校園網(wǎng)中計(jì)算機(jī)上網(wǎng)行為管理與實(shí)現(xiàn)

劉廈

（鞍山師范學(xué)院 高等職業(yè)技術(shù)學(xué)院 遼寧鞍山 114016）

校園網(wǎng)中計(jì)算機(jī)上網(wǎng)行為管理與實(shí)現(xiàn)

劉廈

（鞍山師范學(xué)院 高等職業(yè)技術(shù)學(xué)院 遼寧鞍山 114016）

本文給出了一種通過將校園網(wǎng)網(wǎng)絡(luò)設(shè)備、Windows服務(wù)器系統(tǒng)與ZoneAlarm防火墻軟件協(xié)同來完成并解決上網(wǎng)行為管理控制的解決方案。

網(wǎng)絡(luò)設(shè)備 上網(wǎng)控制 Windows server ZoneAlarm

校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)。在校園網(wǎng)中有無數(shù)的交換機(jī)、路由器、防火墻以及PC機(jī)和服務(wù)器等設(shè)備，這些設(shè)備為教學(xué)科研提供了的基礎(chǔ)環(huán)境。針對教學(xué)，要為各教學(xué)單位提供互聯(lián)網(wǎng)絡(luò)接入、局域網(wǎng)互通和網(wǎng)絡(luò)區(qū)域劃分等功能，如計(jì)算機(jī)樓中的每個(gè)計(jì)算機(jī)實(shí)驗(yàn)室，教學(xué)樓中的多媒體教室、語音室、辦公區(qū)域中的各辦公室以及無線網(wǎng)絡(luò)的接入等等。

在實(shí)際應(yīng)用環(huán)境中，針對網(wǎng)絡(luò)的使用會有很多不同的需求，計(jì)算機(jī)中心會有很多個(gè)計(jì)算機(jī)機(jī)房供教學(xué)與實(shí)驗(yàn)，每個(gè)機(jī)房內(nèi)的幾十至上百臺計(jì)算機(jī)需要互相可以訪問，即局域網(wǎng)互通的功能。同時(shí)各機(jī)房之間為了互不影響則需要互相不通，而這些機(jī)房又需要都可以去訪問一些公共資源，如教務(wù)系統(tǒng)、考試系統(tǒng)、校園網(wǎng)網(wǎng)站等等。針對需求，各計(jì)算機(jī)實(shí)驗(yàn)室、多媒體、語音室以及其它帶有網(wǎng)絡(luò)接入功能的場所，均需要對網(wǎng)絡(luò)的接入進(jìn)行控制，或手動(dòng)或自動(dòng)去控制這些教室去訪問互聯(lián)網(wǎng)。

校園網(wǎng)中，當(dāng)網(wǎng)絡(luò)通訊模式固定下來后，有些訪問是不需要控制的，有些訪問是需要頻繁進(jìn)行控制的，如校園內(nèi)部的公共資源，無論是教學(xué)用的機(jī)房還是辦公室的辦公機(jī)都可以直接訪問不受控制，而教學(xué)區(qū)域中的多媒體教室、語音室以及使用最多的計(jì)算機(jī)實(shí)驗(yàn)室，在上課的期間就需要根據(jù)教學(xué)的需要和任課教師的需求針對不同的房間進(jìn)行頻繁的切換網(wǎng)絡(luò)訪問狀態(tài)，以實(shí)現(xiàn)控制訪問的目的。針對管理人員，這個(gè)行為管理一直是工作的內(nèi)容之一，這里就需要在不中斷內(nèi)部訪問的前提下，能夠獨(dú)立的控制每個(gè)需要控制的機(jī)房或計(jì)算機(jī)去訪問互聯(lián)網(wǎng)。那么如何控制，怎樣去實(shí)現(xiàn)控制就是我們要研究的重點(diǎn)了，這個(gè)控制的實(shí)現(xiàn)將大大減少平時(shí)各區(qū)域網(wǎng)絡(luò)管理人員的工作量，下面就筆者本人工作中的實(shí)際應(yīng)用來簡單闡述一下在校園網(wǎng)絡(luò)環(huán)境下如何來實(shí)現(xiàn)這樣的網(wǎng)絡(luò)控制與管理。

首先要說明一下網(wǎng)絡(luò)的構(gòu)成，高校的教學(xué)區(qū)域多，分布在園區(qū)不同的教學(xué)樓內(nèi)，也就是分布在校園網(wǎng)中不同的位置。網(wǎng)絡(luò)中心的主干處一般是利用光纖進(jìn)行長距離的連接，連接到園區(qū)內(nèi)不同的樓內(nèi)，然后在每個(gè)樓內(nèi)再有一個(gè)匯聚交換機(jī)，再下連到各個(gè)辦公室和教室。網(wǎng)絡(luò)中心主干處一般至少會有一臺核心三層交換機(jī)以及路由器防火墻等硬件設(shè)備以接入ISP（互聯(lián)網(wǎng)服務(wù)商）。為了實(shí)現(xiàn)不同區(qū)域網(wǎng)絡(luò)控制，我們需要在各樓的交換機(jī)上設(shè)置VLAN，將所有的教學(xué)資源區(qū)域的計(jì)算機(jī)或是上網(wǎng)終端按功能分配到指定VLAN，可以是一個(gè)，也可以是多個(gè)！比如，所有樓內(nèi)的多媒體類教室劃分VLAN2，所有樓內(nèi)的計(jì)算機(jī)實(shí)驗(yàn)室按照機(jī)房劃分為 VLAN11～VLAN20，不同的VLAN對應(yīng)不同的教室這樣便于后期的管理與控制還有故障的排查，即縮減了廣播風(fēng)暴的產(chǎn)生范圍也讓網(wǎng)絡(luò)利用率更高更好管理。

