樂(lè)寧莉，游貴榮，陳杰

(福建商學(xué)院 信息網(wǎng)絡(luò)中心,福建 福州 350012)

?

基于B/S的機(jī)房自助網(wǎng)絡(luò)控制系統(tǒng)的研究*

樂(lè)寧莉，游貴榮，陳杰

(福建商學(xué)院 信息網(wǎng)絡(luò)中心,福建 福州 350012)

分析了高校授課機(jī)房中網(wǎng)絡(luò)訪問(wèn)控制存在的問(wèn)題，提出一種將機(jī)房網(wǎng)絡(luò)控制權(quán)限下放給教師的管理思路，設(shè)計(jì)并實(shí)現(xiàn)了基于B/S模式的教師自助開(kāi)關(guān)機(jī)房?jī)?nèi)外網(wǎng)的解決方案，強(qiáng)化教師對(duì)課堂的組織管理，減輕網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)，在實(shí)際使用中取得了良好的效果。

網(wǎng)絡(luò)控制；ACL；SecureCRT

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)已成為學(xué)生獲取信息的重要手段，特別是高?；诨ヂ?lián)網(wǎng)的實(shí)訓(xùn)課，教師需要訪問(wèn)互聯(lián)網(wǎng)進(jìn)行實(shí)訓(xùn)教學(xué)，同時(shí)又希望能在機(jī)房中實(shí)現(xiàn)上網(wǎng)行為的靈活控制，避免學(xué)生在授課過(guò)程中訪問(wèn)與課程無(wú)關(guān)的網(wǎng)站，做到維護(hù)教學(xué)秩序同時(shí)又保證教學(xué)質(zhì)量[1-3]。為解決這一問(wèn)題，各學(xué)校嘗試使用不同方法來(lái)解決機(jī)房網(wǎng)絡(luò)的訪問(wèn)控制。目前高校常用的網(wǎng)絡(luò)訪問(wèn)控制有以下4種解決方案。

(1)物理網(wǎng)絡(luò)隔離法,即手動(dòng)插拔機(jī)房交換機(jī)上聯(lián)接口的網(wǎng)線，實(shí)現(xiàn)機(jī)房局域網(wǎng)與匯聚交換機(jī)連接的物理隔離。此法優(yōu)點(diǎn)是教師操作簡(jiǎn)單，缺點(diǎn)是經(jīng)常插拔操作，交換機(jī)接口容易損壞，且上聯(lián)接口斷開(kāi)后，導(dǎo)致除本機(jī)房外的所有網(wǎng)絡(luò)不能訪問(wèn)，無(wú)法滿足網(wǎng)絡(luò)精細(xì)化控制需求。

(2)交換機(jī)ACL(Access Control List，訪問(wèn)控制列表)訪問(wèn)控制法[4]，即通過(guò)ACL來(lái)控制網(wǎng)絡(luò)數(shù)據(jù)流走向。此法優(yōu)點(diǎn)是網(wǎng)絡(luò)控制效果好，學(xué)生客戶端無(wú)法繞過(guò)控制策略，也能精確控制內(nèi)部網(wǎng)絡(luò)的互訪行為。缺點(diǎn)是非網(wǎng)絡(luò)專(zhuān)業(yè)教師不易掌握交換機(jī)配置方法，故只適合網(wǎng)絡(luò)管理員進(jìn)行操作，增加了網(wǎng)管的工作量。

(3)多媒體教學(xué)管理軟件控制法[5]，即使用極域電子教室、紅蜘蛛電子教室等軟件，編輯一個(gè)網(wǎng)址白名單，達(dá)到控制網(wǎng)絡(luò)訪問(wèn)的目的。此法優(yōu)點(diǎn)是教師操作相對(duì)簡(jiǎn)單，精細(xì)化控制效果較好。缺點(diǎn)是若客戶端禁止加入管理組，則網(wǎng)絡(luò)訪問(wèn)控制會(huì)失效。

(4)上網(wǎng)行為管理系統(tǒng)控制法[5]，即使用上網(wǎng)行為管理系統(tǒng)軟件，如深信服、Panabit等，達(dá)到控制網(wǎng)絡(luò)訪問(wèn)的目的。其優(yōu)點(diǎn)是具有強(qiáng)大的控制和分析功能，對(duì)P2P協(xié)議和下載進(jìn)行較好的限制。缺點(diǎn)是網(wǎng)絡(luò)控制不完善，價(jià)格高昂，教師操作復(fù)雜。同多媒體教學(xué)管理軟件控制法比較，都是商業(yè)軟件，上網(wǎng)行為管理系統(tǒng)控制法部署在網(wǎng)絡(luò)出口，雖避免了機(jī)房?jī)?nèi)部用戶繞過(guò)控制策略，但仍無(wú)法精確控制內(nèi)部網(wǎng)絡(luò)互訪行為。

