計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)開放性實(shí)驗(yàn)室建設(shè)與實(shí)踐研究

劉開茗，王文莉，王 海

(鄭州鐵路職業(yè)技術(shù)學(xué)院，河南 鄭州 450052)

一、計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)實(shí)驗(yàn)室現(xiàn)狀

我校計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)已經(jīng)先后建成了協(xié)議分析實(shí)訓(xùn)室、網(wǎng)絡(luò)工程實(shí)訓(xùn)室和網(wǎng)絡(luò)攻防實(shí)訓(xùn)室等三個(gè)專業(yè)實(shí)驗(yàn)室。每個(gè)實(shí)驗(yàn)室可獨(dú)立完成交換路由、服務(wù)器配置、信息安全配置等實(shí)驗(yàn)。隨著學(xué)生數(shù)量的日益增加，三個(gè)實(shí)驗(yàn)室在使用過程中出現(xiàn)了一些問題。首先，隨著計(jì)算機(jī)網(wǎng)絡(luò)類教學(xué)任務(wù)的增加，實(shí)驗(yàn)室使用率趨于飽和，出現(xiàn)了多個(gè)班級(jí)爭(zhēng)用同一個(gè)實(shí)驗(yàn)室的情況。其次，實(shí)驗(yàn)室各自獨(dú)立的功能不能滿足某些綜合課程同時(shí)使用三個(gè)實(shí)驗(yàn)室設(shè)備的需要。再次，課堂有限的實(shí)驗(yàn)時(shí)間不能滿足學(xué)生課后實(shí)踐的需求。最后，單一的實(shí)驗(yàn)室管理模式不能滿足教師在上班時(shí)間之外備課和科研的實(shí)驗(yàn)需求。

面對(duì)實(shí)驗(yàn)室在使用上的困境，我們以建立網(wǎng)絡(luò)化、開放性的實(shí)驗(yàn)教學(xué)平臺(tái)和實(shí)驗(yàn)室網(wǎng)絡(luò)化、智能化管理為目標(biāo)研究開發(fā)了“計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)開放性實(shí)驗(yàn)室”的實(shí)驗(yàn)環(huán)境，從而提高實(shí)驗(yàn)室設(shè)備的使用效率，打破實(shí)驗(yàn)室在使用時(shí)間和空間上的限制，更加有效地完成實(shí)踐教學(xué)任務(wù)，也可為教師的科研和學(xué)生的自主創(chuàng)新提供良好的平臺(tái)。

二、開放性實(shí)驗(yàn)室的構(gòu)建

(一)總體設(shè)計(jì)思路

經(jīng)過對(duì)三個(gè)實(shí)驗(yàn)室和學(xué)校網(wǎng)絡(luò)環(huán)境的分析，我們認(rèn)為開放性實(shí)驗(yàn)室建設(shè)需要分為三個(gè)層面。

1.教學(xué)系部局域網(wǎng)范圍內(nèi)實(shí)驗(yàn)室的開放

所謂“教學(xué)系部局域網(wǎng)范圍內(nèi)實(shí)驗(yàn)室的開放”就是保證三個(gè)實(shí)驗(yàn)室的局域網(wǎng)相互聯(lián)通，在任何一個(gè)實(shí)驗(yàn)室內(nèi)都可以訪問其他實(shí)驗(yàn)室的資源。為此，我們首先要實(shí)現(xiàn)系部?jī)?nèi)的所有實(shí)驗(yàn)室的統(tǒng)一管理，需要完成以下幾項(xiàng)工作:

(1)實(shí)驗(yàn)室局域網(wǎng)的互聯(lián)互通;

(2)為了保證網(wǎng)絡(luò)安全，防止ARP 廣播泛濫等問題，實(shí)現(xiàn)各個(gè)實(shí)驗(yàn)室網(wǎng)絡(luò)的二層數(shù)據(jù)隔離;

(3)所有實(shí)驗(yàn)室的數(shù)據(jù)匯聚至實(shí)驗(yàn)室管理員辦公室，并統(tǒng)一由實(shí)驗(yàn)室管理服務(wù)器管理;

