基于B/S的機房自助網絡控制系統的研究*

樂寧莉，游貴榮，陳杰

(福建商學院 信息網絡中心,福建 福州 350012)

?

基于B/S的機房自助網絡控制系統的研究*

樂寧莉，游貴榮，陳杰

(福建商學院 信息網絡中心,福建 福州 350012)

分析了高校授課機房中網絡訪問控制存在的問題，提出一種將機房網絡控制權限下放給教師的管理思路，設計并實現了基于B/S模式的教師自助開關機房內外網的解決方案，強化教師對課堂的組織管理，減輕網絡管理員的工作負擔，在實際使用中取得了良好的效果。

網絡控制；ACL；SecureCRT

隨著計算機和網絡技術的普及，網絡已成為學生獲取信息的重要手段，特別是高校基于互聯網的實訓課，教師需要訪問互聯網進行實訓教學，同時又希望能在機房中實現上網行為的靈活控制，避免學生在授課過程中訪問與課程無關的網站，做到維護教學秩序同時又保證教學質量[1-3]。為解決這一問題，各學校嘗試使用不同方法來解決機房網絡的訪問控制。目前高校常用的網絡訪問控制有以下4種解決方案。

(1)物理網絡隔離法,即手動插拔機房交換機上聯接口的網線，實現機房局域網與匯聚交換機連接的物理隔離。此法優點是教師操作簡單，缺點是經常插拔操作，交換機接口容易損壞，且上聯接口斷開后，導致除本機房外的所有網絡不能訪問，無法滿足網絡精細化控制需求。

(2)交換機ACL(Access Control List，訪問控制列表)訪問控制法[4]，即通過ACL來控制網絡數據流走向。此法優點是網絡控制效果好，學生客戶端無法繞過控制策略，也能精確控制內部網絡的互訪行為。缺點是非網絡專業教師不易掌握交換機配置方法，故只適合網絡管理員進行操作，增加了網管的工作量。

(3)多媒體教學管理軟件控制法[5]，即使用極域電子教室、紅蜘蛛電子教室等軟件，編輯一個網址白名單，達到控制網絡訪問的目的。此法優點是教師操作相對簡單，精細化控制效果較好。缺點是若客戶端禁止加入管理組，則網絡訪問控制會失效。

(4)上網行為管理系統控制法[5]，即使用上網行為管理系統軟件，如深信服、Panabit等，達到控制網絡訪問的目的。其優點是具有強大的控制和分析功能，對P2P協議和下載進行較好的限制。缺點是網絡控制不完善，價格高昂，教師操作復雜。同多媒體教學管理軟件控制法比較，都是商業軟件，上網行為管理系統控制法部署在網絡出口，雖避免了機房內部用戶繞過控制策略，但仍無法精確控制內部網絡互訪行為。

以上解決方案多數偏重管理員操作，無法解決教師對網絡控制行為的時間和頻率精細化需求，及實現教師自助控制機房網絡的需求。如何在現有的條件下，高效便捷地實現教師對機房上網行為的精細化控制，就成了高校網絡機房管理亟待解決的問題。

1　機房網絡控制系統的需求分析

筆者所在高校現有的網絡架構模式是三層架構(接入層、匯聚層、核心層)，所有交換設備均為可網管型，支持遠程管理協議telnet，支持CLI(command-line interface，命令行界面)模式下的ACL配置。目前，機房網絡控制主要是采用交換ACL訪問控制解決方案，由管理員手動控制機房聯網狀態。

參考眾多院校的網絡控制需求，調整管理思路，將網絡管理權限下放給教師，具體有以下幾點需求。

(1)具有友好的圖形用戶界面，教師不需要專門的網絡專業知識即可對網絡進行控制；

(2)可以查看每個機房當前的網絡狀態，允許教師或管理員在任意時間段進行上網行為控制；

(3)在非授課時間，機房的全部交換機能自動統一切換為內網狀態；

(4)防止非法用戶濫用網絡控制系統，使用系統需進行身份驗證，保證網絡安全。

2　網絡控制系統的設計思路和關鍵技術

2.1機房網絡控制系統的設計思路

圖1機房自助網絡控制系統流程

一般學校為了在局域網內隔離廣播風暴并實現機房互聯，會給每個機房規劃一個VLAN(Virtual Local Area Network，虛擬局域網)并分配不同的IP地址段，將各機房的上聯口接入匯聚交換機，在匯聚交換機上設置各機房的網關地址，匯聚交換機之間通過路由通信。控制機房網絡的聯網狀態，其實就是控制機房對應匯聚交換機接口所采用訪問策略。若能通過瀏覽器來實現控制交換機端口所采用訪問策略，就能給教師提供一個簡單、便捷的網絡自助控制解決方案。有管理員通過編程方式實現交換機的控制[6]，但開發復雜。文章提出采用腳本調用方式，控制交換機端口的ACL策略，很大程度上降低了系統后臺的開發難度。

