【摘要】計(jì)算機(jī)實(shí)訓(xùn)機(jī)房是學(xué)校重要的學(xué)習(xí)場(chǎng)所。對(duì)機(jī)房網(wǎng)絡(luò)的管理直接會(huì)影響到機(jī)房的日常維護(hù)和實(shí)訓(xùn)的正常開展，只有對(duì)機(jī)房網(wǎng)絡(luò)不斷進(jìn)行管理與優(yōu)化，才能簡化機(jī)房的日常維護(hù)，保障實(shí)訓(xùn)活動(dòng)的正常實(shí)施。

【關(guān)鍵詞】實(shí)訓(xùn)機(jī)房；802.1x；網(wǎng)絡(luò)拓?fù)?/p>

一、引言

計(jì)算機(jī)實(shí)訓(xùn)機(jī)房是高職院校重要的實(shí)訓(xùn)場(chǎng)所?；旧厦總€(gè)院系都有大量的基礎(chǔ)課和專業(yè)課實(shí)訓(xùn)需要在機(jī)房開展。為了給學(xué)生提供更多的實(shí)訓(xùn)機(jī)會(huì)，筆者所在學(xué)校在對(duì)原有6個(gè)機(jī)房進(jìn)行升級(jí)改造的基礎(chǔ)上又新建設(shè)了6個(gè)實(shí)訓(xùn)機(jī)房。

每個(gè)實(shí)訓(xùn)機(jī)房的基本情況如下：每個(gè)機(jī)房有60臺(tái)計(jì)算機(jī)。連接機(jī)房內(nèi)60臺(tái)計(jì)算機(jī)的是兩臺(tái)銳捷智能交換機(jī)：一臺(tái)RG-S5750-24GT/12SFP和一臺(tái)RG-S2652G。其中RG-S5750-24GT/12SFP交換機(jī)上聯(lián)到核心交換機(jī)。兩臺(tái)交換機(jī)都開啟了802.1x認(rèn)證。

二、實(shí)訓(xùn)機(jī)房使用中的問題及原因分析

機(jī)房在投入使用后，機(jī)房管理員和實(shí)訓(xùn)教師都遇到了難題。首先，機(jī)房管理員發(fā)現(xiàn)無法通過還原卡批量維護(hù)機(jī)房；其次，實(shí)訓(xùn)教師在使用中發(fā)現(xiàn)無法有效控制學(xué)生聯(lián)接互聯(lián)網(wǎng)。這給正常的教學(xué)和管理工作帶來了諸多不便。這一切都是由于交換機(jī)采用了802.1x認(rèn)證才出現(xiàn)的問題。

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。也就是說，聯(lián)接到交換機(jī)端口的每臺(tái)計(jì)算機(jī)都必須通過802.1x認(rèn)證后才能實(shí)現(xiàn)局域網(wǎng)和互聯(lián)網(wǎng)的訪問。

機(jī)房管理員在進(jìn)行機(jī)房計(jì)算機(jī)維護(hù)時(shí)是通過計(jì)算機(jī)上的還原卡來進(jìn)行批量維護(hù)的。這要求計(jì)算機(jī)在通電后而未進(jìn)入操作系統(tǒng)之前就要能夠?qū)崿F(xiàn)本機(jī)房局域網(wǎng)內(nèi)的互聯(lián)互通。由于所有交換機(jī)都啟用了802.1x認(rèn)證，而計(jì)算機(jī)上安裝的用于802.1x認(rèn)證的銳捷認(rèn)證客戶端又需要進(jìn)入操作系統(tǒng)后才能使用，導(dǎo)致計(jì)算機(jī)無法聯(lián)接到交換機(jī)。如果逐臺(tái)進(jìn)行計(jì)算機(jī)維護(hù)的話，工作量又太大。這樣就給機(jī)房維護(hù)帶來不必要的麻煩。

如果將每臺(tái)交換機(jī)的802.1x認(rèn)證關(guān)閉，雖然可以解決機(jī)房管理員維護(hù)機(jī)房的問題，但會(huì)給實(shí)訓(xùn)教師帶來困擾。因?yàn)楹芏鄬?shí)訓(xùn)教師不需要學(xué)生聯(lián)接到互聯(lián)網(wǎng)，而沒有了802.1x認(rèn)證，每臺(tái)計(jì)算機(jī)都可以直接聯(lián)接到互聯(lián)網(wǎng)，導(dǎo)致很多學(xué)生不能安心進(jìn)行實(shí)訓(xùn)，嚴(yán)重影響了實(shí)訓(xùn)效果。

即使交換機(jī)開啟了802.1x認(rèn)證，實(shí)訓(xùn)教師依然面臨學(xué)生偷偷上網(wǎng)的問題。因?yàn)橹灰粋€(gè)班的學(xué)生知道了認(rèn)證的用戶名和密碼，很快大部分班級(jí)的學(xué)生就都知道了這個(gè)用戶名和密碼。這將嚴(yán)重干擾其它不需要聯(lián)網(wǎng)的班級(jí)的實(shí)訓(xùn)活動(dòng)。