以上解決方案多數(shù)偏重管理員操作，無(wú)法解決教師對(duì)網(wǎng)絡(luò)控制行為的時(shí)間和頻率精細(xì)化需求，及實(shí)現(xiàn)教師自助控制機(jī)房網(wǎng)絡(luò)的需求。如何在現(xiàn)有的條件下，高效便捷地實(shí)現(xiàn)教師對(duì)機(jī)房上網(wǎng)行為的精細(xì)化控制，就成了高校網(wǎng)絡(luò)機(jī)房管理亟待解決的問(wèn)題。

1　機(jī)房網(wǎng)絡(luò)控制系統(tǒng)的需求分析

筆者所在高?，F(xiàn)有的網(wǎng)絡(luò)架構(gòu)模式是三層架構(gòu)(接入層、匯聚層、核心層)，所有交換設(shè)備均為可網(wǎng)管型，支持遠(yuǎn)程管理協(xié)議telnet，支持CLI(command-line interface，命令行界面)模式下的ACL配置。目前，機(jī)房網(wǎng)絡(luò)控制主要是采用交換ACL訪問(wèn)控制解決方案，由管理員手動(dòng)控制機(jī)房聯(lián)網(wǎng)狀態(tài)。

參考眾多院校的網(wǎng)絡(luò)控制需求，調(diào)整管理思路，將網(wǎng)絡(luò)管理權(quán)限下放給教師，具體有以下幾點(diǎn)需求。

(1)具有友好的圖形用戶界面，教師不需要專(zhuān)門(mén)的網(wǎng)絡(luò)專(zhuān)業(yè)知識(shí)即可對(duì)網(wǎng)絡(luò)進(jìn)行控制；

(2)可以查看每個(gè)機(jī)房當(dāng)前的網(wǎng)絡(luò)狀態(tài)，允許教師或管理員在任意時(shí)間段進(jìn)行上網(wǎng)行為控制；

(3)在非授課時(shí)間，機(jī)房的全部交換機(jī)能自動(dòng)統(tǒng)一切換為內(nèi)網(wǎng)狀態(tài)；

(4)防止非法用戶濫用網(wǎng)絡(luò)控制系統(tǒng)，使用系統(tǒng)需進(jìn)行身份驗(yàn)證，保證網(wǎng)絡(luò)安全。

2　網(wǎng)絡(luò)控制系統(tǒng)的設(shè)計(jì)思路和關(guān)鍵技術(shù)

2.1機(jī)房網(wǎng)絡(luò)控制系統(tǒng)的設(shè)計(jì)思路

圖1機(jī)房自助網(wǎng)絡(luò)控制系統(tǒng)流程

一般學(xué)校為了在局域網(wǎng)內(nèi)隔離廣播風(fēng)暴并實(shí)現(xiàn)機(jī)房互聯(lián)，會(huì)給每個(gè)機(jī)房規(guī)劃一個(gè)VLAN(Virtual Local Area Network，虛擬局域網(wǎng))并分配不同的IP地址段，將各機(jī)房的上聯(lián)口接入?yún)R聚交換機(jī)，在匯聚交換機(jī)上設(shè)置各機(jī)房的網(wǎng)關(guān)地址，匯聚交換機(jī)之間通過(guò)路由通信。控制機(jī)房網(wǎng)絡(luò)的聯(lián)網(wǎng)狀態(tài)，其實(shí)就是控制機(jī)房對(duì)應(yīng)匯聚交換機(jī)接口所采用訪問(wèn)策略。若能通過(guò)瀏覽器來(lái)實(shí)現(xiàn)控制交換機(jī)端口所采用訪問(wèn)策略，就能給教師提供一個(gè)簡(jiǎn)單、便捷的網(wǎng)絡(luò)自助控制解決方案。有管理員通過(guò)編程方式實(shí)現(xiàn)交換機(jī)的控制[6]，但開(kāi)發(fā)復(fù)雜。文章提出采用腳本調(diào)用方式，控制交換機(jī)端口的ACL策略，很大程度上降低了系統(tǒng)后臺(tái)的開(kāi)發(fā)難度。

