軟路由軟流控硬件化項目試驗實施報告

沈　衛

項目背景

一、流量控制

流量控制是控制用于防止在端口阻塞的情況下丟幀,這種方法是當發送或接收緩沖區開始溢出時,通過將阻塞信號發送回源地址實現的。流控軟件可以有效地防止由于網絡中瞬間的大量數據對網絡帶來的沖擊,保證用戶網絡高效而穩定地運行。

一般有兩種控制流量的方式:一種是在半雙工方式下,流量控制是通過反向壓力,即我們通常說的背壓計數實現的,這種計數是通過向發送源發送jamming信號使得信息源降低發送速度;另一種是在全雙工方式下,流量控制一般遵循IEEE 802.3X標準,是由交換機向信息源發送“pause”幀,令其暫停發送。

有的交換機的流量控制會阻塞整個lan的輸入,這樣大大降低了網絡性能;高性能的交換機僅僅阻塞向交換機擁塞端口輸入幀的端口。采用流量控制,使傳送和接受節點間數據流量得到控制,可以防止數據包丟失。

二、硬件流控和軟件流控

硬件流控可簡稱硬流控,一般是由企業設計生產的完整硬件和獨立開發軟件構成的網絡設備。例如:Ascenflow、packeteer、Ace net、金御、sungate、深信服等。軟流控是一種軟件,是基于某種操作系統下的流控軟件,有時也會集成網關、vpn等功能。例如:Windows下的p2p終結者、p2pover、skiller等;linux下ros、panabit、monowall、海蜘蛛、Coyote、SmoothWall等。

三、“軟路由軟流控硬件化”

考慮到價格因素,硬流控逐步被“軟路由軟流控硬件”所取代。拋開硬流控的軟件、穩定性和服務性,其實,硬流控的硬件構成是比較簡陋的。就像思科一樣,它的每個路由價格昂貴,但是賣的不是硬件的錢,而是協議和軟件。所以,就出現了硬件自制、軟件自制的“軟路由軟流控硬件”。即用pc、server或者類似專業設備做流控的硬件,用自制的軟件做流控的系統,從而達到用很少的價格,實現價值數十萬的設備的相似功能。

項目內因

類似monowall等都是基于開放源代碼的免費防火墻軟件,技術成熟,性能卓越,功能完善,堪比3萬以下的硬件防火墻,在實驗學校的使用中取得了良好的應用效果。

項目外因

目前,南京市中小學校園網大多采用普通路由器下接普通交換機的網絡模式,路由器僅僅實現了網絡接入功能,這無疑增大了校園網的管理人員的工作量,一方面為了保證網絡通暢要對網內的計算機進行殺毒,另一方面又要督促各校園網接入用戶進行上網登記,功能不完善。

通過軟路由軟流控硬件實現nat,保障學校網站及網絡的安全,限制上網用戶的下載流量,綁定上網用戶的mac地址,防止arp病毒,以保證網絡通暢,同時在軟路由軟流控硬件上開通入網認證功能,給所有上網人員分配入網賬號和密碼,進行實名制上網。另外,在安裝網絡監控軟件的計算機上安裝日志接收軟件,記錄軟路由軟流控硬件上的入網賬號情況,代替上網登記冊,作為上網登記憑證。

項目成本

企業已經定制好硬流控(普教)的價位,一般低端1萬多,中端3萬多,高端5萬多。

在網絡應用達到一定高度后,必然產生流控需求,需要流控硬件的采購。要想在全市配齊流控設備,需求的資金量就相當高。而軟路由軟流控硬件成本為網上采購硬件、軟件二次開發成本,以及軟件培訓、硬件安裝、質保、維護成本之和,每臺小于1 500元。

項目解析

一、軟路由軟流控軟件

軟路由軟流控是目前比較流行的基于FreeBSD下開放性架構的自由軟件體系。例如海蜘蛛、smoothwall、minifw、m0n0wall、panabit、ROS等免費軟件基礎上再漢化、二次開發、模塊插件開發使其符合南京普教網絡應用的需求。