(4)設(shè)置防火墻，保證實(shí)驗(yàn)室內(nèi)網(wǎng)與服務(wù)器的安全。

2.校園網(wǎng)范圍內(nèi)實(shí)驗(yàn)室的開放

“校園網(wǎng)范圍內(nèi)實(shí)驗(yàn)室的開放”就是讓校園網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī)，都可以訪問實(shí)驗(yàn)室的設(shè)備資源。在實(shí)現(xiàn)實(shí)驗(yàn)室網(wǎng)絡(luò)的統(tǒng)一管理后，我們要進(jìn)一步實(shí)現(xiàn)校園網(wǎng)與教學(xué)系部實(shí)驗(yàn)室的互聯(lián)互通，需要完成以下工作:

(1)教學(xué)系部實(shí)驗(yàn)室通過一根千兆網(wǎng)線連接至校園網(wǎng)匯聚層交換機(jī)，實(shí)現(xiàn)與校園網(wǎng)的互通，同時(shí)通過校園網(wǎng)連接Internet;

(2)學(xué)校網(wǎng)絡(luò)管理中心為教學(xué)系部實(shí)驗(yàn)室設(shè)置VLAN 與路由信息。

3.面向公共網(wǎng)絡(luò)實(shí)驗(yàn)室的開放

“面向公共網(wǎng)絡(luò)實(shí)驗(yàn)室的開放”就是通過Internet，讓老師和學(xué)生在公共網(wǎng)絡(luò)也可以訪問實(shí)驗(yàn)室的設(shè)備資源，需要完成以下兩項(xiàng)工作:

(1)通過在防火墻上設(shè)置SSLVPN，實(shí)現(xiàn)合法用戶可以在公共網(wǎng)絡(luò)上訪問校園實(shí)驗(yàn)室網(wǎng)絡(luò);

(2)在防火墻上配置安全策略，盡可能過濾掉非法訪問和惡意攻擊。

(二)網(wǎng)絡(luò)拓?fù)?/h3>

基于上述思路，我們?cè)O(shè)計(jì)了網(wǎng)絡(luò)拓?fù)鋱D(如圖1所示)。

圖1 網(wǎng)絡(luò)拓?fù)?/p>

(三)使用效果測(cè)試

1.網(wǎng)絡(luò)互通

由于校園網(wǎng)安全策略的限制，目前還無(wú)法從校園網(wǎng)其他位置和Internet 上訪問實(shí)驗(yàn)室網(wǎng)絡(luò)，但是在三個(gè)實(shí)驗(yàn)室之間網(wǎng)絡(luò)的互聯(lián)互通已經(jīng)實(shí)現(xiàn)。

2.實(shí)驗(yàn)室資源的訪問

據(jù)統(tǒng)計(jì)，目前使用率最高的實(shí)驗(yàn)室是網(wǎng)絡(luò)攻防實(shí)訓(xùn)室。該實(shí)驗(yàn)室的實(shí)驗(yàn)設(shè)備全部通過RG-LIMP服務(wù)器進(jìn)行管理，老師可以通過RG-LIMP 服務(wù)器遠(yuǎn)程為學(xué)生分配實(shí)驗(yàn)，監(jiān)控學(xué)生的實(shí)驗(yàn)情況，檢查學(xué)生的實(shí)驗(yàn)結(jié)果。

3.實(shí)驗(yàn)室使用管理

實(shí)驗(yàn)室網(wǎng)絡(luò)的開放并不意味著放手不管，相反，我們應(yīng)該使用更多的管理手段，使實(shí)驗(yàn)室網(wǎng)絡(luò)的開放更加安全、有序、可控。目前我院實(shí)驗(yàn)室使用的管理軟件是噢易BOSS 系統(tǒng)管理平臺(tái)，通過將該系統(tǒng)的運(yùn)行服務(wù)器連接在防火墻上，我們可以管理學(xué)生對(duì)實(shí)驗(yàn)室資源的使用，監(jiān)控學(xué)生對(duì)設(shè)備的使用行為，控制學(xué)生對(duì)設(shè)備的使用時(shí)間。