機房網絡控制系統流程如圖1所示。用戶通過身份驗證后，根據用戶終端的IP地址，查找用戶所在機房網關IP地址，依據網關IP地址可定位用戶所在的機房，并推送能對該機房進行網絡控制的界面，同時顯示該機房當前網絡狀態。服務器后臺依據用戶的實際操作調用相應腳本，實現不同的網絡控制策略。

2.2網絡控制系統實現的關鍵技術

1)使用ACL控制交換機接口策略。ACL是路由器和交換機接口的指令列表，用來控制端口進出的數據包是一種控制訪問的網絡手段。運用ACL能夠實現對特定網段、時間的網絡開關控制，以及某些應用程序端口的控制策略等。

2)使用SecureCRT執行腳本遠程控制交換機。能實現交換機遠程控制的工具軟件有很多，如SecureCRT、Putty、OpenSSH等。SecureCRT終端仿真程序支持SSH(SSH1和SSH2)、Telnet和rlogin協議。同其他遠程連接軟件相比，SecureCRT支持VBScript 和JScript 腳本語言，可以把重復性的操作編制為腳本文件，特別是它的crt.Screen.WaitForString腳本命令可以適應不同交換機的通訊延時；另外，可以記錄日志，能將設備的操作命令輸出并保存在日志文件中[7]。本方案采用SecureCRT作為遠程控制交換機的工具軟件。

3)使用操作系統的任務計劃實現定期切換機房網絡模式。操作系統的任務計劃，可將腳本、程序或文檔安排在某個時間運行，實現用戶的某些特定需求。利用任務計劃，設置適當的時間執行批處理程序腳本，調用所有機房執行內網ACL策略的腳本，實現系統在非授課時間自動將機房網絡模式切換為校內局域網。

3　系統的具體實現與應用情況

為了方便教師使用系統，將網絡自助控制系統設計為B/S架構。由于要使用批處理程序和SecureCRT工具，操作系統選用Windows服務器版本,并將在系統上部署集成的Web服務器環境用于搭建開源的內容管理框架，以實現網絡自助控制系統。自助系統服務器放置在信息網絡中心機房內，可在校園網內任意地點進行訪問，滿足管理員隨時隨地對網絡規則進行調整的需求。系統的具體實現包括以下幾個部分。

3.1系統架構

圖2機房自助網絡控制系統框架

系統主要由瀏覽器端、服務器端和腳本庫構成，如圖2所示。瀏覽器端依據登錄用戶的身份顯示不同權限的登錄界面，使其更容易地實現操作。服務器端分模塊提供網絡控制系統的各種應用功能，個人信息查詢、機房網絡狀態查詢和機房網絡控制開關模塊是通用的，日志管理和統計分析是為管理員角色開發的，管理員可使用系統的所有功能。腳本庫提供網絡自助控制系統調用交換設備接口，實現實時查詢設備日志和設備接口狀態等。

3.2匯聚交換機部署訪問控制規則

啟用兩個ACL規則，一個取名為Access-internet(表示允許訪問外網)，設置從源端任意IP到目的端任意IP都不做任何控制。另一個取名為Access-intranet(表示只允許訪問內網)，控制數據包允許通過的路徑從源端任意IP到目的端為內網網段，即報文過濾檢查規則為先放行源端地址訪問目的端地址為內網網段的數據報文，若數據包到達的目的地址與前面設置的路徑不匹配，則執行拒絕所有報文通過規則。

3.3配置SecureCRT的日志記錄功能

日志記錄了系統每天發生的各種各樣的事件，用戶可以通過設備的日志文件來檢查各種錯誤發生的原因和掌握該設備的運行狀態等，它是判斷運行設備系統故障原因和保證系統安全的關鍵。通過SecureCRT記錄交換機接口查詢的運行日志，可以獲取機房網絡上聯接口所在匯聚交換機接口的狀態信息，該接口信息可用來判斷當前機房的網絡控制狀態。設置SecureCRT的日志記錄功能為設備連接成功后，并以覆蓋的方式記錄操作命令和返回值。

