制度 的总纲。校园网管理委员会与专业委员会对网络建设提出指导性意见和进行监督,具体网络建设由网络中心组织实施,各系、部、处均指派分管领导与网络管 理员。

　　校园网各项规章制度的建立,除了规范网络应用外,还可加速网上教学、科研、开发等方面的进展。在网络支撑的管理信息系统开发、数据 资源上网过程中,需要统一组织规划,协调好各相关部门的关系。考虑到学校的实际,从学生管理与教务系统入手建设网络资源和管理系统是一个合适 的切入点。

　　校园网中,开放的网络技术和尝试的激情相结合,“一夜之间，Homepage(主页)遍地开花”,很容易产生大量自发的网络信息提供者和服务者。 一旦引导、规范不力,将导致混乱。相反,如果以制度的方式加以管理,则可促进校园网稳步发展,提升应用水平。中国科大校园网制订了设置信息服 务站点相关的登记备案规定，以及违反网络规范的处罚办法,并逐步予以实施。

建设与服务

　　校园网建设涉及面广、工作量大,它不只是网络管理与运行人员的“阳春白雪”,而应由校内所有成员共同参与。采用适当的方法保证提高 每个人的网络应用水平,引导和发挥所有人的能力是建设校园网的力量保证。

首先是建立专职的建设与运营管理机构。一个网络中心的水平很大程度上体现在其成员的素质上。人员素质高,才能够管好、用好现有设施, 充分发挥投资效益。除技术要求外,网络管理与建设人员必须具备良好的服务意识,提高自身服务素养。学校各系、部、处应配备网络管理员与安全 员,负责部分网络事务代办及联络,减少用户直接到网络中心办理事务的麻烦。网络管理员与安全员允许兼职,如果学校实行计算机技术支持工程师制 度,推荐由相应部、处、系的工程技师兼任。
　　其次,校园网必须做好用户培训工作,应对各级网络管理员、机关工作人员以及院系教学干事等开设网络培训班,通过网络和行政管理架 构中的骨干力量带动网络应用和管理水平的提升。网络管理人员通过设立电子公告与讨论系统等方式,鼓励用户互相学习,并且提供直接与用户对 话的环境。

　　事实上,广大学生是校园网重要的推动和建设因素,他们接受新知识、新观点速度快、思想敏锐,能够积极推动学校各项工作网络化、信息化。 只要有合适的条件,学生的聪明才智和创造性就会爆发出来,再加以适当引导,会收到很好的效果。在中国科大举办的软件大赛中,网络相关的作品占 很大比例。学生自己建立定位于中国科大校园网和周边院校网络的FTP搜索服务开通仅一年,访问人次已超过20万。中国科大网络中心还组织能力突 出的学生开发了新生人学报到系统、公共机房管理系统等。

　　对于校园网提供的服务,应适应网络开放性特点,避免闭门造车。中国科大校园网有两条对外通道:经DDN接入CERNET以及经卫星信道接入 CSTNET。两条信道都需要支付固定的月租费,这笔基本网络费用必须分担到每位用户,显然用户数越多,每个用户分担的费用越低,上网也就越受 欢迎。

　　在对校外通信方面,校园网用户采用IP地址直接对外通信的方式,地址易被盗用。因此,有的校园网只提供用户Proxy(代理)方式对外连接, 但用户不满意。中国科大校园网从CERNET开始收费起,就在全国率先以极低代价完全解决了这个困扰:防火墙系统为每个有对外通信权的IP地址 设置一个密码,用户可以凭密码打开自己的对外通信权。未经主人许可,他人即便可以私配IP地址也不能对外通信。这样,防火墙上虽然只是一点 小小改进,却完全解除了用户对费用失控的担忧。

　　实际运行情况证明,学生是校园网上最活跃的力量,必须为这部分用户创造上网条件。中国科大各实验室有吸收本科生参与工作的传统,因此 高年级本科生都能用网。对低年级本科生的上网需求,各校区均设有一定量的公共机房,除满足教学上机外,可以很低费用向学生出售上网机时。为 保证学生随时随地接受网络服务,校园内还将设置一定数量的联网公共计算机。