(四)安全保障

作為開放性實(shí)驗(yàn)室，網(wǎng)絡(luò)安全問題不容忽視。雖然我們目前還無(wú)法從校園網(wǎng)其他位置和Internet上訪問實(shí)驗(yàn)室內(nèi)部的網(wǎng)絡(luò)，但是網(wǎng)絡(luò)安全策略已經(jīng)部署完備，待時(shí)機(jī)成熟，實(shí)驗(yàn)室網(wǎng)絡(luò)與校園網(wǎng)連通時(shí)，即可投入使用。我們的安全措施主要有以下幾方面。

1.三層交換機(jī)的配置

(1)劃分VLAN，防止ARP 廣播泛濫等問題，實(shí)現(xiàn)各個(gè)實(shí)驗(yàn)室網(wǎng)絡(luò)間的二層數(shù)據(jù)隔離;

(2)ACL 設(shè)置，控制可以訪問Internet 的設(shè)備數(shù)量。

2.防火墻的配置

(1)封堵無(wú)用端口，對(duì)于沖擊波及其變種病毒主要使用以下協(xié)議和端口進(jìn)行傳播。

TCP:135，136，137，138，139，445，4444，5554，9996;

UDP:135，136，137，138，139，445，4444，69，5554，9996。

因此，我們需要在防火墻上封堵上述端口，以防范針對(duì)這些端口的網(wǎng)絡(luò)攻擊。

(2)各種攻擊防護(hù)

目前常見的網(wǎng)絡(luò)攻擊還包括:DoS 和DDoS 攻擊防護(hù)、ARP 欺騙攻擊防護(hù)、SYNFlood 攻擊防護(hù)、SYNProxy 防護(hù)、UDPFlood 攻擊防護(hù)、ICMPFlood 攻擊防護(hù)、ICMP 大包攻擊防護(hù)、TearDorp 攻擊、WinNuke 攻擊防護(hù)、Land 攻擊防護(hù)、PingofDeath 攻擊防護(hù)、IP 地址欺騙攻擊防護(hù)、IP 報(bào)文分片攻擊防護(hù)、IP 地址掃描攻擊防護(hù)、端口掃描防護(hù)、Smurf 或Fraggle 攻擊防護(hù)、IP 選項(xiàng)異常攻擊防護(hù)、TCP 選項(xiàng)異常攻擊防護(hù)、DNS 查詢洪水防護(hù)等。

為此，在防火墻上還要做相應(yīng)的配置，以防范這些網(wǎng)絡(luò)攻擊。

三、開放性實(shí)驗(yàn)室建設(shè)的成效

我院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)開放性實(shí)驗(yàn)室的建設(shè)采用邊建設(shè)邊試用的方式，其中面向?qū)嶒?yàn)室局域網(wǎng)范圍的開放建設(shè)已經(jīng)完成。經(jīng)過幾個(gè)月的試用，網(wǎng)絡(luò)性能穩(wěn)定、速度優(yōu)良，取得了很好的使用效果。

(一)解決了實(shí)驗(yàn)室資源緊張的問題

開放性實(shí)驗(yàn)室的建成，在一定程度上解決了多個(gè)班級(jí)爭(zhēng)用實(shí)驗(yàn)室資源的問題。以網(wǎng)絡(luò)攻防實(shí)訓(xùn)室為例，目前使用該實(shí)訓(xùn)室進(jìn)行實(shí)驗(yàn)的班級(jí)有三個(gè)。由于教學(xué)安排上的原因，不可能滿足每個(gè)班級(jí)每次課對(duì)實(shí)驗(yàn)室的要求。有了開放性實(shí)驗(yàn)室，學(xué)生即使不在網(wǎng)絡(luò)攻防實(shí)訓(xùn)室上課，只要該實(shí)驗(yàn)室的設(shè)備沒有被使用(某些情況下在該實(shí)驗(yàn)室上課的班級(jí)并不一定使用該實(shí)驗(yàn)室的全部設(shè)備)，就可以通過我們的開放性實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境遠(yuǎn)程使用該實(shí)驗(yàn)室的設(shè)備資源，從而進(jìn)一步提高了實(shí)驗(yàn)室資源的使用效率，也提高了老師的教學(xué)質(zhì)量。

