曹現(xiàn)慶，袁 太

(山東廣播電視大學莒縣學院，山東 莒縣 276500)

淺談網(wǎng)考機房的管理與維護

曹現(xiàn)慶，袁 太

(山東廣播電視大學莒縣學院，山東 莒縣 276500)

針對網(wǎng)絡(luò)環(huán)境下，非法用戶入侵和病毒破壞，介紹利用ghost軟件和PXE技術(shù)，通過TFTP協(xié)議進行網(wǎng)絡(luò)克隆，迅速實現(xiàn)系統(tǒng)恢復(fù)。并利用三層交換機的路由功能和VLAN劃分技術(shù)實現(xiàn)對網(wǎng)考服務(wù)器和網(wǎng)絡(luò)教室的有效隔離，解決了病毒和非法用戶入侵的問題，保障了網(wǎng)考的正常進行。

系統(tǒng)恢復(fù);TFTP;DHCP;Ghost軟件;防火墻;虛擬局域網(wǎng)

隨著中央電大基于網(wǎng)絡(luò)考試從試點到逐漸普及，電大考試也有傳統(tǒng)紙介考試向機考過渡，目前中央電大還沒有一個統(tǒng)一平臺來完成所有機考，各種考試都有自己的服務(wù)器配置和客戶端軟件要求，在今天網(wǎng)絡(luò)傳播迅速，病毒肆虐的形式下，考試系統(tǒng)隨時都有癱瘓的危險，作為一名系統(tǒng)維護人員，如何保證系統(tǒng)穩(wěn)定、安全的運行，顯得至關(guān)重要。

電大的微機室除了為學員提供日常的培訓和學習，主要用來完成每學期的機考。學員學習時通常會遇到各種各樣的情況，如學員攜帶U盤考取文件，上網(wǎng)下載資源等，各種病毒入侵不可避免，計算機軟件系統(tǒng)無意間會遭到誤刪或被病毒破壞，最令人頭痛的是一臺電腦感染病毒，所有電腦都不能幸免。而每學期的機考又對系統(tǒng)要求特別高，必須保證局域網(wǎng)暢通。所以每學期考試之前都要重新全部格式化電腦再安裝系統(tǒng)，使管理人員苦不堪言，尋找一種快捷安全的系統(tǒng)維護方法勢在必行。工作過程中我們主要解決兩個問題:一是系統(tǒng)創(chuàng)建與恢復(fù)，二是網(wǎng)絡(luò)安全。

一、系統(tǒng)恢復(fù)

目前我們通常采用的方法是建立硬盤保護或者一鍵還原。采用的技術(shù)有用硬盤保護卡、借用第三方軟件，現(xiàn)在用的比較多是Symantec提供的ghost軟件和各種還原軟件。實現(xiàn)方法是將工作站硬盤實現(xiàn)分區(qū)管理，至少分成三個區(qū)，系統(tǒng)分區(qū)，只讀分區(qū)，數(shù)據(jù)緩沖區(qū)盤。數(shù)據(jù)緩沖區(qū)只有在需要程序安裝時和作為考場時才設(shè)置為讀寫模式。這樣即使系統(tǒng)分區(qū)破壞，也可以用鏡象文件及時恢復(fù)。

(一)技術(shù)原理

1.Ghost技術(shù)

該軟件支持多種磁盤文件系統(tǒng)格式如 FAT16，F(xiàn)AT32，NTFS等，還能夠?qū)Σ恢С值姆謪^(qū)進行扇區(qū)對扇區(qū)的完全備份。Ghost系列分為兩個版本，Ghost(在DOS下面運行)和Ghost32(在windows下面運行)，兩者界面相同，實現(xiàn)的功能也差不多，區(qū)別就是:ghost不能直接在windows下進行系統(tǒng)備份和恢復(fù)，需要借助啟動盤轉(zhuǎn)到dos介面下操作，Ghost32可以在windows下運行，但不能恢復(fù)Windows操作系統(tǒng)所在的分區(qū)。

