藍(lán)貞雄

（廣西師范學(xué)院，廣西 南寧 530023）

H3C網(wǎng)絡(luò)實(shí)驗(yàn)室遠(yuǎn)程開(kāi)放的設(shè)計(jì)與實(shí)現(xiàn)

藍(lán)貞雄

（廣西師范學(xué)院，廣西 南寧 530023）

為實(shí)現(xiàn)H3C網(wǎng)絡(luò)實(shí)驗(yàn)室的遠(yuǎn)程開(kāi)放，提高網(wǎng)絡(luò)實(shí)驗(yàn)室的利用率，文章首先就網(wǎng)絡(luò)實(shí)驗(yàn)室及實(shí)驗(yàn)機(jī)架的網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備集中管理以及SSL VPN技術(shù)特點(diǎn)等問(wèn)題進(jìn)行了闡述，然后結(jié)合實(shí)例給出了具體的配置實(shí)現(xiàn)方法。

H3C網(wǎng)絡(luò)實(shí)驗(yàn)室；遠(yuǎn)程開(kāi)放；DMC；SSL VPN

隨著H3C設(shè)備國(guó)內(nèi)市場(chǎng)占有率的不斷提升，不少高校都構(gòu)建了H3C網(wǎng)絡(luò)實(shí)驗(yàn)室。為提高實(shí)驗(yàn)設(shè)備的利用率，學(xué)校往往都采用專(zhuān)人值守的模式將實(shí)驗(yàn)室對(duì)學(xué)生進(jìn)行開(kāi)放，這種模式費(fèi)時(shí)費(fèi)力。因此，如何建設(shè)并管理好一個(gè)全天開(kāi)放的H3C網(wǎng)絡(luò)實(shí)驗(yàn)室已經(jīng)成為很多企業(yè)和學(xué)校都在探索的問(wèn)題。如能通過(guò)遠(yuǎn)程登錄的方式，讓學(xué)生無(wú)論置身于學(xué)校的哪個(gè)角落，只要能連上校園網(wǎng)甚至校外Internet，通過(guò)合法認(rèn)證后就可以操作網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)備，將可以大幅度地?cái)U(kuò)展網(wǎng)絡(luò)實(shí)驗(yàn)的時(shí)間和空間，提高網(wǎng)絡(luò)實(shí)驗(yàn)室的利用率。

要實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室的遠(yuǎn)程開(kāi)放，就需解決以下幾個(gè)方面的問(wèn)題：

1 實(shí)驗(yàn)機(jī)架設(shè)計(jì)

1.1 機(jī)架拓?fù)湓O(shè)計(jì)

學(xué)生在網(wǎng)絡(luò)實(shí)驗(yàn)室內(nèi)進(jìn)行實(shí)驗(yàn)時(shí)，可方便地調(diào)整連接線路搭建不同的實(shí)驗(yàn)拓?fù)鋪?lái)完成相應(yīng)的實(shí)驗(yàn)，但遠(yuǎn)程操作設(shè)備時(shí)卻沒(méi)有了這樣的便利性，因而，為了滿足遠(yuǎn)程實(shí)驗(yàn)需求，我們必須設(shè)計(jì)出一個(gè)能在不改變線路連接的情況下即可滿足大多數(shù)網(wǎng)絡(luò)實(shí)驗(yàn)的合理拓?fù)?。?jì)算機(jī)網(wǎng)絡(luò)課程的實(shí)驗(yàn)一般都以基本的路由、交換的協(xié)議為主，一般而言，一個(gè)實(shí)驗(yàn)組具備3臺(tái)路由器及3臺(tái)交換機(jī)即可滿足課程實(shí)驗(yàn)的需求。筆者根據(jù)多年的教學(xué)經(jīng)驗(yàn)以及實(shí)驗(yàn)室的實(shí)際設(shè)備，設(shè)計(jì)了一個(gè)如圖1所示實(shí)驗(yàn)拓?fù)洹?/p>

圖1 機(jī)架設(shè)備拓?fù)鋱D

遠(yuǎn)程實(shí)驗(yàn)時(shí)，學(xué)生只要能登陸到此設(shè)備上，即可操作組內(nèi)的其他網(wǎng)絡(luò)設(shè)備，如需PC進(jìn)行測(cè)試，可用機(jī)架中的路由器進(jìn)行替代。實(shí)驗(yàn)組機(jī)架設(shè)備按此拓?fù)浠ヂ?lián)即可方便地完成VLAN、STP、鏈路聚合、RIP、OSPF、NAT、ACL等基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)。