三、合理管理，保證機(jī)房實(shí)訓(xùn)的順利開展

那么，如何才能實(shí)現(xiàn)對(duì)機(jī)房網(wǎng)絡(luò)的有效管理，保證機(jī)房實(shí)訓(xùn)的順利進(jìn)行呢？筆者作為學(xué)校的網(wǎng)絡(luò)管理人員在了解到機(jī)房管理員和實(shí)訓(xùn)教師遇到的困難后，逐步采取了一系列措施，最終完美解決了這些問題。筆者解決問題的過程經(jīng)歷了兩個(gè)階段：

1.合理利用已有設(shè)備，初步解決問題

在了解到機(jī)房管理員和實(shí)訓(xùn)教師遇到的問題后，筆者綜合分析了當(dāng)時(shí)的網(wǎng)絡(luò)情況，利用已有的硬件和軟件條件，初步確定了解決方案。

（1）臨時(shí)關(guān)閉交換機(jī)的802.1x認(rèn)證，解決機(jī)房批量維護(hù)難題

當(dāng)機(jī)房需要維護(hù)時(shí)，機(jī)房管理員首先聯(lián)系網(wǎng)絡(luò)管理員確定需要維護(hù)的機(jī)房和維護(hù)時(shí)間。然后由網(wǎng)絡(luò)管理員在維護(hù)時(shí)間內(nèi)通過Telnet登陸到交換機(jī)上關(guān)閉交換機(jī)的802.1x認(rèn)證，維護(hù)結(jié)束后再重新開啟802.1x認(rèn)證。由于維護(hù)時(shí)間是在機(jī)房沒有實(shí)訓(xùn)任務(wù)時(shí)，所以不會(huì)對(duì)機(jī)房實(shí)訓(xùn)產(chǎn)生任何影響。

（2）利用RG-SAM安全計(jì)費(fèi)管理系統(tǒng)設(shè)置不同賬號(hào)，解決機(jī)房聯(lián)網(wǎng)問題

交換機(jī)的802.1x認(rèn)證是通過RG-SAM安全計(jì)費(fèi)管理系統(tǒng)來實(shí)現(xiàn)的。RG-SAM安全計(jì)費(fèi)管理系統(tǒng)可以進(jìn)行接入控制管理。接入控制的方法有兩種：BACL管理和接入時(shí)段管理。BACL管理可以設(shè)置能夠使用某個(gè)賬號(hào)的IP地址段。這樣機(jī)房1使用的認(rèn)證賬號(hào)在機(jī)房2就無法使用。接入時(shí)段管理可以設(shè)置某個(gè)賬號(hào)的使用時(shí)間段。如果設(shè)定某個(gè)賬號(hào)的接入時(shí)段為星期～8：00-9：30，那么這個(gè)賬號(hào)只能在星期一8：00-9：30這個(gè)時(shí)間段用，在星期一8：00-9：30以外的時(shí)間段是不能使用的。通過結(jié)合BACL管理和接入時(shí)段管理，我們就可以設(shè)定某個(gè)賬號(hào)只能在某個(gè)機(jī)房某天的某個(gè)時(shí)間段才可以使用，從而保障了實(shí)訓(xùn)對(duì)網(wǎng)絡(luò)環(huán)境的要求。

雖然以上這兩種方法基本解決了目前遇到的問題，但這兩種方法操作起來都比較繁雜，在很大程度上增加了網(wǎng)絡(luò)管理員的工作量。

2.進(jìn)行網(wǎng)絡(luò)改造，完美解決難題

（1）優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，解決機(jī)房維護(hù)難題

由于機(jī)房網(wǎng)絡(luò)在設(shè)計(jì)時(shí)采用的是兩層結(jié)構(gòu)，一臺(tái)RG-S2652G交換機(jī)作為接入交換機(jī)，另外一臺(tái)RG-S5750-24GT/12SFP主要作為匯聚交換機(jī)，并接入到校園網(wǎng)中的核心交換機(jī)上。機(jī)房網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖1所示。

