藍貞雄

（廣西師范學(xué)院，廣西 南寧 530023）

H3C網(wǎng)絡(luò)實驗室遠程開放的設(shè)計與實現(xiàn)

藍貞雄

（廣西師范學(xué)院，廣西 南寧 530023）

為實現(xiàn)H3C網(wǎng)絡(luò)實驗室的遠程開放，提高網(wǎng)絡(luò)實驗室的利用率，文章首先就網(wǎng)絡(luò)實驗室及實驗機架的網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)設(shè)備集中管理以及SSL VPN技術(shù)特點等問題進行了闡述，然后結(jié)合實例給出了具體的配置實現(xiàn)方法。

H3C網(wǎng)絡(luò)實驗室；遠程開放；DMC；SSL VPN

隨著H3C設(shè)備國內(nèi)市場占有率的不斷提升，不少高校都構(gòu)建了H3C網(wǎng)絡(luò)實驗室。為提高實驗設(shè)備的利用率，學(xué)校往往都采用專人值守的模式將實驗室對學(xué)生進行開放，這種模式費時費力。因此，如何建設(shè)并管理好一個全天開放的H3C網(wǎng)絡(luò)實驗室已經(jīng)成為很多企業(yè)和學(xué)校都在探索的問題。如能通過遠程登錄的方式，讓學(xué)生無論置身于學(xué)校的哪個角落，只要能連上校園網(wǎng)甚至校外Internet，通過合法認證后就可以操作網(wǎng)絡(luò)實驗室設(shè)備，將可以大幅度地擴展網(wǎng)絡(luò)實驗的時間和空間，提高網(wǎng)絡(luò)實驗室的利用率。

要實現(xiàn)計算機網(wǎng)絡(luò)實驗室的遠程開放，就需解決以下幾個方面的問題：

1 實驗機架設(shè)計

1.1 機架拓撲設(shè)計

學(xué)生在網(wǎng)絡(luò)實驗室內(nèi)進行實驗時，可方便地調(diào)整連接線路搭建不同的實驗拓撲來完成相應(yīng)的實驗，但遠程操作設(shè)備時卻沒有了這樣的便利性，因而，為了滿足遠程實驗需求，我們必須設(shè)計出一個能在不改變線路連接的情況下即可滿足大多數(shù)網(wǎng)絡(luò)實驗的合理拓撲。計算機網(wǎng)絡(luò)課程的實驗一般都以基本的路由、交換的協(xié)議為主，一般而言，一個實驗組具備3臺路由器及3臺交換機即可滿足課程實驗的需求。筆者根據(jù)多年的教學(xué)經(jīng)驗以及實驗室的實際設(shè)備，設(shè)計了一個如圖1所示實驗拓撲。

圖1 機架設(shè)備拓撲圖

遠程實驗時，學(xué)生只要能登陸到此設(shè)備上，即可操作組內(nèi)的其他網(wǎng)絡(luò)設(shè)備，如需PC進行測試，可用機架中的路由器進行替代。實驗組機架設(shè)備按此拓撲互聯(lián)即可方便地完成VLAN、STP、鏈路聚合、RIP、OSPF、NAT、ACL等基礎(chǔ)網(wǎng)絡(luò)實驗。

1.2 機架設(shè)備集中管理

連接網(wǎng)絡(luò)設(shè)備最簡單的方法是通過計算機的RS232接口利用控制線纜直接連接到網(wǎng)絡(luò)設(shè)備的Console接口，但這種方式顯然不能滿足機架遠程操作的需求。因此，我們利用H3C提供的設(shè)備管理控制臺（DMC，Device ManagementController）技術(shù)，在圖1中的AR2811路由器上安裝一塊8口的串口卡，其余設(shè)備的Console接口通過反序RJ45線纜連接到此卡的接口上。用戶要能登陸到此DMC設(shè)備上就可以方便地操作它所連接的設(shè)備。

2 SSL VPN

網(wǎng)絡(luò)實驗室遠程開放的關(guān)鍵在于如何安全地讓用戶在經(jīng)過認證后登陸到指定機架的DMC，而VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）技術(shù)是達到此目的的最佳選擇。目前，VPN技術(shù)主要分為SSL VPN、IPSec VPN和L2TP VPN。SSL VPN 是以SSL（Secure Sockets Layer，安全套接字層）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。SSL VPN 充分利用了SSL 協(xié)議提供的基于證書的身份認證、數(shù)據(jù)加密和消息完整性驗證機制，可以為應(yīng)用層之間的通信建立安全連接。最為關(guān)鍵的是，SSL本身就被幾乎所有的Web瀏覽器支持，這意味著客戶端不需要為了支持SSL連接安裝額外的軟件，而其余兩種VPN技術(shù)均需要用戶安裝客戶端軟件方能使用。從安全和方便用戶的角度考慮，SSL VPN無疑是實驗室遠程開放的首選。

3 配置實現(xiàn)

3.1 實驗室網(wǎng)絡(luò)規(guī)劃

實驗室網(wǎng)絡(luò)拓撲及IP規(guī)劃如圖2所示，用戶和CA服務(wù)器與VPN設(shè)備的外聯(lián)接口之間需路由可達，SSL VPN設(shè)備需要從CA服務(wù)器獲取數(shù)字證書。有關(guān)CA服務(wù)器的配置，讀者可參閱相關(guān)文獻。