機(jī)房網(wǎng)絡(luò)控制系統(tǒng)流程如圖1所示。用戶通過(guò)身份驗(yàn)證后，根據(jù)用戶終端的IP地址，查找用戶所在機(jī)房網(wǎng)關(guān)IP地址，依據(jù)網(wǎng)關(guān)IP地址可定位用戶所在的機(jī)房，并推送能對(duì)該機(jī)房進(jìn)行網(wǎng)絡(luò)控制的界面，同時(shí)顯示該機(jī)房當(dāng)前網(wǎng)絡(luò)狀態(tài)。服務(wù)器后臺(tái)依據(jù)用戶的實(shí)際操作調(diào)用相應(yīng)腳本，實(shí)現(xiàn)不同的網(wǎng)絡(luò)控制策略。

2.2網(wǎng)絡(luò)控制系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)

1)使用ACL控制交換機(jī)接口策略。ACL是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包是一種控制訪問(wèn)的網(wǎng)絡(luò)手段。運(yùn)用ACL能夠?qū)崿F(xiàn)對(duì)特定網(wǎng)段、時(shí)間的網(wǎng)絡(luò)開(kāi)關(guān)控制，以及某些應(yīng)用程序端口的控制策略等。

2)使用SecureCRT執(zhí)行腳本遠(yuǎn)程控制交換機(jī)。能實(shí)現(xiàn)交換機(jī)遠(yuǎn)程控制的工具軟件有很多，如SecureCRT、Putty、OpenSSH等。SecureCRT終端仿真程序支持SSH(SSH1和SSH2)、Telnet和rlogin協(xié)議。同其他遠(yuǎn)程連接軟件相比，SecureCRT支持VBScript 和JScript 腳本語(yǔ)言，可以把重復(fù)性的操作編制為腳本文件，特別是它的crt.Screen.WaitForString腳本命令可以適應(yīng)不同交換機(jī)的通訊延時(shí)；另外，可以記錄日志，能將設(shè)備的操作命令輸出并保存在日志文件中[7]。本方案采用SecureCRT作為遠(yuǎn)程控制交換機(jī)的工具軟件。

3)使用操作系統(tǒng)的任務(wù)計(jì)劃實(shí)現(xiàn)定期切換機(jī)房網(wǎng)絡(luò)模式。操作系統(tǒng)的任務(wù)計(jì)劃，可將腳本、程序或文檔安排在某個(gè)時(shí)間運(yùn)行，實(shí)現(xiàn)用戶的某些特定需求。利用任務(wù)計(jì)劃，設(shè)置適當(dāng)?shù)臅r(shí)間執(zhí)行批處理程序腳本，調(diào)用所有機(jī)房執(zhí)行內(nèi)網(wǎng)ACL策略的腳本，實(shí)現(xiàn)系統(tǒng)在非授課時(shí)間自動(dòng)將機(jī)房網(wǎng)絡(luò)模式切換為校內(nèi)局域網(wǎng)。

3　系統(tǒng)的具體實(shí)現(xiàn)與應(yīng)用情況

為了方便教師使用系統(tǒng)，將網(wǎng)絡(luò)自助控制系統(tǒng)設(shè)計(jì)為B/S架構(gòu)。由于要使用批處理程序和SecureCRT工具，操作系統(tǒng)選用Windows服務(wù)器版本,并將在系統(tǒng)上部署集成的Web服務(wù)器環(huán)境用于搭建開(kāi)源的內(nèi)容管理框架，以實(shí)現(xiàn)網(wǎng)絡(luò)自助控制系統(tǒng)。自助系統(tǒng)服務(wù)器放置在信息網(wǎng)絡(luò)中心機(jī)房?jī)?nèi)，可在校園網(wǎng)內(nèi)任意地點(diǎn)進(jìn)行訪問(wèn)，滿足管理員隨時(shí)隨地對(duì)網(wǎng)絡(luò)規(guī)則進(jìn)行調(diào)整的需求。系統(tǒng)的具體實(shí)現(xiàn)包括以下幾個(gè)部分。

3.1系統(tǒng)架構(gòu)

圖2機(jī)房自助網(wǎng)絡(luò)控制系統(tǒng)框架

系統(tǒng)主要由瀏覽器端、服務(wù)器端和腳本庫(kù)構(gòu)成，如圖2所示。瀏覽器端依據(jù)登錄用戶的身份顯示不同權(quán)限的登錄界面，使其更容易地實(shí)現(xiàn)操作。服務(wù)器端分模塊提供網(wǎng)絡(luò)控制系統(tǒng)的各種應(yīng)用功能，個(gè)人信息查詢(xún)、機(jī)房網(wǎng)絡(luò)狀態(tài)查詢(xún)和機(jī)房網(wǎng)絡(luò)控制開(kāi)關(guān)模塊是通用的，日志管理和統(tǒng)計(jì)分析是為管理員角色開(kāi)發(fā)的，管理員可使用系統(tǒng)的所有功能。腳本庫(kù)提供網(wǎng)絡(luò)自助控制系統(tǒng)調(diào)用交換設(shè)備接口，實(shí)現(xiàn)實(shí)時(shí)查詢(xún)?cè)O(shè)備日志和設(shè)備接口狀態(tài)等。

