■

引言

為了加強(qiáng)CERNET信息管理和促進(jìn)互聯(lián)網(wǎng)健康發(fā)展，CERNET網(wǎng)絡(luò)中心要求各CERNET接入單位自行“上報(bào)ICP備案信息”及“上報(bào)本單位上聯(lián)CERNET的網(wǎng)關(guān)信息”。盡管只涉及到學(xué)校一級(jí)域名、特殊域名和IP地址的上報(bào)備案，但作為學(xué)校信息業(yè)務(wù)主管部門的網(wǎng)絡(luò)中心，仍需負(fù)責(zé)對(duì)校園網(wǎng)所有對(duì)外發(fā)布信息進(jìn)行控制。為此，學(xué)校網(wǎng)絡(luò)中心應(yīng)該對(duì)校園網(wǎng)服務(wù)器做信息服務(wù)備案，監(jiān)管好校園網(wǎng)的信息來(lái)源，為CERNET的健康發(fā)展盡一份責(zé)任。

服務(wù)器可以基于雙棧技術(shù)搭建，配置靜態(tài)IPv4/IPv6地址，為了便于訪問(wèn)資源，有些還提供域名。信息服務(wù)備案就是針對(duì)這些IP地址和域名來(lái)進(jìn)行。

圖1 用戶管理系統(tǒng)入網(wǎng)管理界面

我們校園網(wǎng)通過(guò)一臺(tái)邊界防火墻與CERNET互聯(lián)，防火墻放行與內(nèi)網(wǎng)客戶有關(guān)報(bào)文，限制接收外網(wǎng)服務(wù)請(qǐng)求報(bào)文，放行內(nèi)網(wǎng)服務(wù)回應(yīng)報(bào)文，也即校園網(wǎng)用戶可以訪問(wèn)外網(wǎng)，但只有備案信息才允許對(duì)外發(fā)布。要實(shí)現(xiàn)這些功能，就得在該防火墻上配置合適的ACL來(lái)實(shí)施相應(yīng)的訪問(wèn)控制策略，一般網(wǎng)站域名由校園網(wǎng)DNS做域名解析，某些特殊網(wǎng)站域名允許由其他服務(wù)提供商DNS做域名解析。也就是說(shuō)，這里的“備案”除了進(jìn)行服務(wù)器資料登記與管理外，還要進(jìn)行相關(guān)網(wǎng)絡(luò)設(shè)備的命令配置。

備案過(guò)程

我校網(wǎng)絡(luò)中心服務(wù)器備案過(guò)程大致如下：

當(dāng)用戶要對(duì)校外提供信息服務(wù)時(shí)，先向網(wǎng)絡(luò)中心提出申請(qǐng)，填寫校園網(wǎng)服務(wù)器資料登記表，表中內(nèi)容包括所屬部門、管理員姓名、聯(lián)系電話、E－Mail、放置地點(diǎn)、服務(wù)器的IPv4/IPv6地址、主機(jī)域名、信息服務(wù)類型（使用TCP/UDP端口號(hào)表示）等，然后交由本部門（部、處、學(xué)院）領(lǐng)導(dǎo)審批；部門領(lǐng)導(dǎo)加上審批意見(jiàn)、簽名和日期、并蓋上公章表示同意；用戶將獲得“同意”的登記表交到網(wǎng)絡(luò)中心，辦理服務(wù)器備案手續(xù)。

注：校園網(wǎng)為用戶提供二級(jí)域名注冊(cè)，不建議在其他服務(wù)提供商那里注冊(cè)個(gè)性化域名，否則要自行去CERNET備案，若不然CERNET會(huì)對(duì)沒(méi)有備案的域名所對(duì)應(yīng)的IP地址進(jìn)行過(guò)濾。

服務(wù)部（前臺(tái)）收到登記表后，交由業(yè)務(wù)主管審核，復(fù)印一份主管審核過(guò)的登記表交給運(yùn)維部，并將該登記表原件存檔。

運(yùn)維部（后臺(tái)）在接到服務(wù)器備案請(qǐng)求后，依照既定的備案策略在校園網(wǎng)邊界防火墻上做相應(yīng)的ACL配置、在DNS服務(wù)器上做相應(yīng)的域名解析配置，之后回復(fù)前臺(tái)。

前臺(tái)收到后臺(tái)完成備案配置的回復(fù)后，通過(guò)電話或電子郵件讓用戶確認(rèn)備案是否生效。

備案過(guò)的服務(wù)器，每年都要例行年審，過(guò)期不辦理的一律視作自動(dòng)注銷。

在進(jìn)行信息服務(wù)備案時(shí)，前臺(tái)負(fù)責(zé)處理政策性方面的工作，后臺(tái)負(fù)責(zé)技術(shù)性方面的工作，整個(gè)過(guò)程要求前臺(tái)、后臺(tái)相互配合，多人參與共同完成。

