探索双出口校园网络配置改善学校现代教育教学网络环境.docVIP

　　探索双出口校园网络配置改善学校现代教育教学网络环境 探索双出口校园网络配置改善学校现代教育教学网络环境 随着计算机网络技术的发展，越来越多.LG防火墙系统软件的增强NAT(网络地址转换)功能可以很轻松地达到所需要的功能，TMG提供了两种使用模式：其一，故障转移模式：在主要的网络出口工作正常的情况下，所有的流量都通过该出口进行，只有当它出现故障的时候才将所有的流量转移到备份的出口上；其二，负载均衡模式：这种模式下，所有的出口都被使用，按照用户定义的比例来分担访问流量，而当某一出口连接被测试到异常中断时，自动地把所有的访问流量转移到另一出口上。 　　经过对比，在配置中我校选择了第二种的模式，并根据出口带宽的不同进行了比例分配。 　　为了让系统能够自动根据网络连接中断与否的情况调整，设置了对出口的连接性进行测试。TMG系统的测试默认是通过与因特网的根域名服务器的53端口的连接请求来判断接口是否中断。在我校的实际使用中，公网接口几乎不会出现连接测试中断的现象。而无锡教育城域网的接口测试则基本没有联通的时候，这应该和教育城域网对外访问的控制有关，笔者通过把接口测试修改成与本地ISP的80端口的连接请求，这样就使接口的连接性测试保持了畅通。 　　以下是修改以后的测试接口连接性的vbs代码： 　　alNetalNetacy Config　删除原来的连接测试的地址 　　 oISPICfg. ConnectivityVerificationRemotEipAddresses.RemoveAll(　) 　　加入新的地址 　　 oISPRCfg. ConnectivityVerificationRemotelpAddresses.Add32 　　 oISPRCfg. Cormectivity VerificationRemotelpAddresses.Add 6 　　 oISPR Cfg. ConnectivityVerificationRemotelpAddresses.Add1 　　 oISPRCfg. ConnectivityVerificationRemotelpAddresses.Add0 　　把默认的连接测试的端口号53修改80 　　 oISPRCfg.ConnectivityVerificationRemotePort=80 　　 oISPRCfg.ConnectivityVerificationRemotePort=53 　　保存修改 　　 oISPRCfg. Save 　　通过以上配置，达到了对外访问的负载按预定的比例分配，在某一接口因故中断时也能自动把访问转到另一接口，TMG系统已经根据流量比例分配到不同的NAT出口地址上了。 　　 　　2.做好对外访问控制的策略配置，抑制对网络的不良使用 　在我校，笔记本计算机已配置给每一位一线教师使用，教师对自己的笔记本计算机有完全的支配权，所以想要通过域环境来控制学校内师生的上网行为已不可能。而校内不可避免有部分用户会自觉或不自觉地使用占用大量带宽的软件，如BT、电驴等下载，对于这类用户如不加以限制，即使接入再多再宽的出口，也会造成网络的堵塞，影响其他师生正常的教育教学使用。 　　对于这类情况，我校对每一需要访问外部网络的用户固定其IP地址(这可通过IP-MAC地址绑定等手段实现)，在网络出口上拒绝其.LG的网络连接数限制功能可以对每一用户的连接数量进行限制，这在一定程度上抑制了此类不良使用行为，由于TMG不具有带宽控制功能，不能完全限制用户的恶意占用带宽的行为。但这可以通过插件的方式解决，软件BandG中使用的反病毒扫描引擎可以通过网络实时更新，这切实在一定程度上保护了校内用户的信息安全，使校内师生能够放心使用互联网络。 　　 　　3.固定访问教育城域网的出口，加强教育系统内部的网络联系和资源共享 　　对于学校来说，很多教育教学需求经公网接口无法实现，必须通过教育城域网的接口才能进行，对这类访问请求可以通过修改TMG的网络规则来实现，限定访问出口的NAT地址为城域网的接口地址。 　　这里要注意的是网络规则的次序十分重要，所以需要指定NAT地址出口的规则放在其他也能匹配的规则前面，以使其能优先执行。 　　通过这一系列在网络出口处的配置，我校的网络基本上不再出现中断和堵塞的现象，教师也反映使用学校网络时页面刷新很快，速度比以前有了比较大的提高。 　　 　　三、做好网络应用服务的发布，便利学校对内对外的教育教学使用 　　 　　目前，很多学校在网络上建立了Z(俗称非军事化隔离区，DMZ是 　　个位于内网和外网之间的特殊区域，一般用于放置对外开放的服务器)区。由于我校内网与DMZ区的网络天见则是路由关系，内网访问这些服务则通过在TMG