3.2匯聚交換機(jī)部署訪問(wèn)控制規(guī)則

啟用兩個(gè)ACL規(guī)則，一個(gè)取名為Access-internet(表示允許訪問(wèn)外網(wǎng))，設(shè)置從源端任意IP到目的端任意IP都不做任何控制。另一個(gè)取名為Access-intranet(表示只允許訪問(wèn)內(nèi)網(wǎng))，控制數(shù)據(jù)包允許通過(guò)的路徑從源端任意IP到目的端為內(nèi)網(wǎng)網(wǎng)段，即報(bào)文過(guò)濾檢查規(guī)則為先放行源端地址訪問(wèn)目的端地址為內(nèi)網(wǎng)網(wǎng)段的數(shù)據(jù)報(bào)文，若數(shù)據(jù)包到達(dá)的目的地址與前面設(shè)置的路徑不匹配，則執(zhí)行拒絕所有報(bào)文通過(guò)規(guī)則。

3.3配置SecureCRT的日志記錄功能

日志記錄了系統(tǒng)每天發(fā)生的各種各樣的事件，用戶可以通過(guò)設(shè)備的日志文件來(lái)檢查各種錯(cuò)誤發(fā)生的原因和掌握該設(shè)備的運(yùn)行狀態(tài)等，它是判斷運(yùn)行設(shè)備系統(tǒng)故障原因和保證系統(tǒng)安全的關(guān)鍵。通過(guò)SecureCRT記錄交換機(jī)接口查詢(xún)的運(yùn)行日志，可以獲取機(jī)房網(wǎng)絡(luò)上聯(lián)接口所在匯聚交換機(jī)接口的狀態(tài)信息，該接口信息可用來(lái)判斷當(dāng)前機(jī)房的網(wǎng)絡(luò)控制狀態(tài)。設(shè)置SecureCRT的日志記錄功能為設(shè)備連接成功后，并以覆蓋的方式記錄操作命令和返回值。

3.4建立開(kāi)關(guān)執(zhí)行腳本及狀態(tài)提取腳本

自助網(wǎng)絡(luò)控制系統(tǒng)通過(guò)網(wǎng)站后臺(tái)調(diào)用Windows批處理腳本，執(zhí)行SecureCRT應(yīng)用程序，并加載VBScript腳本，其中狀態(tài)提取腳本是以telnet方式遠(yuǎn)程連接到對(duì)應(yīng)交換機(jī)，并查詢(xún)機(jī)房對(duì)應(yīng)端口的ACL策略配置情況，以%H.log(主機(jī)名)文件形式保存交換機(jī)端口查詢(xún)結(jié)果，最后打開(kāi)該文件查詢(xún)開(kāi)關(guān)狀態(tài)。

通過(guò)預(yù)先在交換機(jī)上設(shè)置兩個(gè)ACL策略Access-intranet和Access-internet，開(kāi)關(guān)執(zhí)行腳本telnet遠(yuǎn)程連接到對(duì)應(yīng)交換機(jī)，配置機(jī)房對(duì)應(yīng)端口ACL策略來(lái)實(shí)現(xiàn)外網(wǎng)斷開(kāi)和連接。在非授課時(shí)間，系統(tǒng)啟用計(jì)劃任務(wù)斷開(kāi)所有機(jī)房外網(wǎng)連接。

3.5WEB服務(wù)器端設(shè)計(jì)實(shí)現(xiàn)

WEB服務(wù)端給用戶提供一個(gè)便于操作的界面，用戶身份認(rèn)證后，依據(jù)用戶訪問(wèn)服務(wù)器能將自身客戶端IP地址傳遞給服務(wù)器的原理，提取用戶的IP地址，判斷出用戶所在機(jī)房網(wǎng)關(guān)地址，依據(jù)機(jī)房網(wǎng)關(guān)地址推送相應(yīng)機(jī)房控制交換機(jī)端口的控制界面和權(quán)限給用戶，用戶就能實(shí)現(xiàn)自助開(kāi)關(guān)操作，調(diào)用相應(yīng)腳本。從系統(tǒng)的安全性和維護(hù)性角度考慮，只給普通教師推送所在機(jī)房對(duì)應(yīng)交換機(jī)端口的控制界面，限制教師所能控制的機(jī)房；給系統(tǒng)管理員推送所有機(jī)房的批處理腳本的控制界面，便于管理員檢測(cè)維護(hù)系統(tǒng)。最終就形成了方便教師操作的機(jī)房自助網(wǎng)絡(luò)控制系統(tǒng)。