解決方案

本方案采用的技術(shù)路線是，對(duì)原有的用戶管理系統(tǒng)進(jìn)行修改，增加信息服務(wù)備案功能，使前臺(tái)可以按目前已定型的用戶管理模式來(lái)進(jìn)行校園網(wǎng)服務(wù)器資料登記表的數(shù)據(jù)錄入與管理，并將后臺(tái)的技術(shù)性工作交由perl腳本程序自動(dòng)完成，而外置的這些腳本程序定時(shí)查詢?cè)撓到y(tǒng)相關(guān)數(shù)據(jù)表，判斷是否有等待受理的信息服務(wù)需要進(jìn)行ACL和DNS的相關(guān)配置。

在申請(qǐng)信息服務(wù)備案時(shí)，一定是先按校園網(wǎng)客戶身份來(lái)申請(qǐng)IP地址，再在此基礎(chǔ)上進(jìn)行與信息服務(wù)相關(guān)的處理。目前，我們使用的用戶管理系統(tǒng)是基于Oracle自主開發(fā)的，用于IPv4地址分配與管理，可實(shí)現(xiàn)用戶辦理入網(wǎng)時(shí)所需的受理、變更、查詢和統(tǒng)計(jì)等功能（如圖1），并基于該系統(tǒng)相關(guān)數(shù)據(jù)表通過(guò)第三方程序?qū)τ脩魧?shí)行網(wǎng)絡(luò)接入控制，例如，對(duì)學(xué)生用戶采用802.1X認(rèn)證，對(duì)其他用戶采用IP與MAC一對(duì)一綁定。由于IPv6還處于試用階段，沒(méi)有對(duì)用戶做任何接入控制，可以免費(fèi)使用，但利用IPv6提供的信息服務(wù)同樣要加以限制。

網(wǎng)絡(luò)中心規(guī)定，對(duì)外提供信息服務(wù)的用戶必須是單位用戶，其IP地址是固定不變的。原有的用戶管理系統(tǒng)所處理的數(shù)據(jù)項(xiàng)屬于IP地址的客戶屬性。顯然，IP地址的服務(wù)器屬性除了包含這些客戶屬性外，還要有域名、信息服務(wù)類型和受理時(shí)間等數(shù)據(jù)項(xiàng)。為了能夠按原有的用戶管理架構(gòu)進(jìn)行信息服務(wù)備案管理，可以對(duì)該系統(tǒng)加以改進(jìn)，通過(guò)增加域名、信息服務(wù)類型和受理時(shí)間等數(shù)據(jù)項(xiàng)，仍采用相同的操作界面，提供備案管理的受理、變更、查詢和統(tǒng)計(jì)等功能。

因?yàn)椴皇撬械腎P地址都需要服務(wù)器屬性，為了減少數(shù)據(jù)冗余，不變動(dòng)原來(lái)數(shù)據(jù)庫(kù)的客戶數(shù)據(jù)表結(jié)構(gòu)，再創(chuàng)建一個(gè)服務(wù)器數(shù)據(jù)表，其表結(jié)構(gòu)包括IPv4、IPv6、域名、TCP端口號(hào)列表、UDP端口號(hào)列表、受理日期、使用狀態(tài)等字段。令兩表中的IPv4地址字段為關(guān)鍵字字段，用于關(guān)聯(lián)兩個(gè)數(shù)據(jù)表，這樣就可以通過(guò)服務(wù)器數(shù)據(jù)表來(lái)判斷該IP地址提供了哪些服務(wù)。為了使該系統(tǒng)對(duì)客戶的管理功能同樣適用于管理服務(wù)器，可以將其處理方法移植到對(duì)服務(wù)器的管理上。這里的IPv6信息服務(wù)只適用于采用雙棧技術(shù)搭建的、配置有IPv4地址的服務(wù)器。

圖2 IPv4 ACL配置

圖3 IPv6 ACL配置

ACL配置說(shuō)明

根據(jù)信息等保要求，邊界防火墻使用國(guó)產(chǎn)華為防火墻。在該防火墻上通過(guò)ACL控制外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)，針對(duì)網(wǎng)絡(luò)中存在的雙棧服務(wù)器，分別配置IPv4 ACL和IPv6 ACL。假定用戶申請(qǐng)備案服務(wù)器的IPv4/6地址分別是202.116.65.123和2001:250:3002:2015::123，提供WWW服務(wù)，允許所有外網(wǎng)用戶訪問(wèn)，則在邊界防火墻連接外網(wǎng)接口的入方面上應(yīng)用ACL，其中IPv4 ACL配置如圖2所示。

相應(yīng)地，IPv6 ACL配置如圖3所示。

在ACL配置處理時(shí)，ACL配置程序依據(jù)備案數(shù)據(jù)，按格式（1）和（3）分別生成相應(yīng)的IPv4 ACL和IPv6 ACL表項(xiàng)后，遠(yuǎn)程登錄到防火墻，在IPv4 ACL配置模式中，將ACL新表項(xiàng)插入到ACL中最后一條拒絕所有流量的rule deny ip表項(xiàng)之前。如此重復(fù)處理，讓該程序向防火墻逐條輸入新的ACL表項(xiàng)，即時(shí)生效。刪除指定的ACL表項(xiàng)的處理過(guò)程類似，不再贅述。相同做法也適用于配置IPv6 ACL，但要注意，如格式（2）所示的表項(xiàng)是不能缺少的，因?yàn)镮Pv6的NDP（鄰居發(fā)現(xiàn)協(xié)議）使用ICMP報(bào)文，需要在ACL中放行ICMP報(bào)文。