上面的硬件環(huán)境規(guī)劃好了以后，就是著手如何進(jìn)行網(wǎng)絡(luò)行為的控制了，即什么時(shí)間讓什么網(wǎng)絡(luò)區(qū)域上網(wǎng)或禁止其上網(wǎng)。為了實(shí)現(xiàn)控制的目的，筆者針對校園網(wǎng)到互聯(lián)網(wǎng)的工作模式，在實(shí)際應(yīng)用中采用軟硬件結(jié)合的方式來著手進(jìn)行控制。首先是硬件，大家都知道，標(biāo)準(zhǔn)的一個(gè)園區(qū)網(wǎng)絡(luò)所有上網(wǎng)區(qū)域均會接入到核心路由器，核心路由器會將所有請求進(jìn)行地址轉(zhuǎn)換（NAT），然后通過防火墻的規(guī)則過濾訪問到互聯(lián)網(wǎng)，雖然主干網(wǎng)絡(luò)中的路由器與防火墻，都有簡單的網(wǎng)絡(luò)控制的功能ACL，但它在管理上不夠靈活，如果讓它來分擔(dān)園區(qū)內(nèi)細(xì)小的每個(gè)計(jì)算機(jī)的上網(wǎng)行為的控制，在管理與設(shè)置上的工作量就要增大很多，而且專業(yè)的網(wǎng)絡(luò)設(shè)備都是命令行狀態(tài)下來執(zhí)行管理，頻繁的按需求來更改核心設(shè)備的策略對整個(gè)園區(qū)的網(wǎng)絡(luò)穩(wěn)定性有非常高的風(fēng)險(xiǎn)，也是非常的不方便的，所以不建意也不能這樣去做。這里我們需要做一個(gè)小小的改動(dòng)，就是把那些需要控制的區(qū)域即之前分配的各VLAN進(jìn)行統(tǒng)一轉(zhuǎn)發(fā)到另一臺計(jì)算機(jī)上去，即改變核心路由器中的路由表，將需要控制管理區(qū)域各VLAN的IP段，進(jìn)行目標(biāo)址轉(zhuǎn)發(fā)（這里的目標(biāo)地址按地址走向?qū)嶋H是內(nèi)部網(wǎng)絡(luò)的IP地址），將從互聯(lián)網(wǎng)回傳到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行判斷，將目標(biāo)地址符合控制區(qū)域的訪問包做一個(gè)規(guī)則，所有符合規(guī)則的數(shù)據(jù)包均轉(zhuǎn)發(fā)到一臺WINDOWS SERVER 的服務(wù)器上去，這個(gè)操作在管理上日后也只是在校園網(wǎng)中增加新的上網(wǎng)區(qū)域時(shí)才需改變。

這里使用Windows Server 2003來進(jìn)行配置處理由核心路由器轉(zhuǎn)發(fā)過來的需要進(jìn)行控制的數(shù)據(jù)包，在Windows Server 2003上開啟系統(tǒng)自帶的路由功能。因?yàn)橹皇怯脕碜钄嗑W(wǎng)絡(luò)的路由，所以不需要開啟NAT功能。

通過上面的一系列的設(shè)置，服務(wù)器得到的數(shù)據(jù)包都是要控制區(qū)域的計(jì)算機(jī)在訪問互聯(lián)網(wǎng)行為成功后被轉(zhuǎn)發(fā)到服務(wù)器上的，我們在數(shù)據(jù)包到達(dá)最終目標(biāo)計(jì)算機(jī)之前用服務(wù)器來阻斷它的通訊，以實(shí)現(xiàn)控制目的。

Windows Server系統(tǒng)本身的控制功能很弱，所以我們是通過在Windows Server 2003系統(tǒng)上安裝 ZoneAlarm 防火墻軟件來實(shí)現(xiàn)的，這款軟件功能很全面，可以滿足各種需求，可以進(jìn)行時(shí)間、單個(gè)IP、一組IP、MAC綁定的各種組合來進(jìn)行控制。在ZoneAlarm軟件中按控制單元加入多條控制規(guī)則，這個(gè)軟件從前向后挨個(gè)過濾數(shù)據(jù)包，只要遇到符合規(guī)則的條目，即按照該條目規(guī)則設(shè)置的允許或禁止來執(zhí)行，然后停止規(guī)則過濾（即不考慮后面的規(guī)則有無符合的條目），如需加入自動(dòng)時(shí)間控制也可以在設(shè)置規(guī)則時(shí)加入時(shí)間范圍。（本文僅針對它能實(shí)現(xiàn)的功能做以描述，不討論ZoneAlarm軟件的詳細(xì)設(shè)置。）

通過一系列的系統(tǒng)設(shè)置，這樣一個(gè)控制網(wǎng)絡(luò)行為的控制器就完成了，如果這臺服務(wù)器在網(wǎng)絡(luò)中心，管理單位可以通過遠(yuǎn)程桌面的方式來進(jìn)行遠(yuǎn)程控制整個(gè)網(wǎng)絡(luò)，在日常管理上，是一個(gè)非常行之有效的網(wǎng)絡(luò)解決方案。

［1］張國清 《網(wǎng)絡(luò)設(shè)備配置與調(diào)試項(xiàng)目實(shí)訓(xùn)》 電子工業(yè)出版社2009.2

［2］劉永華 《Windows Server 2003 實(shí)用技術(shù)》 科學(xué)出版社 2007.1

劉廈（1978-10），本科，理學(xué)學(xué)士學(xué)位，實(shí)驗(yàn)師，鞍山師范學(xué)院高等職業(yè)技術(shù)學(xué)院。