　　此外,我们准备以大型数据库为依托,建立以校园网用户为对象的支持系统。每位用户凭网络标识号NID,一体化地通过网络获取自己使用各 项资源和交纳费用情况,并申请网络服务和对自己享有的各项网络服务进行相关的设置等,真正做到“一号在手,走遍全网”,实现“自助网络”。 中国科大还积极参与了安徽省教育网、科技网、163网和169网的本地互联,提供了一些独具特色的网络服务,并通过建立镜象站点等方式与一些机 构和企业建立了联系。

网络安全

　　根据实际运行情况和调查结果,我们将威胁校园网安全的因素归结为五大类:
1.计算机系统和网络本身的缺陷;
2.活跃的黑客交流与破坏活动;
3.用户与系统管理员缺乏安全知识与正确的安全意识;
4.相对滞后的规章制度及制度执行不严格;
5.复杂的社会环境。
　　这些问题,不是只简单地建一道防火墙就可以解决的,而应采用综合手段。

　　网络的安全问题从网络规划设计阶段就必须仔细考虑。校园计算机网络访问方式多样、用户群庞大、网络行为突发性较高,整个校园网级、子网级、网络结点级乃至用户级和服务账号级的有效管理对保证网络安全有序的运行至关重要。校园网对外通信一律经过防火墙(包括代理)系统, 对所有跨越校园网边界的邮件转发进行集中控制,树立了隔绝外部攻击的屏障,也可审计内部用户对外的网络访问。在网络设计中精心规划子网 (包括VLAN),进行设备选型,可保证在路由和交换设备上对子网、网络结点的隔离以及控制能力。建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的使用登记制度,则可对网络用户和服务账号进行精确的控制。

　　在实际运行过程中,我们发现因为网络安全本身复杂性、心理自我评价障碍等因素,各计算机系统管理员不足以担当安全管理角色。为此,建议在网络管理中实施“A-C-S三角色管理模型”,即A:Administrator系统管理员,负责承担日常的例行维护,他是管理计算机系统的主要人员;C:Configuation Manager配置管理员,负责进行计算机设备的资产管理、网络参数(如网络地址子网掩码)的分配和登记;S:Security Consultant 安全管理员,负责评估和审核计算机系统的安全状况,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。上述三角色各有分工又相互协作,系统管理员接受安全管理员在安全方面的监督,接纳其安全建议;配置管理员统管网络资源分配,进行整个网络的调整,向系统管理员和安全管理员提供网络参数;安全管理员必须及时通知系统管理员相关的安全操作。A-C-S管理模型在实践中可以根据人员设置和技术力量情况做一定调整,以减少投入上的代价。

　　此外,还必须切实提高广大网络用户的安全意识。中国科大网络中心曾经在校园网上收集了2.5万个网络服务账号密码,进行了简单的穷举攻击测试,在一台高档PC上耗费数小时即破解了密码中的18.4%。实验发现,越是用户认为不重要的账号密码被猜中的概率越高,越是经验不足的用户群体越容易受到攻击。因此,应当在网络培训和计算机入门课理中传授网络安全常识。用户申请网络服务、实验室人网、系部处级单位入网,均应签署行为规范或安全协议,并将网络安全纳入实验室制度中.对网络上的黑客攻击行为,一经查实,就应援引相关的网络处罚规章予以惩处。

　　校园计算机网络是大学校园重要的基础设施,它除从事基本的网络服务外,还担当人才培养、科研开发、信息资源建设等角色。校园网的建设与发展需要精心规划、慎重实施、通力合作,这样才能提高网络应用水平,充分实现网络的利用和增值,促进学校教学、科研、管理、对外交流各方面工作的进行,切实达到建设校园网的目的

libanghai

文章从校方出发，精辟的阐述了未来网络发展的一个趋势，开发式、可升级持续性发展是构建网络的基础。文章提到了系统集成商在方案设计时对甲方的不负责是现今普遍存在的问题，不过这也是市场经济所带来的单方面利益追逐，是我们设计人员特别注意的地方！

lhyygu

小李评得不错，许多文章其实都能代表或反映我们这个行业的某个侧面，希望大家看文章后都能说一下自己的感受。