基于B/S的機房自助網(wǎng)絡(luò)控制系統(tǒng)的研究*

樂寧莉，游貴榮，陳杰

(福建商學院 信息網(wǎng)絡(luò)中心,福建 福州 350012)

?

基于B/S的機房自助網(wǎng)絡(luò)控制系統(tǒng)的研究*

樂寧莉，游貴榮，陳杰

(福建商學院 信息網(wǎng)絡(luò)中心,福建 福州 350012)

分析了高校授課機房中網(wǎng)絡(luò)訪問控制存在的問題，提出一種將機房網(wǎng)絡(luò)控制權(quán)限下放給教師的管理思路，設(shè)計并實現(xiàn)了基于B/S模式的教師自助開關(guān)機房內(nèi)外網(wǎng)的解決方案，強化教師對課堂的組織管理，減輕網(wǎng)絡(luò)管理員的工作負擔，在實際使用中取得了良好的效果。

網(wǎng)絡(luò)控制；ACL；SecureCRT

隨著計算機和網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)已成為學生獲取信息的重要手段，特別是高?；诨ヂ?lián)網(wǎng)的實訓(xùn)課，教師需要訪問互聯(lián)網(wǎng)進行實訓(xùn)教學，同時又希望能在機房中實現(xiàn)上網(wǎng)行為的靈活控制，避免學生在授課過程中訪問與課程無關(guān)的網(wǎng)站，做到維護教學秩序同時又保證教學質(zhì)量[1-3]。為解決這一問題，各學校嘗試使用不同方法來解決機房網(wǎng)絡(luò)的訪問控制。目前高校常用的網(wǎng)絡(luò)訪問控制有以下4種解決方案。

(1)物理網(wǎng)絡(luò)隔離法,即手動插拔機房交換機上聯(lián)接口的網(wǎng)線，實現(xiàn)機房局域網(wǎng)與匯聚交換機連接的物理隔離。此法優(yōu)點是教師操作簡單，缺點是經(jīng)常插拔操作，交換機接口容易損壞，且上聯(lián)接口斷開后，導(dǎo)致除本機房外的所有網(wǎng)絡(luò)不能訪問，無法滿足網(wǎng)絡(luò)精細化控制需求。

(2)交換機ACL(Access Control List，訪問控制列表)訪問控制法[4]，即通過ACL來控制網(wǎng)絡(luò)數(shù)據(jù)流走向。此法優(yōu)點是網(wǎng)絡(luò)控制效果好，學生客戶端無法繞過控制策略，也能精確控制內(nèi)部網(wǎng)絡(luò)的互訪行為。缺點是非網(wǎng)絡(luò)專業(yè)教師不易掌握交換機配置方法，故只適合網(wǎng)絡(luò)管理員進行操作，增加了網(wǎng)管的工作量。

(3)多媒體教學管理軟件控制法[5]，即使用極域電子教室、紅蜘蛛電子教室等軟件，編輯一個網(wǎng)址白名單，達到控制網(wǎng)絡(luò)訪問的目的。此法優(yōu)點是教師操作相對簡單，精細化控制效果較好。缺點是若客戶端禁止加入管理組，則網(wǎng)絡(luò)訪問控制會失效。

(4)上網(wǎng)行為管理系統(tǒng)控制法[5]，即使用上網(wǎng)行為管理系統(tǒng)軟件，如深信服、Panabit等，達到控制網(wǎng)絡(luò)訪問的目的。其優(yōu)點是具有強大的控制和分析功能，對P2P協(xié)議和下載進行較好的限制。缺點是網(wǎng)絡(luò)控制不完善，價格高昂，教師操作復(fù)雜。同多媒體教學管理軟件控制法比較，都是商業(yè)軟件，上網(wǎng)行為管理系統(tǒng)控制法部署在網(wǎng)絡(luò)出口，雖避免了機房內(nèi)部用戶繞過控制策略，但仍無法精確控制內(nèi)部網(wǎng)絡(luò)互訪行為。

以上解決方案多數(shù)偏重管理員操作，無法解決教師對網(wǎng)絡(luò)控制行為的時間和頻率精細化需求，及實現(xiàn)教師自助控制機房網(wǎng)絡(luò)的需求。如何在現(xiàn)有的條件下，高效便捷地實現(xiàn)教師對機房上網(wǎng)行為的精細化控制，就成了高校網(wǎng)絡(luò)機房管理亟待解決的問題。

1　機房網(wǎng)絡(luò)控制系統(tǒng)的需求分析

筆者所在高?，F(xiàn)有的網(wǎng)絡(luò)架構(gòu)模式是三層架構(gòu)(接入層、匯聚層、核心層)，所有交換設(shè)備均為可網(wǎng)管型，支持遠程管理協(xié)議telnet，支持CLI(command-line interface，命令行界面)模式下的ACL配置。目前，機房網(wǎng)絡(luò)控制主要是采用交換ACL訪問控制解決方案，由管理員手動控制機房聯(lián)網(wǎng)狀態(tài)。