Ghost常用功能介紹，啟動ghost后在其主菜單中含有下列項目:Local:本地操作，對本地計算機上的硬盤進行操作。

·Peer to peer:通過點對點模式對網(wǎng)絡(luò)計算機上的硬盤進行操作。

·Ghost Cast:通過單播/多播或者廣播方式對網(wǎng)絡(luò)計算機上的硬盤進行操作。

·Option:使用Ghost時的一些選項，一般使用默認設(shè)置即可。

·Help:一個簡潔的幫助。

·Quit:退出Ghost。

其中Peer to peer和Ghost Cast選項只有當計算機上安裝有網(wǎng)絡(luò)協(xié)議的驅(qū)動時才可用，適用于網(wǎng)絡(luò)安裝。單機安裝時只使用Local-＞Partion對分區(qū)進行操作即可(Lo-cal-＞Partion To Image:將一個或多個分區(qū)的內(nèi)容復(fù)制到一個鏡像文件中。一般備份系統(tǒng)均選擇此操作;Local-＞Partion From Image:將鏡像文件恢復(fù)到分區(qū)中。當系統(tǒng)備份后，可選擇此操作恢復(fù)系統(tǒng))。

單機安裝比較簡單，在ghost前要注意以下幾點:1)安裝系統(tǒng)前要斷開網(wǎng)絡(luò)，安裝完畢及時安裝殺毒軟件、系統(tǒng)補丁，并進行系統(tǒng)優(yōu)化。2)加載磁盤高速緩沖程序，以提高寫盤速度。3)要在BIOS中進行硬盤參數(shù)設(shè)置，啟用UDMA模式。

傳統(tǒng)做法單機安裝，然后每臺電腦做鏡象，每次考試前都要重新還原鏡象。弊端是:隨著電腦的利用率越來越高，操作起來麻煩，其次就是一臺電腦感染病毒，要全部電腦重新單個還原。

進行網(wǎng)絡(luò)安裝時要借助PXE技術(shù)和FTFP以及DHCP兩個網(wǎng)絡(luò)協(xié)議來實現(xiàn)。

2.PXE技術(shù)［1］

Intel PXE技術(shù)是由美國Intel電腦公司開發(fā)的最新技術(shù)，其工作于客戶端/服務(wù)器的網(wǎng)絡(luò)模式，支持工作站通過網(wǎng)絡(luò)從遠端服務(wù)器下載環(huán)境映像文件，并由此支持來自網(wǎng)絡(luò)的操作系統(tǒng)的啟動過程。

3.TFTP(trivial File Transfer Protocol)［2］353:簡單文件傳輸協(xié)議是TCP/IP協(xié)議族中的第二個文件傳輸協(xié)議，能以最小的開銷進行文件傳輸，僅依賴于不可靠的，無連接的數(shù)據(jù)報文交付服務(wù)(UDP)，提供了一個短小而簡單的ftp的替代方案，由于它足夠小，可以放到ROM中，在開機時獲取一個內(nèi)存映像。ROM中的程序稱為系統(tǒng)自舉(bootstrap)。使用TFTP的優(yōu)點是允許自舉代碼執(zhí)行時使用底層TCP/IP協(xié)議與操作系統(tǒng)使用的相同。因此，一臺計算機可以從另一個物理網(wǎng)絡(luò)中的服務(wù)器自舉。

4.DHCP是 Dynamic Host Configuration Protocol(動態(tài)主機分配協(xié)議)縮寫［2］313，允許服務(wù)器自動或動態(tài)地分配IP地址。

工作原理:終端請求服務(wù)器分配 IP地址，并利用TFTP協(xié)議下載一個啟動包到本機內(nèi)存執(zhí)行，由這個啟動包完成終端的基本設(shè)置，并通過ROM中的bootstrap引導(dǎo)安裝

(二)操作步驟

第一步，在服務(wù)器端制作好.gho鏡像文件，準備好工作站網(wǎng)卡(要求加裝PXE啟動芯片)的DOS環(huán)境下的驅(qū)動程序和協(xié)議配置文件。

第二步，然后運行g(shù)host32—＞ghost boot Wizard—＞PC DOS—＞TCP/IP Net work Ghost Boot Image添加對應(yīng)網(wǎng)卡的驅(qū)動程序，生成后綴為.sys的文件(啟動鏡像文件)，在該鏡像文件中添加命令行:ghost– clone，mode=restore，src=@”ghost服務(wù)器端的會話名稱文件”，dst=1—sure—rb。