1.2 機(jī)架設(shè)備集中管理

連接網(wǎng)絡(luò)設(shè)備最簡(jiǎn)單的方法是通過(guò)計(jì)算機(jī)的RS232接口利用控制線纜直接連接到網(wǎng)絡(luò)設(shè)備的Console接口，但這種方式顯然不能滿足機(jī)架遠(yuǎn)程操作的需求。因此，我們利用H3C提供的設(shè)備管理控制臺(tái)（DMC，Device ManagementController）技術(shù)，在圖1中的AR2811路由器上安裝一塊8口的串口卡，其余設(shè)備的Console接口通過(guò)反序RJ45線纜連接到此卡的接口上。用戶(hù)要能登陸到此DMC設(shè)備上就可以方便地操作它所連接的設(shè)備。

2 SSL VPN

網(wǎng)絡(luò)實(shí)驗(yàn)室遠(yuǎn)程開(kāi)放的關(guān)鍵在于如何安全地讓用戶(hù)在經(jīng)過(guò)認(rèn)證后登陸到指定機(jī)架的DMC，而VPN（Virtual Private Network，虛擬專(zhuān)用網(wǎng)絡(luò)）技術(shù)是達(dá)到此目的的最佳選擇。目前，VPN技術(shù)主要分為SSL VPN、IPSec VPN和L2TP VPN。SSL VPN 是以SSL（Secure Sockets Layer，安全套接字層）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。SSL VPN 充分利用了SSL 協(xié)議提供的基于證書(shū)的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，可以為應(yīng)用層之間的通信建立安全連接。最為關(guān)鍵的是，SSL本身就被幾乎所有的Web瀏覽器支持，這意味著客戶(hù)端不需要為了支持SSL連接安裝額外的軟件，而其余兩種VPN技術(shù)均需要用戶(hù)安裝客戶(hù)端軟件方能使用。從安全和方便用戶(hù)的角度考慮，SSL VPN無(wú)疑是實(shí)驗(yàn)室遠(yuǎn)程開(kāi)放的首選。

3 配置實(shí)現(xiàn)

3.1 實(shí)驗(yàn)室網(wǎng)絡(luò)規(guī)劃

實(shí)驗(yàn)室網(wǎng)絡(luò)拓?fù)浼癐P規(guī)劃如圖2所示，用戶(hù)和CA服務(wù)器與VPN設(shè)備的外聯(lián)接口之間需路由可達(dá)，SSL VPN設(shè)備需要從CA服務(wù)器獲取數(shù)字證書(shū)。有關(guān)CA服務(wù)器的配置，讀者可參閱相關(guān)文獻(xiàn)。

圖2 遠(yuǎn)程網(wǎng)絡(luò)實(shí)驗(yàn)室網(wǎng)絡(luò)規(guī)劃

3.2 DMC配置

（1）配置外聯(lián)接口IP地址

[H3C-Ethernet0/1]ip address 10.1.1.1 24

（2）創(chuàng)建管理平臺(tái)用戶(hù)

[H3C]local-user admin

[H3C-luser-admin]password simple admin

[H3C-luser-admin]service-type telnet terminal

[H3C-luser-admin]level 3

（3）異步串口配置

逐個(gè)進(jìn)入每個(gè)異步串口，將接口的鏈路建立模式設(shè)置為流模式，禁用接口的電平檢測(cè)。

[H3C]interface Async 1/0

[H3C-Async1/0]async mode flow

[H3C-Async1/0]undo detect dsr-dtr

（4）配置telnet 重定向

[H3C]user-interface tty 17 24

[H3C-ui-tty17-24]undo shell

#允許啟動(dòng)接口重定向

[H3C-ui-tty17-24]redirect enable

[H3C-ui-tty17-24]flow-control none

#配置TTY接口不采用流量控制

[H3C-ui-tty17-44]undo redirect timeout

#設(shè)定telnet重定向永遠(yuǎn)不超時(shí)

[H3C-ui-tty17-24]redirect return-deal from-telnet

#設(shè)置重定向路由器對(duì)從telnet客戶(hù)端接收到的回車(chē)符進(jìn)行處理。

（5）啟用DMC功能

[H3C]dmc enable

[H3C]dmc device-type show

3.3 驗(yàn)證DMC配置

在完成機(jī)架設(shè)備的互聯(lián)和DMC的配置之后，即可通過(guò)WEB方式訪問(wèn)和使用機(jī)架。

在瀏覽器地址欄中輸入http://10.1.1.1:8888，輸入之前配置的用戶(hù)名及密碼，即可轉(zhuǎn)到如圖5所示的設(shè)備控制臺(tái)界面，單擊相應(yīng)的設(shè)備圖標(biāo)可打開(kāi)其終端界面。