圖2 遠程網(wǎng)絡(luò)實驗室網(wǎng)絡(luò)規(guī)劃

3.2 DMC配置

（1）配置外聯(lián)接口IP地址

[H3C-Ethernet0/1]ip address 10.1.1.1 24

（2）創(chuàng)建管理平臺用戶

[H3C]local-user admin

[H3C-luser-admin]password simple admin

[H3C-luser-admin]service-type telnet terminal

[H3C-luser-admin]level 3

（3）異步串口配置

逐個進入每個異步串口，將接口的鏈路建立模式設(shè)置為流模式，禁用接口的電平檢測。

[H3C]interface Async 1/0

[H3C-Async1/0]async mode flow

[H3C-Async1/0]undo detect dsr-dtr

（4）配置telnet 重定向

[H3C]user-interface tty 17 24

[H3C-ui-tty17-24]undo shell

#允許啟動接口重定向

[H3C-ui-tty17-24]redirect enable

[H3C-ui-tty17-24]flow-control none

#配置TTY接口不采用流量控制

[H3C-ui-tty17-44]undo redirect timeout

#設(shè)定telnet重定向永遠不超時

[H3C-ui-tty17-24]redirect return-deal from-telnet

#設(shè)置重定向路由器對從telnet客戶端接收到的回車符進行處理。

（5）啟用DMC功能

[H3C]dmc enable

[H3C]dmc device-type show

3.3 驗證DMC配置

在完成機架設(shè)備的互聯(lián)和DMC的配置之后，即可通過WEB方式訪問和使用機架。

在瀏覽器地址欄中輸入http://10.1.1.1:8888，輸入之前配置的用戶名及密碼，即可轉(zhuǎn)到如圖5所示的設(shè)備控制臺界面，單擊相應(yīng)的設(shè)備圖標可打開其終端界面。

3.4 SSL VPN配置

此例中筆者采用H3C MSR3020路由器作為SSL VPN網(wǎng)關(guān)。

（1）為SSL VPN網(wǎng)關(guān)MSR-3020申請證書

# 配置PKI實體en，指定實體的通用名為http-server。

[MSR3020] pki entity en

[MSR3020-pki-entity-en]common-name http-server

# 配置PKI域sslvpn

[MSR3020] pki domain sslvpn

[MSR3020-pki-domain-sslvpn]ca identifier ca server

[MSR3020-pki-domain-sslvpn] certificate request url http://192.168.68.58/certsrv/mscep/mscep.dll

[MSR3020-pki-domain-sslvpn] certificate request from ra

[MSR3020-pki-domain-sslvpn] certificate request entity en

# 生成本地的RSA密鑰對。

[MSR3020] public-key local create rsa

# 獲取CA的證書。

[MSR3020]pki retrieval-certificate ca domain sslvpn

# 為MSR3020申請證書。

[MSR3020] pki request-certificate domain sslvpn

（2）配置SSL VPN服務(wù)使用的SSL服務(wù)器端策略

# 創(chuàng)建SSL服務(wù)器端策略myssl，并指定該策略使用PKI域sslvpn。

[MSR3020] ssl server-policy myssl

[MSR3020-ssl-server-policy-myssl] pki-domain sslvpn

（3）配置SSL VPN策略

# 指定SSL VPN服務(wù)使用的SSL服務(wù)器端策略為myssl

[MSR3020] ssl-vpn server-policy myssl

# 使能SSL VPN服務(wù)。

[MSR3020] ssl-vpn enable

（4）在WEB界面中配置用戶及資源

通過MSR3020的WEB管理界面，依次配置VPN用戶地址池、TCP資源、用戶及用戶組，并對用戶進行資源分配。

（5）驗證配置結(jié)果

遠程接入用戶訪問https://192.168.100.1/svpn，輸入相應(yīng)賬號后，在圖4所示的界面中單擊相應(yīng)的設(shè)備名稱，即可通過如圖5所示的telnet窗口對設(shè)備進行操作。

圖5 Telnet窗口

4 結(jié)束語

構(gòu)建開放型的計算機網(wǎng)絡(luò)實驗室是實驗室建設(shè)的一個趨勢，通過H3C的DMC管理平臺以及SSL VPN技術(shù)，結(jié)合優(yōu)化的機架設(shè)備部署，可構(gòu)建方便遠程使用的H3C網(wǎng)絡(luò)實驗室。該實驗室經(jīng)我校師生試用，運行穩(wěn)定，達到了預(yù)期目標。

[1] 許波.基于SSL VPN 的遠程訪問控制平臺研究[C].天津:天津理工大學(xué),2011.

[2] 孫丹東.基于SSL VPN的遠程網(wǎng)絡(luò)互聯(lián)實驗室的應(yīng)用研究[J].無線互聯(lián)科技,2011(12):24-25.

[3] 徐博.面向SSL VPN的訪問控制及相關(guān)技術(shù)研究[C].杭州:浙江工業(yè)大學(xué),2009.

[4] 王春海,宋濤.VPN 網(wǎng)絡(luò)組建案例實錄(第2版)[M].北京:科學(xué)出版社,2011.

H3C network laboratory design and implementation of open and distance

For the remote open implementation H3C network laboratory, improve the utilization rate of network laboratory, this paper first network design, network laboratory and experimental frame network equipment centralized management and SSL VPN technical characteristics and other issues discussed, and then combined with the example of the realization methods are given specific configuration.

H3C network Laboratory; open and distance; DMC; SSL VPN

圖4 用戶登陸后的SSL VPN界面

TP393.08

A

1008-1151(2015)03-0005-03

2015-02-10

廣西師范學(xué)院教學(xué)改革工程“十一五”項目（200932）。

藍貞雄（1977－），男，廣西忻城人，廣西師范學(xué)院講師，從事計算機網(wǎng)絡(luò)理論及應(yīng)用方面的教學(xué)與科研工作。