(二)增加了學(xué)生課余實(shí)踐的機(jī)會(huì)

開放性實(shí)驗(yàn)室的建成，為學(xué)生增加了更多的實(shí)踐機(jī)會(huì)。學(xué)生在課余時(shí)間需要做實(shí)驗(yàn)，不必非要等該實(shí)驗(yàn)室空閑，只要該實(shí)驗(yàn)室的設(shè)備沒有被占用，就可以在其他任何一個(gè)實(shí)驗(yàn)室內(nèi)利用網(wǎng)絡(luò)遠(yuǎn)程登錄到所需要的實(shí)驗(yàn)室設(shè)備上進(jìn)行實(shí)驗(yàn)。因此，學(xué)生在課余時(shí)間的實(shí)踐機(jī)會(huì)會(huì)更多，大大提高了學(xué)生的動(dòng)手實(shí)踐能力。這對(duì)于開展學(xué)生社團(tuán)和興趣小組活動(dòng)非常有幫助。計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)自2014 年年初便成立了“網(wǎng)絡(luò)與信息安全興趣小組”，使用開放性實(shí)驗(yàn)室環(huán)境，開展了各種豐富多彩的實(shí)驗(yàn)活動(dòng)。開放性實(shí)驗(yàn)室給學(xué)生提供了一個(gè)自主學(xué)習(xí)的寬松環(huán)境，學(xué)生能夠充分挖掘自身潛能，最大限度地發(fā)揮自身智慧和特長(zhǎng)，不斷提高實(shí)踐能力。

(三)為教師提供了寬松的備課和科研環(huán)境

開放性實(shí)驗(yàn)室的建成，為任課教師提供了寬松的備課和科研環(huán)境。此前，任課教師要想使用實(shí)驗(yàn)室設(shè)備進(jìn)行備課和科研，必須要等該實(shí)驗(yàn)室空閑。而實(shí)驗(yàn)室的空閑時(shí)間很少，教師的工作受到了很大的影響。如今，教師可以在任意時(shí)間任意實(shí)驗(yàn)室使用三個(gè)實(shí)驗(yàn)室中的任意設(shè)備資源。如果需要同時(shí)使用三個(gè)實(shí)驗(yàn)室的設(shè)備，也可以通過網(wǎng)絡(luò)隨意訪問。開放性實(shí)驗(yàn)室環(huán)境使得老師的備課和科研環(huán)境更加寬松和自由。

四、存在的不足和改進(jìn)措施

(一)存在的不足

1.未能實(shí)現(xiàn)教學(xué)系部局域網(wǎng)外的開放

由于學(xué)校網(wǎng)絡(luò)管理中心對(duì)校園網(wǎng)的管理安全策略限制，至今我們還不能實(shí)現(xiàn)校園網(wǎng)內(nèi)以及通過Internet 對(duì)系部?jī)?nèi)局域網(wǎng)的訪問。

2.實(shí)驗(yàn)室的資源管理有待加強(qiáng)

現(xiàn)在三個(gè)實(shí)驗(yàn)室中除了網(wǎng)絡(luò)攻防實(shí)訓(xùn)室具有管理服務(wù)器之外，其他兩個(gè)實(shí)驗(yàn)室均沒有管理服務(wù)器，學(xué)生若要使用實(shí)驗(yàn)室的資源，必須直接登錄連接到相應(yīng)設(shè)備上，這對(duì)于設(shè)備的安全是一大隱患。

3.學(xué)生預(yù)約上機(jī)實(shí)驗(yàn)功能有待進(jìn)一步開發(fā)

學(xué)生若想在課余時(shí)間使用實(shí)驗(yàn)室，需要以班級(jí)為單位，到實(shí)驗(yàn)室管理員處登記預(yù)約，其步驟繁瑣，學(xué)生也不太容易隨時(shí)了解實(shí)驗(yàn)室的空閑情況。如果能夠通過網(wǎng)絡(luò)預(yù)約登記實(shí)驗(yàn)室，將會(huì)大大減少實(shí)驗(yàn)室管理員的工作量，也能夠提高預(yù)約登記的效率，達(dá)到更好的效果。