在項目過程中,我們發現monowall最適宜開發和推廣應用。目前,南京市軟件工作室一直在從事培訓、漢化、二次開發、模塊插件開發等項目推進工作。monowall是一個完整的、嵌入式的防火墻軟件包計劃,該軟件包可以安裝于一臺嵌入式PC,提供具備商業防火墻所有重要特性(包括易用性),但價格只有商業防火墻的幾分之一(自由軟件)。monowall基于FreeBSD的精簡版本,包括一個Web服務器(mini_httpd),PHP以及其他一些工具。整個系統配置被存放在一個XML文件中,條理清晰。

我們推測,monowall在啟動的時候使用PHP配置的第一個UNIX系統,這種結構勝于shell腳本,并且整個系統配置被存放在XML格式中。

二、“軟路由軟流控硬件”種類介紹

“軟路由軟流控硬件”一般分為基于普通PC架構、基于服務器架構、基于低廉流控改制三種架構方式。其中普通PC價格低廉,如果采用老舊PC,成本更低。但是,其性能不強、穩定性較差、空間占用和耗電量較大;服務器建議采用機架式,這樣性能比較好,穩定性較強,但是性價比不高、能耗較大;低廉流控改制能耗低、穩定性高,改制卻較困難。此外,還有一種全新定制的工控機箱構建,價格略高,能耗較差、性價比較低、但是DIY方便、性能較強。

三、“軟路由軟流控硬件”三種模式

教育系統資金緊缺,而他們對于流量控制、行為管理需求卻日益增大的情況,定制了一些“軟路由軟流控硬件”,價格低廉、性能穩定。這些“軟路由軟流控硬件”都是利用一些舊設備或者定制工控機箱加一些較成熟軟流控構成。主要有以下三種模式:

1.服務器模式(二手1U 服務器的改制):硬件是1U的機架式短款服務器更換電子硬盤,系統可定制。(圖1)

2.專業級模式(二手1U流控的改制):硬件是專業級別二手1U流控、防火設備,系統可定制為Routeros、monowall、Panabit。(圖2)

3.工控機模式(全新定制工控機箱):硬件可全新定制,可使用全套服務器硬件,系統可定制。(圖3)

四、建議

硬件選擇需要考慮的因素主要有:價格(工控機模式最貴、服務器模式最便宜);尺寸(都是1U上架);性能(工控機模式最強、專業級模式最弱);穩定(專業級模式最穩定、工控機模式最差);易用(服務器模式最好、專業級模式最難);能耗(專業級模式最小、工控機模式最大)。

軟件方面則有多種流控軟件可供選擇,如海蜘蛛、monowall、Ros、smoothwall是軟路由加流控加防火的整合;panabit更多側重流控。海蜘蛛易用性最高、monowall和Ros功能最強可玩性最多、smoothwall成名很早國外用戶很多、panabit免費且不斷更新,其中,monowall有很多插件和模塊可以組合,例如panabit。Ros有便捷的工作時間設定。Panabit可視性很好,有很好的監控統計功能。

主要功能和特色

以monowall功能舉例:monowall的主要功能和特色

monowall軟路由軟流控硬件主要功能如下:

● WEB 界面(支持 SSL)

● 用于恢復系統的串口界面

○ 設置 LAN IP 地址

○ 重置密碼

○ 恢復初始默認設置

○ 重啟系統

● 無線支持(access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)

● 上網認證(captive portal)

● 支持 802.1Q VLAN

● 基于狀態的包過濾

○ block/pass 規則

○ 日志

● NAT/PAT(包括 1:1)

● 在WAN口上支持 DHCP 客戶、PPPoE、PPTP 和 Telstra BigPond Cable

● IPsec VPN 隧道(IKE; 支持硬件加密卡,移動客戶和證書)

● PPTP VPN (支持 RADIUS 服務器)

● 靜態路由

● DHCP 服務器與中繼

● 緩存DNS轉發器

● 動態 DNS 客戶端與RFC 2136 DNS更新器

● SNMP代理

● 流量整形(帶寬限制)

● 基于SVG的流量圖

● 可以通過WEB界面進行固件升級

● 喚醒 LAN客戶

● 配置文件備份/恢復

● 主機/網絡別名

項目范圍

軟路由軟流控硬件適用于任何中小學校園網的入口防火墻部署和橋接流控的部署及網段(如機房)的部署。

軟路由軟流控軟件發布時只包含產品、產品配置說明書、產品使用說明書,不包括硬件設備。軟路由軟流控硬件需要學校自己網上采購或市區縣技裝部門集中委托集成商網上采購,確保質量、售后、維護、培訓等后續事宜。