參考眾多院校的網(wǎng)絡(luò)控制需求，調(diào)整管理思路，將網(wǎng)絡(luò)管理權(quán)限下放給教師，具體有以下幾點需求。

(1)具有友好的圖形用戶界面，教師不需要專門的網(wǎng)絡(luò)專業(yè)知識即可對網(wǎng)絡(luò)進行控制；

(2)可以查看每個機房當前的網(wǎng)絡(luò)狀態(tài)，允許教師或管理員在任意時間段進行上網(wǎng)行為控制；

(3)在非授課時間，機房的全部交換機能自動統(tǒng)一切換為內(nèi)網(wǎng)狀態(tài)；

(4)防止非法用戶濫用網(wǎng)絡(luò)控制系統(tǒng)，使用系統(tǒng)需進行身份驗證，保證網(wǎng)絡(luò)安全。

2　網(wǎng)絡(luò)控制系統(tǒng)的設(shè)計思路和關(guān)鍵技術(shù)

2.1機房網(wǎng)絡(luò)控制系統(tǒng)的設(shè)計思路

圖1機房自助網(wǎng)絡(luò)控制系統(tǒng)流程

一般學校為了在局域網(wǎng)內(nèi)隔離廣播風暴并實現(xiàn)機房互聯(lián)，會給每個機房規(guī)劃一個VLAN(Virtual Local Area Network，虛擬局域網(wǎng))并分配不同的IP地址段，將各機房的上聯(lián)口接入?yún)R聚交換機，在匯聚交換機上設(shè)置各機房的網(wǎng)關(guān)地址，匯聚交換機之間通過路由通信?？刂茩C房網(wǎng)絡(luò)的聯(lián)網(wǎng)狀態(tài)，其實就是控制機房對應(yīng)匯聚交換機接口所采用訪問策略。若能通過瀏覽器來實現(xiàn)控制交換機端口所采用訪問策略，就能給教師提供一個簡單、便捷的網(wǎng)絡(luò)自助控制解決方案。有管理員通過編程方式實現(xiàn)交換機的控制[6]，但開發(fā)復(fù)雜。文章提出采用腳本調(diào)用方式，控制交換機端口的ACL策略，很大程度上降低了系統(tǒng)后臺的開發(fā)難度。

機房網(wǎng)絡(luò)控制系統(tǒng)流程如圖1所示。用戶通過身份驗證后，根據(jù)用戶終端的IP地址，查找用戶所在機房網(wǎng)關(guān)IP地址，依據(jù)網(wǎng)關(guān)IP地址可定位用戶所在的機房，并推送能對該機房進行網(wǎng)絡(luò)控制的界面，同時顯示該機房當前網(wǎng)絡(luò)狀態(tài)。服務(wù)器后臺依據(jù)用戶的實際操作調(diào)用相應(yīng)腳本，實現(xiàn)不同的網(wǎng)絡(luò)控制策略。

2.2網(wǎng)絡(luò)控制系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)

1)使用ACL控制交換機接口策略。ACL是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包是一種控制訪問的網(wǎng)絡(luò)手段。運用ACL能夠?qū)崿F(xiàn)對特定網(wǎng)段、時間的網(wǎng)絡(luò)開關(guān)控制，以及某些應(yīng)用程序端口的控制策略等。

2)使用SecureCRT執(zhí)行腳本遠程控制交換機。能實現(xiàn)交換機遠程控制的工具軟件有很多，如SecureCRT、Putty、OpenSSH等。SecureCRT終端仿真程序支持SSH(SSH1和SSH2)、Telnet和rlogin協(xié)議。同其他遠程連接軟件相比，SecureCRT支持VBScript 和JScript 腳本語言，可以把重復(fù)性的操作編制為腳本文件，特別是它的crt.Screen.WaitForString腳本命令可以適應(yīng)不同交換機的通訊延時；另外，可以記錄日志，能將設(shè)備的操作命令輸出并保存在日志文件中[7]。本方案采用SecureCRT作為遠程控制交換機的工具軟件。

3)使用操作系統(tǒng)的任務(wù)計劃實現(xiàn)定期切換機房網(wǎng)絡(luò)模式。操作系統(tǒng)的任務(wù)計劃，可將腳本、程序或文檔安排在某個時間運行，實現(xiàn)用戶的某些特定需求。利用任務(wù)計劃，設(shè)置適當?shù)臅r間執(zhí)行批處理程序腳本，調(diào)用所有機房執(zhí)行內(nèi)網(wǎng)ACL策略的腳本，實現(xiàn)系統(tǒng)在非授課時間自動將機房網(wǎng)絡(luò)模式切換為校內(nèi)局域網(wǎng)。