3.4 SSL VPN配置

此例中筆者采用H3C MSR3020路由器作為SSL VPN網(wǎng)關(guān)。

（1）為SSL VPN網(wǎng)關(guān)MSR-3020申請(qǐng)證書(shū)

# 配置PKI實(shí)體en，指定實(shí)體的通用名為http-server。

[MSR3020] pki entity en

[MSR3020-pki-entity-en]common-name http-server

# 配置PKI域sslvpn

[MSR3020] pki domain sslvpn

[MSR3020-pki-domain-sslvpn]ca identifier ca server

[MSR3020-pki-domain-sslvpn] certificate request url http://192.168.68.58/certsrv/mscep/mscep.dll

[MSR3020-pki-domain-sslvpn] certificate request from ra

[MSR3020-pki-domain-sslvpn] certificate request entity en

# 生成本地的RSA密鑰對(duì)。

[MSR3020] public-key local create rsa

# 獲取CA的證書(shū)。

[MSR3020]pki retrieval-certificate ca domain sslvpn

# 為MSR3020申請(qǐng)證書(shū)。

[MSR3020] pki request-certificate domain sslvpn

（2）配置SSL VPN服務(wù)使用的SSL服務(wù)器端策略

# 創(chuàng)建SSL服務(wù)器端策略myssl，并指定該策略使用PKI域sslvpn。

[MSR3020] ssl server-policy myssl

[MSR3020-ssl-server-policy-myssl] pki-domain sslvpn

（3）配置SSL VPN策略

# 指定SSL VPN服務(wù)使用的SSL服務(wù)器端策略為myssl

[MSR3020] ssl-vpn server-policy myssl

# 使能SSL VPN服務(wù)。

[MSR3020] ssl-vpn enable

（4）在WEB界面中配置用戶(hù)及資源

通過(guò)MSR3020的WEB管理界面，依次配置VPN用戶(hù)地址池、TCP資源、用戶(hù)及用戶(hù)組，并對(duì)用戶(hù)進(jìn)行資源分配。

（5）驗(yàn)證配置結(jié)果

遠(yuǎn)程接入用戶(hù)訪問(wèn)https://192.168.100.1/svpn，輸入相應(yīng)賬號(hào)后，在圖4所示的界面中單擊相應(yīng)的設(shè)備名稱(chēng)，即可通過(guò)如圖5所示的telnet窗口對(duì)設(shè)備進(jìn)行操作。

圖5 Telnet窗口

4 結(jié)束語(yǔ)

構(gòu)建開(kāi)放型的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室是實(shí)驗(yàn)室建設(shè)的一個(gè)趨勢(shì)，通過(guò)H3C的DMC管理平臺(tái)以及SSL VPN技術(shù)，結(jié)合優(yōu)化的機(jī)架設(shè)備部署，可構(gòu)建方便遠(yuǎn)程使用的H3C網(wǎng)絡(luò)實(shí)驗(yàn)室。該實(shí)驗(yàn)室經(jīng)我校師生試用，運(yùn)行穩(wěn)定，達(dá)到了預(yù)期目標(biāo)。

[1] 許波.基于SSL VPN 的遠(yuǎn)程訪問(wèn)控制平臺(tái)研究[C].天津:天津理工大學(xué),2011.

[2] 孫丹東.基于SSL VPN的遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)實(shí)驗(yàn)室的應(yīng)用研究[J].無(wú)線互聯(lián)科技,2011(12):24-25.

[3] 徐博.面向SSL VPN的訪問(wèn)控制及相關(guān)技術(shù)研究[C].杭州:浙江工業(yè)大學(xué),2009.

[4] 王春海,宋濤.VPN 網(wǎng)絡(luò)組建案例實(shí)錄(第2版)[M].北京:科學(xué)出版社,2011.

H3C network laboratory design and implementation of open and distance

For the remote open implementation H3C network laboratory, improve the utilization rate of network laboratory, this paper first network design, network laboratory and experimental frame network equipment centralized management and SSL VPN technical characteristics and other issues discussed, and then combined with the example of the realization methods are given specific configuration.

H3C network Laboratory; open and distance; DMC; SSL VPN

圖4 用戶(hù)登陸后的SSL VPN界面

TP393.08

A

1008-1151(2015)03-0005-03

2015-02-10

廣西師范學(xué)院教學(xué)改革工程“十一五”項(xiàng)目（200932）。

藍(lán)貞雄（1977－），男，廣西忻城人，廣西師范學(xué)院講師，從事計(jì)算機(jī)網(wǎng)絡(luò)理論及應(yīng)用方面的教學(xué)與科研工作。