在這種拓?fù)浣Y(jié)構(gòu)中，由于核心交換機(jī)不能進(jìn)行802.1x認(rèn)證，所以802.1x認(rèn)證只能由接入交換機(jī)或匯聚交換機(jī)進(jìn)行。為了方便機(jī)房管理員對(duì)機(jī)房進(jìn)行維護(hù)，最理想的方案就是所有的計(jì)算機(jī)都聯(lián)接到接入交換機(jī)的端口，然后由匯聚交換機(jī)進(jìn)行802.1x認(rèn)證。這樣在機(jī)房這個(gè)局域網(wǎng)內(nèi)所有的計(jì)算機(jī)都是互通的。由于接入交換機(jī)RG-S2652G只有48個(gè)電口，只能聯(lián)接48臺(tái)計(jì)算機(jī)，而每個(gè)機(jī)房有60臺(tái)計(jì)算機(jī)，這樣就需要在接入層再增加一臺(tái)交換機(jī)為其它計(jì)算機(jī)提供接口。這樣每個(gè)機(jī)房就需要有兩臺(tái)接入交換機(jī)通過串聯(lián)的方式聯(lián)接起來為機(jī)房的60臺(tái)計(jì)算機(jī)提供聯(lián)接端口，其中一臺(tái)接入交換機(jī)上聯(lián)到匯聚交換機(jī)?？紤]到匯聚層交換機(jī)RG-S5750-24GT/12SFP性能較高，每個(gè)機(jī)房都單獨(dú)放置一臺(tái)RG-S5750-24GT/12SFP太浪費(fèi)資源，筆者將每個(gè)機(jī)房都只保留兩臺(tái)接入交換機(jī)，使用一臺(tái)RG-S5750-24GT/12SFP作為所有機(jī)房的匯聚交換機(jī)聯(lián)接到核心交換機(jī)。這樣就完全解決了機(jī)房批量維護(hù)的難題。修改后的機(jī)房網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

（2）增加上網(wǎng)行為管理設(shè)備，有效控制機(jī)房計(jì)算機(jī)聯(lián)接互聯(lián)網(wǎng)

雖然利用RG-SAM安全計(jì)費(fèi)管理系統(tǒng)可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)聯(lián)接網(wǎng)絡(luò)的控制，但是這需要為每個(gè)機(jī)房的每天中的每次實(shí)訓(xùn)都提供一個(gè)賬號(hào)，這使網(wǎng)絡(luò)管理員的壓力急劇增大。而且這種方法只能幫助實(shí)訓(xùn)教師有效控制計(jì)算機(jī)的聯(lián)網(wǎng)問題，無法解決聯(lián)接校園網(wǎng)中其它資源的問題。也就是說，如果機(jī)房實(shí)訓(xùn)需要聯(lián)接到校園網(wǎng)中的其它服務(wù)器，那么學(xué)生同時(shí)也是可以聯(lián)接到互聯(lián)網(wǎng)的。這也給部分實(shí)訓(xùn)帶來一定困擾。通過增加一臺(tái)上網(wǎng)行為管理設(shè)備則可以更好的解決計(jì)算機(jī)聯(lián)接互聯(lián)網(wǎng)的問題。

SANGFOR上網(wǎng)行為管理設(shè)備可以根據(jù)IP地址和時(shí)間段制定上網(wǎng)策略。筆者利用SANGFOR上網(wǎng)行為管理設(shè)備為每個(gè)機(jī)房都制定了上網(wǎng)策略。默認(rèn)每個(gè)機(jī)房的所有計(jì)算機(jī)在任何時(shí)間都是不允許聯(lián)接到互聯(lián)網(wǎng)的。這樣即使你通過了802.1認(rèn)證，也只能訪問校園網(wǎng)內(nèi)的資源，而無法聯(lián)接到互聯(lián)網(wǎng)。如果某個(gè)機(jī)房實(shí)訓(xùn)需要聯(lián)接到互聯(lián)網(wǎng)，則可以按照課程表在其上課時(shí)間允許該機(jī)房聯(lián)接到互聯(lián)網(wǎng)。整個(gè)操作過程非常簡單方便，可以大大減少網(wǎng)絡(luò)管理員的工作量。

四、小結(jié)

計(jì)算機(jī)實(shí)訓(xùn)機(jī)房網(wǎng)絡(luò)的管理對(duì)機(jī)房的日常維護(hù)以及實(shí)訓(xùn)的正常開展都十分重要。只有有效的控制好機(jī)房網(wǎng)絡(luò)，才能方便機(jī)房管理員的日常維護(hù)，才能提供差異化的網(wǎng)絡(luò)服務(wù)，保障各類計(jì)算機(jī)實(shí)訓(xùn)的正常開展并獲得更好的實(shí)訓(xùn)效果。

參考文獻(xiàn)

[1]百度百科.[EB/OL].http：//baike.baidu.com/link？url=sl6Um3EmnO3MjX6lNTebzYiu_4GQRsrq29NqavTlM9_pM5Hw-pCPxfQRrpWK8Ea9，2013-08-06.

[2]RG-S5750系列交換機(jī)配置手冊(cè)（V10.4）[EB/OL].http：//www.ruijie.com.cn/service/Document_3218，2012-11-28.

[3]SANGFOR_SG_v3.0用戶手冊(cè)[EB/OL].http：//sangfor. 360help.com.cn/read.php？tid-2060-fpage-2.html，2010-08-24.