3　系統(tǒng)的具體實現(xiàn)與應(yīng)用情況

為了方便教師使用系統(tǒng)，將網(wǎng)絡(luò)自助控制系統(tǒng)設(shè)計為B/S架構(gòu)。由于要使用批處理程序和SecureCRT工具，操作系統(tǒng)選用Windows服務(wù)器版本,并將在系統(tǒng)上部署集成的Web服務(wù)器環(huán)境用于搭建開源的內(nèi)容管理框架，以實現(xiàn)網(wǎng)絡(luò)自助控制系統(tǒng)。自助系統(tǒng)服務(wù)器放置在信息網(wǎng)絡(luò)中心機房內(nèi)，可在校園網(wǎng)內(nèi)任意地點進行訪問，滿足管理員隨時隨地對網(wǎng)絡(luò)規(guī)則進行調(diào)整的需求。系統(tǒng)的具體實現(xiàn)包括以下幾個部分。

3.1系統(tǒng)架構(gòu)

圖2機房自助網(wǎng)絡(luò)控制系統(tǒng)框架

系統(tǒng)主要由瀏覽器端、服務(wù)器端和腳本庫構(gòu)成，如圖2所示。瀏覽器端依據(jù)登錄用戶的身份顯示不同權(quán)限的登錄界面，使其更容易地實現(xiàn)操作。服務(wù)器端分模塊提供網(wǎng)絡(luò)控制系統(tǒng)的各種應(yīng)用功能，個人信息查詢、機房網(wǎng)絡(luò)狀態(tài)查詢和機房網(wǎng)絡(luò)控制開關(guān)模塊是通用的，日志管理和統(tǒng)計分析是為管理員角色開發(fā)的，管理員可使用系統(tǒng)的所有功能。腳本庫提供網(wǎng)絡(luò)自助控制系統(tǒng)調(diào)用交換設(shè)備接口，實現(xiàn)實時查詢設(shè)備日志和設(shè)備接口狀態(tài)等。

3.2匯聚交換機部署訪問控制規(guī)則

啟用兩個ACL規(guī)則，一個取名為Access-internet(表示允許訪問外網(wǎng))，設(shè)置從源端任意IP到目的端任意IP都不做任何控制。另一個取名為Access-intranet(表示只允許訪問內(nèi)網(wǎng))，控制數(shù)據(jù)包允許通過的路徑從源端任意IP到目的端為內(nèi)網(wǎng)網(wǎng)段，即報文過濾檢查規(guī)則為先放行源端地址訪問目的端地址為內(nèi)網(wǎng)網(wǎng)段的數(shù)據(jù)報文，若數(shù)據(jù)包到達的目的地址與前面設(shè)置的路徑不匹配，則執(zhí)行拒絕所有報文通過規(guī)則。

3.3配置SecureCRT的日志記錄功能

日志記錄了系統(tǒng)每天發(fā)生的各種各樣的事件，用戶可以通過設(shè)備的日志文件來檢查各種錯誤發(fā)生的原因和掌握該設(shè)備的運行狀態(tài)等，它是判斷運行設(shè)備系統(tǒng)故障原因和保證系統(tǒng)安全的關(guān)鍵。通過SecureCRT記錄交換機接口查詢的運行日志，可以獲取機房網(wǎng)絡(luò)上聯(lián)接口所在匯聚交換機接口的狀態(tài)信息，該接口信息可用來判斷當前機房的網(wǎng)絡(luò)控制狀態(tài)。設(shè)置SecureCRT的日志記錄功能為設(shè)備連接成功后，并以覆蓋的方式記錄操作命令和返回值。

3.4建立開關(guān)執(zhí)行腳本及狀態(tài)提取腳本

自助網(wǎng)絡(luò)控制系統(tǒng)通過網(wǎng)站后臺調(diào)用Windows批處理腳本，執(zhí)行SecureCRT應(yīng)用程序，并加載VBScript腳本，其中狀態(tài)提取腳本是以telnet方式遠程連接到對應(yīng)交換機，并查詢機房對應(yīng)端口的ACL策略配置情況，以%H.log(主機名)文件形式保存交換機端口查詢結(jié)果，最后打開該文件查詢開關(guān)狀態(tài)。

通過預(yù)先在交換機上設(shè)置兩個ACL策略Access-intranet和Access-internet，開關(guān)執(zhí)行腳本telnet遠程連接到對應(yīng)交換機，配置機房對應(yīng)端口ACL策略來實現(xiàn)外網(wǎng)斷開和連接。在非授課時間，系統(tǒng)啟用計劃任務(wù)斷開所有機房外網(wǎng)連接。

