校园网络管理

本次借着平板进校园的机会，我重新整理了学校的网络结构，同时也开始正式接手学校的网络管理，前期的网络改造，我只是一个旁观者，我最重要的任务是要了解学校的网络结构和学习校园网络日常管理的方法。

我在对老师的设备进行各项操作是，我都会在访客网络里进行测试，寻找可能出现的错误，确定安全以后才在开始实行。新规则的制定，要尽量减少老师的学习成本，最好可以无缝对接。

一、根据功能划分网络VLAN

在核心交换机上给不同功能的设备划分了不同的VLAN，其中老师办公有3个网段（DHCP)，每个班级1网段(DHCP)，固定设备1个网段(手动分配），每个机房1个网段（手动分配），备用访客网段1个（DHCP)，视频摄像2个网段(手动分配）。在EXCEL中记录各个网段的使用情况，方便以后进行维护和增添设备。

二、上网认证

之前学校的网络是和普通家用路由器一样，通过密码连接网络，定期更换密码。

现在实行的是绑定设备MAC的认证方式。除访客网络平时处于关闭状态意外，所有无线信号都是24小时开启，同时开启DHCP功能，对相应的网段进行设备MAC绑定。绑定是通过行为管理器完成，处于仅次于防火墙的位置。MAC绑定的设备接入无线网络以后可以免认证访问互联网，没有进行MAC绑定的设备接入无线网以后可以访问学校内部网络，但不能访问互联网。这样设定的目的是防止学生携带移动设备接入学校网络上网。因为学生的平板上课是访问内部网络，所以不会受到影响。老师如果更换了手机或者电脑，需要对新设备的MAC进行绑定。

统计老师的MAC是这项工作的重点，分以下步骤完成。

1、查找各个电脑系统和手机系统查找MAC的方法，制作成教程共享给其他老师。

2、设计一个调查派的问卷，请各位老师将MAC填入问卷.

3、找一台路由器，请没有完成问卷的老师连接到这个路由器，在路由器上查找老师的MAC，通过设备名称区分各个老师。

4、整理MAC并导入到行为管理器完成免认证绑定。

5、开启行为管理，并告诉老师MAC绑定正确的可以和以前一样，如果MAC绑定没有完成或者填写错误将弹出一个认证窗口，这些老师需要重新提交MAC信息。

6、陆续对新提交的MAC地址进行免认证绑定。

前期步骤1、2、3大概花费了1个星期多一点的时间，后面又陆续花了2天时间录入新的MAC，整体过度比较平稳，没有产生大的影响。

如果MAC绑定是做在AP端，这样做以后没有绑定MAC的设备无法接入无线信号，可以从根本上禁止外来设备，但是这样执行需要统计每个学生平板的MAC，工作量太大，但是对于实际使用并没有更多的作用，所以我没有采取这个方法。

在校园网刚建立之初，我们使用的是给每个老师分配账号和密码，每个账号最多允许3台设备同时在线。任意一台设备接入无线网络以后会自动启动浏览器，进入认证界面，输入账号和密码完成认证，完成一次认证以后，再次连接无需认证。在执行的过程中中遇到了一下问题。

1、部分老师的手机没有自动弹出网页，无法完成认证；

2、部分老师的手机每次链接都需要认证；

3、部分老师的账号和密码外泄，学生也通过该账号接入学校网络；

基于以上三个因素，账号和密码的认证方式只实行了半个月就停止了，后面一直是使用普通的密码登陆，配合定期更改密码的方式。

二、网速管理

这个步骤我还没有正式实施，原因是我还没有完成弄懂行为管理器的设置方法，我将开启访客网络，在这个网络上先测试完成，然后再正式推广。

学校的总带宽是有限的，部分老师在使用P2P下载或者多个老师在观看视频时会大量占用带宽，影响了其他老师的正常使用，所以有必要对老师的网速进行限制，有两个思路。

1、限网速

对每个设备的网速上限进行限制。

2、限应用

对P2P、视频等高流量应用进行限制。

我个人倾向于“限应用”，并且在宽带空余时运行运行，当在宽带紧张时自动对这些应用进行限制。

我设计了以下步骤。

1、向网络运营商询问下载速度的上限。因为我刚接手网络，这个方面不清楚。

2、多日连续查看学校网络负载的日志，确定是否真的需要进行网速限制。

3、根据日志设置限速的阈值。

4、在访客网络进行测试。

5、施行。

6、查看效果。

7、修正策略

在正式施行流量限制时，我认为不需要向老师公告。

三、行为管理

我所在的学校并没有要求我对老师的上网行为进行管理，所以我也不打算对老师的行为进行管理。我以前工作的单位施行了行为管理，在全教会上通报了部分老师在上班时间进行娱乐活动。对设备的网络活动进行记录，防火墙和行为管理器都可以做到，据说部分设备甚至可以记录IM聊天软件的聊天内容。