第三步，運行PXE軟件，添加啟動鏡像文件，生成PXE啟動菜單文件.PXE文件。

第四步，首先將服務(wù)器網(wǎng)卡設(shè)置好IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等。然后運行tftpd32.exe(DHCP服務(wù)器和FTP服務(wù)器軟件，DHCP服務(wù)器負責給客戶端分配IP地址，F(xiàn)TP服務(wù)器負責向用戶端傳送啟動文件和GOST軟件)。在這里要設(shè)置工作站IP的地址范圍和起始地址(根據(jù)工作站臺數(shù))、以及子網(wǎng)掩碼、啟動菜單文件.PXE文件等。

第五步，打開GhostSrv.exe(這是GHOST服務(wù)器端軟件，負責向客戶端傳送映像文件)。點“瀏覽”載入之前生成的服務(wù)器鏡像文件(.GHO文件)，點“磁盤”——“接受客戶端”至此服務(wù)器端設(shè)置完畢。

第六步，設(shè)置工作站，首先開機進入BIOS將Onboard Lan Option Rom置為Enabled然后在boot sequence中將引導(dǎo)順序中的1st boot device設(shè)置為Lan保存bios退出。工作站由LAN引導(dǎo)讀取網(wǎng)絡(luò)ghost的啟動菜單文件PXE文件進入GHOST客戶端—＞Ghost Cast(GHOST廣播)—Multi Cast(多播)—＞ Ghost Cast Session Name to Join (ghost服務(wù)端輸入的會話名稱)—＞點OK后按提示下一步.客戶端設(shè)置完成。

第七步，在服務(wù)器端點“發(fā)送”。至此整個設(shè)置完成。注意，需要克隆的所有電腦必須硬件配置一致，克隆過程局域網(wǎng)暢通，且保證不能斷電，否則可能造成系統(tǒng)崩潰。

二、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全包括設(shè)備安全和數(shù)據(jù)安全兩個方面，具體指通信設(shè)備、計算機設(shè)備和各種軟件和數(shù)據(jù)受到保護，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。為保證網(wǎng)絡(luò)的安全我們一般采用如下防范措施:

(一)配置防火墻

防火墻是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)、訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。這里我們通過路由器的分組過濾功能來實現(xiàn)包過濾。下圖是用兩個路由器和一個堡壘主機實現(xiàn)的防火墻［2］:

如上圖，網(wǎng)絡(luò)將這些路由器(Router)和堡壘主機(bastion host)互聯(lián)，路由器Router2實現(xiàn)外部屏障，該路由器過濾所有的通信量，除非數(shù)據(jù)報的目的站是堡壘主機。路由器Router1實現(xiàn)內(nèi)部屏障，隔離互聯(lián)網(wǎng)的其它部分與外部世界。它阻攔所有的數(shù)據(jù)報，除非數(shù)據(jù)報來自堡壘主機。

使用防火墻可以最大限度的保護內(nèi)網(wǎng)的安全。但防火墻是一種被動式的防護手段，只能對本身所知道的網(wǎng)絡(luò)威脅起到作用，而對來自外部網(wǎng)絡(luò)的攻擊卻無能為力，對病毒防護比較弱。在構(gòu)建安全局域網(wǎng)絡(luò)的過程中，防火墻作為第一道安全防線，必須與其它方法如數(shù)據(jù)加密技術(shù)、防病毒技術(shù)等結(jié)合才能最大限度的保護網(wǎng)絡(luò)安全。

(二)借助可網(wǎng)管交換機和vlan［3］隔離技術(shù)實現(xiàn)訪問控制

可網(wǎng)管交換機又稱為智能交換機，簡單的說就是能對數(shù)據(jù)的地址、端口、協(xié)議類型、服務(wù)等進行過濾，通常還擁有VLAN劃分功能。常見的病毒端口如135、136、137、138、139、1434、80、445、1025、2745、3127、6129、3389、123等我們都可以在三層交換機或路由器中用如下命令來屏蔽

rule deny udp destination-port eq tftp

rule deny tcp destination-port eq 135

rule deny tcp destination-port eq 137

rule deny udp destination-port eq netbios-ns

rule deny tcp destination-port eq 138

………….