3.5WEB服務(wù)器端設(shè)計實現(xiàn)

WEB服務(wù)端給用戶提供一個便于操作的界面，用戶身份認證后，依據(jù)用戶訪問服務(wù)器能將自身客戶端IP地址傳遞給服務(wù)器的原理，提取用戶的IP地址，判斷出用戶所在機房網(wǎng)關(guān)地址，依據(jù)機房網(wǎng)關(guān)地址推送相應(yīng)機房控制交換機端口的控制界面和權(quán)限給用戶，用戶就能實現(xiàn)自助開關(guān)操作，調(diào)用相應(yīng)腳本。從系統(tǒng)的安全性和維護性角度考慮，只給普通教師推送所在機房對應(yīng)交換機端口的控制界面，限制教師所能控制的機房；給系統(tǒng)管理員推送所有機房的批處理腳本的控制界面，便于管理員檢測維護系統(tǒng)。最終就形成了方便教師操作的機房自助網(wǎng)絡(luò)控制系統(tǒng)。

4　結(jié)束語

文章分析了高校機房網(wǎng)絡(luò)訪問控制存在的問題，提出一種將機房網(wǎng)絡(luò)控制權(quán)限下放給教師的管理思路。通過對腳本命令的研究，提出利用批處理程序調(diào)用SecureCRT腳本命令來模擬網(wǎng)絡(luò)管理員執(zhí)行ACL策略，實現(xiàn)機房網(wǎng)絡(luò)自助控制的一種技術(shù)方案。相對于較為復(fù)雜的編程方式控制交換機，本方案具有實現(xiàn)簡單、設(shè)備兼容性強的特點；但若機房部署的交換機不具備通過CLI執(zhí)行ACL 規(guī)則功能，則不能采用該方法進行控制。網(wǎng)絡(luò)自助控制系統(tǒng)于2015年9月正式啟用，至2016年4月底，18間機房內(nèi)104位教師使用此系統(tǒng)的次數(shù)已達2 958次 ，平均每月使用370人次。系統(tǒng)的應(yīng)用，省去教師開通機房網(wǎng)絡(luò)申報審批的環(huán)節(jié)，實現(xiàn)教師自助控制機房網(wǎng)絡(luò)狀態(tài)，提高了機房網(wǎng)絡(luò)管理的效率，獲得一線教師和管理人員的一致好評，并且也為學校節(jié)約了購買軟硬件和配備管理維護人員所需的經(jīng)費開銷，具有一定的推廣價值。

[1] 柯翔敏.互聯(lián)網(wǎng)教室中的教育信息化研究[J].曲阜師范大學學報(自然科學版),2015,3(41):37-41.

[2] 張明東，戴丹丹.高校計算機教學機房的建設(shè)及其管理[J].赤峰學院學報(自然科學版),2014,9(30):18-19.

[3] 張寶瑛，李建志，李曉燕，等.教學機房網(wǎng)絡(luò)與學生課堂行為管理的研究[J].實驗技術(shù)與管理,2013,12(30):117-120.

[4] 段珊珊，韓友前，趙忠仁.高職院校機房上網(wǎng)控制系統(tǒng)設(shè)計[J].電腦編程技巧與維護,2014(2):46-48.

[5] 楊斌.基于Panabit的教學網(wǎng)絡(luò)行為控制[J].天津職業(yè)院校聯(lián)合學報,2012,8(14):66-69.

[6] 沈健.實驗室上網(wǎng)控制系統(tǒng)WebACL的設(shè)計[J].信息技術(shù),2014(1):91-97.

[7] 曹恬.基于SecureCRT的網(wǎng)絡(luò)設(shè)備配置批量備份實踐[J].運維管理,2014(5):83-84.

(責任編輯：黃容)

Research of Self-help Network Control System in Computer Labs Based on B/S Mode

LE Ningli, YOU Guirong, CHEN Jie

(Information Network Center, Fujian Commercial College, Fuzhou 350012, China)

By analyzing the network access control problems occurred in the teaching computer room at colleges, this paper proposes a kind of management ideas which delegate the computer room's network control permissions to the teachers. This paper also designs a formula about the self-help network control system in the computer labs based on B/S mode, which can enhance the classroom organization and management and reduce the burden of the network administrators. Good results have been achieved in the practical use.

Network control; ACL; Secure CRT

2016-06-08；

2016-07-14

福建省青年教師科研項目(JA15730)

樂寧莉(1980—)，女，福建南平人，碩士，實驗師，主要研究方向為網(wǎng)絡(luò)安全。

TP308

A

2095-2562(2016)04-0037-04