軟路由軟流控硬件主要面向中小學、大中專院校等教育行業客戶。針對教育行業專業網管人員素質不齊、經費緊張等問題,軟路由軟流控硬件可以快速部署、災難恢復、低費用維護,使用管理非常方便。用戶只要會上網,就能夠通過webgui管理軟路由軟流控硬件。

項目規模與發展趨勢

市面上有類似m0n0wall的防火墻軟件,但大多安裝麻煩,穩定性不足,或者需要高昂的收費,或者沒有中文版本。

本次項目所使用的產品,所有版本針對南京教育市場免費,且終身免費升級。1.235版本已經發布,經過試驗學校的使用,受到用戶好評。

目前,在該項目實施過程中已經開辦過的培訓班共計有12個班次(白下區班、市綜合班、高淳縣班、溧水縣班、沿江區班、鼓樓區班、玄武區班、建鄴秦淮區班、江寧區班、省級南京市班、省級省館班、省級蘇州班),累計培訓網絡管理人員人數達600多人。即將開辦的培訓班,南京市初級網管培訓班還有5個區級班,全省普通高中省級網管培訓班預計300多人,全省初中省級網管培訓班預計達2 000人。

南京市教育IT聯盟網站(http://www.njeit.cn)培訓教程欄目提供了大量的軟路由軟流控軟件的培訓資料和硬件化搭建方案,技術知道欄目提供了技術答疑空間;建立南京教育IT聯盟超級QQ群,提供在線技術交流。

該項目在南京市各試點學校使用狀況良好,如經過南京市初級網管培訓后,對學員進行到校評估考核,“南京市校園網絡管理基礎性評估”檢查項目中“主網關設備故障時,有備用網關,保證全校外網訪問”占一定分值,經過檢查的幾百所學校都已掌握用學校舊電腦搭建了軟路由軟流控硬件設備,確保教學和實踐的落實,也保證了項目的推進。

下關區教師進修學校、下關區建寧小學早在三年前就部署,下關區已陸續部署十幾所學校。白下區三中三校區部署,然后向本區6所初中校贈送6臺專業級軟路由軟流控硬件設備;白下區在9月份全面部署剩余學校,覆蓋面100%。南京市第一中學、玄武外國語學校、南京外國語學校、南京市第13中學等南京市重點學校也已開始部署軟路由軟流控硬件設備。另外玄武、高淳、沿江等區縣也對此項目給予高度關注,有條件情況下積極支持項目發展。

同時該項目得到南京市技裝和南京市電教館的大力支持,領導們多次到培訓現場和參與項目推廣會議,為該項目良好發展奠定基礎。

項目發展目標

● M0n0wall v1.235簡體中文:中文化工作基本完成,可定制插件,主要功能全面實現

● M0n0wall v1.3b16:中文化工作尚未展開、2009年下半年完成

● 軟路由軟流控軟件能在南京市、江蘇省網管培訓中得以推廣

● 軟路由軟流控硬件在南京普教得以快速、高效部署

項目總結

中小學校一般資金有限,教師和學生技術水平也不高,所以中小學校沒有能力付出很高的代價來建設、維護網絡。軟路由軟流控硬件從功能適度、價格低廉、穩定性、防病毒、防網絡癱瘓災難等方面綜合考慮。同時提供路由、防火墻、流量管理、網站過濾、上網行為管理等諸多功能,一機多用,可靠性更高,投資更節省。

軟路由軟流控硬件采用全中文圖形操作界面,每個操作均有說明,即使網絡技術水平不高的網管也順利操作,并且系統能從各個方面顯示網絡運行信息,并配有多種網絡工具,幫助網管人員快速診斷網絡和排除網路故障。從投資保障看,采用軟件方式,使用期限不會因硬件損害而停用,只需更換硬件,軟件可以永久使用,長期免費升級,確保用戶路由功能不會過時。

推廣、使用軟路由軟流控硬件可以提高目前中小學校園網的使用效率,保障網絡通暢、安全、穩定地運行。■

參考網站:

南京教育IT聯盟http://www.njeit.cn

M0n0wall中國社區http://www.m0n0china.org

(作者單位:南京市第三高級中學/南京教育軟件工作室)