域名解析配置說(shuō)明

校園網(wǎng)DNS負(fù)責(zé)解析在校內(nèi)注冊(cè)的網(wǎng)站域名，因?yàn)樾@網(wǎng)一級(jí)域名sysu.edu.cn已在CERNET備案，所以將校園網(wǎng)一級(jí)域名作為其后綴的網(wǎng)站域名都是合法的。校園網(wǎng)運(yùn)行一臺(tái)主DNS服務(wù)器和多臺(tái)輔助DNS服務(wù)器，假定為前面提到的那臺(tái)服務(wù)器提供test.sysu.edu.cn域名，則需更改主DNS服務(wù)器的正、反向域名解析區(qū)域文件。

對(duì)應(yīng)zone "sysu.edu.cn"的正向解析區(qū)域文件是sysu.zone，如圖4所示。

對(duì)應(yīng)zone "65.116.202.ip-addr.arpa"的IPv4反向解析區(qū)域文件是202.116.65.revzone，如圖5所示。

對(duì) 應(yīng)zone "5.1.0.2.2.0.0.3.0.5.2.0.1.0.0.2.ipv 6.int"的IPv6反向解析區(qū)域文件是2001:250:3002:2015.revzone。

在域名解析配置時(shí)，DNS配置程序遠(yuǎn)程登錄到雙棧主DNS服務(wù)器，打開正、反向域名解析區(qū)域文件，按（5）-（8）格式分別在相應(yīng)文件中添加正反解析域名記錄項(xiàng)。這三個(gè)文件的頭部格式相同，其中Serial域的值是DNS配置序列號(hào)，每次更改記錄后，應(yīng)增大Serial值來(lái)觸發(fā)輔助DNS服務(wù)器與其同步。完成文件編輯后，重啟DNS服務(wù)器守護(hù)進(jìn)程named，使修改過(guò)的配置生效。

結(jié)束語(yǔ)

圖4 正向解析區(qū)域文件

圖5 IPv4反向解析區(qū)域文件

該方案從實(shí)際應(yīng)用出發(fā)，對(duì)原有用戶管理系統(tǒng)加以改造，使之具有信息服務(wù)備案的管理功能，通過(guò)腳本程序定時(shí)檢測(cè)該系統(tǒng)的備案狀態(tài)，并根據(jù)檢測(cè)結(jié)果進(jìn)行ACL和DNS相關(guān)配置，讓自動(dòng)化處理盡可能貫穿整個(gè)信息服務(wù)備案過(guò)程，減輕工作強(qiáng)度、提高工作效率。

征稿函

欄目定位：

基礎(chǔ)設(shè)施管理包括對(duì)硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對(duì)網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測(cè)試、配置、分析、評(píng)價(jià)和控制。

同時(shí)也征集您在網(wǎng)絡(luò)管理方面遇到的問(wèn)題、疑惑。

文章選材（不限于以下議題，可自由發(fā)揮）：

1.設(shè)備運(yùn)維：介紹、分析硬件設(shè)備的維修、保養(yǎng)、管理、配置、優(yōu)化的經(jīng)驗(yàn)技巧。

2.網(wǎng)管軟件：介紹網(wǎng)絡(luò)管理工作中相關(guān)的工具軟件，使用方法、實(shí)現(xiàn)目的、網(wǎng)絡(luò)情況的前后對(duì)比效果。

3.網(wǎng)管經(jīng)驗(yàn)：在以往的網(wǎng)絡(luò)管理工作中的設(shè)計(jì)、實(shí)施、經(jīng)驗(yàn)教訓(xùn)。

4.機(jī)房與數(shù)據(jù)中心（實(shí)用性）：對(duì)企業(yè)和數(shù)據(jù)中心中的IT基礎(chǔ)設(shè)施以及硬件設(shè)備的維修、保養(yǎng)、管理、配置、優(yōu)化的經(jīng)驗(yàn)技巧。文章強(qiáng)調(diào)實(shí)用性，可操作性和可靠性，有總結(jié)的內(nèi)容。

5.機(jī)房與數(shù)據(jù)中心（概念性）：機(jī)房與數(shù)據(jù)中心中UPS、布線、路由交換、監(jiān)控管理、機(jī)柜機(jī)架、空調(diào)制冷、規(guī)章制度等的說(shuō)明、總結(jié)與展望，可對(duì)現(xiàn)有情況進(jìn)行總結(jié)和對(duì)新技術(shù)、新產(chǎn)品的評(píng)定、評(píng)測(cè)等。投稿信箱：micsun@365master.com