常見的ARP病毒可通過端口綁定來防范:mac+ip+ vlan+port

VLAN隔離技術(shù)，其實VLAN即虛擬局域網(wǎng)(Virtual Local Area Network的縮寫)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少網(wǎng)絡(luò)風暴、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

VLAN的劃分方法很多，根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。

如把電大整個網(wǎng)絡(luò)都劃到了vlan 72中從而和其它網(wǎng)段有效分離出來，便于管理，以華為3526為例，假設(shè)電大交換機是通過eth4/3連接，設(shè)置如下:

使用超級終端登陸

這樣電大的所有電腦都在vlan 72這個網(wǎng)段了，從而有效限制廣播范圍，并能夠形成虛擬工作組，實現(xiàn)動態(tài)管理網(wǎng)絡(luò)。

(三)在處理內(nèi)網(wǎng)和外網(wǎng)時，可采用下述方法

方法1:服務(wù)器配置雙網(wǎng)卡，一個連外網(wǎng)，一個連內(nèi)網(wǎng)相當于把服務(wù)器配置成了路由器的功能。

外網(wǎng)固定IP，內(nèi)網(wǎng)可以另外設(shè)置一個IP段，開通DHCP功能連接到HUB上去，內(nèi)網(wǎng)機器即可自動獲得IP地址。地址池如:192.168.0.1——255，使用外網(wǎng)時右擊連接外網(wǎng)的那個網(wǎng)卡的“本地連接”打開“屬性”單擊“共享”即可，不想讓HUB連接的機器訪問外網(wǎng)，把共享去掉即可。

方法2:只要加一條表態(tài)路由就行了。具體操作步驟，單擊“開始→運行”，輸入“CMD”，在打開的命令行窗口中敲入以下命令:

route add“內(nèi)網(wǎng)的網(wǎng)絡(luò)地址”mask“內(nèi)網(wǎng)的掩碼”“內(nèi)網(wǎng)網(wǎng)卡地址”netric 2 if“內(nèi)網(wǎng)網(wǎng)卡地址”。

通過這種方式可以減少病毒直接入侵的機會，當然任何方法都不是一勞永逸的，特別是現(xiàn)在網(wǎng)絡(luò)發(fā)展迅速，攻擊手段多樣，除了運用防火墻、vlan劃分技術(shù)外還要經(jīng)常給系統(tǒng)安裝最新補丁，更新殺毒軟件。重要數(shù)據(jù)一定要做備份，如基于網(wǎng)絡(luò)考試的的服務(wù)器，都至少要準備一臺備用機，如果出現(xiàn)異常立即更換備用服務(wù)器?？记岸家M，把所有可能出現(xiàn)的情況提前解決。

網(wǎng)絡(luò)在不斷發(fā)展，技術(shù)在不斷更新。電大發(fā)展離不開計算機網(wǎng)絡(luò)，作為一名系統(tǒng)管理人員，深知系統(tǒng)維護的復(fù)雜性、不可預(yù)見性。只有不斷加強業(yè)務(wù)學習，總結(jié)經(jīng)驗，取長補短，將新的技術(shù)和理論應(yīng)用于計算機網(wǎng)絡(luò)的維護和管理中，才能跟上時代的步伐，使計算機管理更加科學化、規(guī)范化。

［1］顏紹猛.基于PXE技術(shù)的網(wǎng)絡(luò)克隆［J］.北京:硅谷，2008(18):48-49.

［2］Douglas E.comer.用TCP/IP進行網(wǎng)際互聯(lián)［M］.林窯，等，譯，北京:電子工業(yè)出版社，2001.

［3］陸魁軍.基于Cisco路由器和交換機［M］.北京:清華大學出版社，2007.

TP393

A

1008—3340(2012)03—0043—03

2012-06-01

曹現(xiàn)慶(1974-)，山東廣播電視大學莒縣學院講師，學士學位，研究方向為計算機網(wǎng)絡(luò)。