4　結(jié)束語(yǔ)

文章分析了高校機(jī)房網(wǎng)絡(luò)訪問(wèn)控制存在的問(wèn)題，提出一種將機(jī)房網(wǎng)絡(luò)控制權(quán)限下放給教師的管理思路。通過(guò)對(duì)腳本命令的研究，提出利用批處理程序調(diào)用SecureCRT腳本命令來(lái)模擬網(wǎng)絡(luò)管理員執(zhí)行ACL策略，實(shí)現(xiàn)機(jī)房網(wǎng)絡(luò)自助控制的一種技術(shù)方案。相對(duì)于較為復(fù)雜的編程方式控制交換機(jī)，本方案具有實(shí)現(xiàn)簡(jiǎn)單、設(shè)備兼容性強(qiáng)的特點(diǎn)；但若機(jī)房部署的交換機(jī)不具備通過(guò)CLI執(zhí)行ACL 規(guī)則功能，則不能采用該方法進(jìn)行控制。網(wǎng)絡(luò)自助控制系統(tǒng)于2015年9月正式啟用，至2016年4月底，18間機(jī)房?jī)?nèi)104位教師使用此系統(tǒng)的次數(shù)已達(dá)2 958次 ，平均每月使用370人次。系統(tǒng)的應(yīng)用，省去教師開(kāi)通機(jī)房網(wǎng)絡(luò)申報(bào)審批的環(huán)節(jié)，實(shí)現(xiàn)教師自助控制機(jī)房網(wǎng)絡(luò)狀態(tài)，提高了機(jī)房網(wǎng)絡(luò)管理的效率，獲得一線教師和管理人員的一致好評(píng)，并且也為學(xué)校節(jié)約了購(gòu)買(mǎi)軟硬件和配備管理維護(hù)人員所需的經(jīng)費(fèi)開(kāi)銷(xiāo)，具有一定的推廣價(jià)值。

[1] 柯翔敏.互聯(lián)網(wǎng)教室中的教育信息化研究[J].曲阜師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2015,3(41):37-41.

[2] 張明東，戴丹丹.高校計(jì)算機(jī)教學(xué)機(jī)房的建設(shè)及其管理[J].赤峰學(xué)院學(xué)報(bào)(自然科學(xué)版),2014,9(30):18-19.

[3] 張寶瑛，李建志，李曉燕，等.教學(xué)機(jī)房網(wǎng)絡(luò)與學(xué)生課堂行為管理的研究[J].實(shí)驗(yàn)技術(shù)與管理,2013,12(30):117-120.

[4] 段珊珊，韓友前，趙忠仁.高職院校機(jī)房上網(wǎng)控制系統(tǒng)設(shè)計(jì)[J].電腦編程技巧與維護(hù),2014(2):46-48.

[5] 楊斌.基于Panabit的教學(xué)網(wǎng)絡(luò)行為控制[J].天津職業(yè)院校聯(lián)合學(xué)報(bào),2012,8(14):66-69.

[6] 沈健.實(shí)驗(yàn)室上網(wǎng)控制系統(tǒng)WebACL的設(shè)計(jì)[J].信息技術(shù),2014(1):91-97.

[7] 曹恬.基于SecureCRT的網(wǎng)絡(luò)設(shè)備配置批量備份實(shí)踐[J].運(yùn)維管理,2014(5):83-84.

(責(zé)任編輯：黃容)

Research of Self-help Network Control System in Computer Labs Based on B/S Mode

LE Ningli, YOU Guirong, CHEN Jie

(Information Network Center, Fujian Commercial College, Fuzhou 350012, China)

By analyzing the network access control problems occurred in the teaching computer room at colleges, this paper proposes a kind of management ideas which delegate the computer room's network control permissions to the teachers. This paper also designs a formula about the self-help network control system in the computer labs based on B/S mode, which can enhance the classroom organization and management and reduce the burden of the network administrators. Good results have been achieved in the practical use.

Network control; ACL; Secure CRT

2016-06-08；

2016-07-14

福建省青年教師科研項(xiàng)目(JA15730)

樂(lè)寧莉(1980—)，女，福建南平人，碩士，實(shí)驗(yàn)師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

TP308

A

2095-2562(2016)04-0037-04