3.4建立開關執行腳本及狀態提取腳本

自助網絡控制系統通過網站后臺調用Windows批處理腳本，執行SecureCRT應用程序，并加載VBScript腳本，其中狀態提取腳本是以telnet方式遠程連接到對應交換機，并查詢機房對應端口的ACL策略配置情況，以%H.log(主機名)文件形式保存交換機端口查詢結果，最后打開該文件查詢開關狀態。

通過預先在交換機上設置兩個ACL策略Access-intranet和Access-internet，開關執行腳本telnet遠程連接到對應交換機，配置機房對應端口ACL策略來實現外網斷開和連接。在非授課時間，系統啟用計劃任務斷開所有機房外網連接。

3.5WEB服務器端設計實現

WEB服務端給用戶提供一個便于操作的界面，用戶身份認證后，依據用戶訪問服務器能將自身客戶端IP地址傳遞給服務器的原理，提取用戶的IP地址，判斷出用戶所在機房網關地址，依據機房網關地址推送相應機房控制交換機端口的控制界面和權限給用戶，用戶就能實現自助開關操作，調用相應腳本。從系統的安全性和維護性角度考慮，只給普通教師推送所在機房對應交換機端口的控制界面，限制教師所能控制的機房；給系統管理員推送所有機房的批處理腳本的控制界面，便于管理員檢測維護系統。最終就形成了方便教師操作的機房自助網絡控制系統。

4　結束語

文章分析了高校機房網絡訪問控制存在的問題，提出一種將機房網絡控制權限下放給教師的管理思路。通過對腳本命令的研究，提出利用批處理程序調用SecureCRT腳本命令來模擬網絡管理員執行ACL策略，實現機房網絡自助控制的一種技術方案。相對于較為復雜的編程方式控制交換機，本方案具有實現簡單、設備兼容性強的特點；但若機房部署的交換機不具備通過CLI執行ACL 規則功能，則不能采用該方法進行控制。網絡自助控制系統于2015年9月正式啟用，至2016年4月底，18間機房內104位教師使用此系統的次數已達2 958次 ，平均每月使用370人次。系統的應用，省去教師開通機房網絡申報審批的環節，實現教師自助控制機房網絡狀態，提高了機房網絡管理的效率，獲得一線教師和管理人員的一致好評，并且也為學校節約了購買軟硬件和配備管理維護人員所需的經費開銷，具有一定的推廣價值。

[1] 柯翔敏.互聯網教室中的教育信息化研究[J].曲阜師范大學學報(自然科學版),2015,3(41):37-41.

[2] 張明東，戴丹丹.高校計算機教學機房的建設及其管理[J].赤峰學院學報(自然科學版),2014,9(30):18-19.

[3] 張寶瑛，李建志，李曉燕，等.教學機房網絡與學生課堂行為管理的研究[J].實驗技術與管理,2013,12(30):117-120.

[4] 段珊珊，韓友前，趙忠仁.高職院校機房上網控制系統設計[J].電腦編程技巧與維護,2014(2):46-48.

[5] 楊斌.基于Panabit的教學網絡行為控制[J].天津職業院校聯合學報,2012,8(14):66-69.

[6] 沈健.實驗室上網控制系統WebACL的設計[J].信息技術,2014(1):91-97.

[7] 曹恬.基于SecureCRT的網絡設備配置批量備份實踐[J].運維管理,2014(5):83-84.

(責任編輯：黃容)

Research of Self-help Network Control System in Computer Labs Based on B/S Mode

LE Ningli, YOU Guirong, CHEN Jie

(Information Network Center, Fujian Commercial College, Fuzhou 350012, China)

By analyzing the network access control problems occurred in the teaching computer room at colleges, this paper proposes a kind of management ideas which delegate the computer room's network control permissions to the teachers. This paper also designs a formula about the self-help network control system in the computer labs based on B/S mode, which can enhance the classroom organization and management and reduce the burden of the network administrators. Good results have been achieved in the practical use.

Network control; ACL; Secure CRT

2016-06-08；

2016-07-14

福建省青年教師科研項目(JA15730)

樂寧莉(1980—)，女，福建南平人，碩士，實驗師，主要研究方向為網絡安全。

TP308

A

2095-2562(2016)04-0037-04