(二)改進(jìn)措施

針對(duì)開放性實(shí)驗(yàn)室建設(shè)中的不足之處，我們制定了如下的改進(jìn)措施。

1.盡快全面開放網(wǎng)絡(luò)專業(yè)各實(shí)驗(yàn)室

通過與學(xué)校網(wǎng)絡(luò)管理中心協(xié)商，盡快制定更加安全、高效、可靠的網(wǎng)絡(luò)訪問策略，以保證在校園網(wǎng)范圍內(nèi)以及面向公共網(wǎng)絡(luò)的實(shí)驗(yàn)室開放的順利進(jìn)行。

2.配置實(shí)驗(yàn)室管理服務(wù)器

在協(xié)議分析實(shí)訓(xùn)室和網(wǎng)絡(luò)工程實(shí)訓(xùn)室中也配置相應(yīng)的管理服務(wù)器，并與廠商合作開發(fā)相應(yīng)的實(shí)驗(yàn)室管理軟件，以達(dá)到對(duì)實(shí)驗(yàn)室資源統(tǒng)一管理、統(tǒng)一分配的目的。

3.開發(fā)“開放性實(shí)驗(yàn)室網(wǎng)絡(luò)化管理系統(tǒng)”軟件

下一步我們的工作重點(diǎn)是開發(fā)一套“開放性實(shí)驗(yàn)室網(wǎng)絡(luò)化管理系統(tǒng)”的軟件，根據(jù)信息化、網(wǎng)絡(luò)化和智能化管理的思想，結(jié)合開放性實(shí)驗(yàn)室管理的特點(diǎn)和實(shí)際情況，充分利用校園網(wǎng)和Internet 網(wǎng)絡(luò)環(huán)境進(jìn)行構(gòu)建，以達(dá)到開放式教學(xué)和開放式管理的目標(biāo)。該系統(tǒng)的構(gòu)建將有利于實(shí)驗(yàn)室管理員對(duì)實(shí)驗(yàn)教學(xué)資源的統(tǒng)籌安排和調(diào)配，最大限度地實(shí)現(xiàn)優(yōu)質(zhì)資源的共享。

五、結(jié)論

開放性實(shí)驗(yàn)室的環(huán)境在我院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)實(shí)驗(yàn)室投入使用后取得了良好的效果。該系統(tǒng)的運(yùn)行實(shí)現(xiàn)了實(shí)驗(yàn)室管理的信息化、網(wǎng)絡(luò)化和智能化，使實(shí)驗(yàn)教學(xué)和管理趨于人性化，有效地解決了優(yōu)質(zhì)實(shí)驗(yàn)室資源難于共享、師生課后實(shí)驗(yàn)平臺(tái)缺乏等問題，也為學(xué)校對(duì)實(shí)驗(yàn)教學(xué)質(zhì)量的評(píng)估和對(duì)實(shí)驗(yàn)室建設(shè)的投入提供了可靠的依據(jù)，同時(shí)還為我院其他專業(yè)實(shí)驗(yàn)室的開放性改革提供了借鑒。

［1］李寶棟.以職業(yè)能力為主線構(gòu)建開放性實(shí)驗(yàn)室的實(shí)踐研究［J］.山東醫(yī)學(xué)高等?？茖W(xué)校學(xué)報(bào)，2014，36(1):60-62.

［2］王玉芹.普通高校計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室的規(guī)劃與設(shè)計(jì)［J］.科技與企業(yè)，2013(23):180.

［3］王丹.高校計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)室的建設(shè)［J］.科技傳播，2014(17):209.

［4］耿新，陳心浩，姜臣林.開放性實(shí)驗(yàn)室建設(shè)的實(shí)踐與探索［J］.實(shí)驗(yàn)室研究與探索，2011，30(12):150-152.

［5］張波，貫會(huì)明.開放性實(shí)驗(yàn)在實(shí)驗(yàn)教學(xué)體系構(gòu)建中的作用［J］.實(shí)驗(yàn)室研究與探索，2010，29(9):135-137.