部署網關解決方案

現狀與需求

需求

學?，F有初高中各2個機房，每個機房50臺學生機。在某些教學環境中希望能由教師統一控制學生機的聯網狀態，并且是每個教室的老師控制自己的教室。由于初高中校區網絡結構類似，本文以高中部兩個機房的部署配置為例，初中部或者擁有更多機房的環境可以套用下文的解決方案。

現有機房教師機和學生機處于相同VLAN中且居于平等地位，期望借助教學平臺軟件控制學生機聯網狀態幾乎很難實現。方案只有在架構上使學生機聯網經過特定網關設備，并且通過控制權限限制學生自主編輯學生機的網絡配置，才能使教師通過管理網關控制學生機的聯網狀態。

圖1 網絡拓撲圖

既然要求所有老師都能管理自己上課的教室，自然希望解決方案最小化教師的學習成本，提供簡單明了的界面和操作。進一步希望兩個機房老師在控制自己教室時互不干擾。另外筆者沒有專用設備充當網關硬件，只能借助虛擬機實現所需功能，這也提出了減少資源消耗的要求。

現有解決方案

筆者在初高中兩個校區最近一次機房改造中采用了學生機房通過自主獨立網關聯網的方案，這樣筆者在機房和學校開放網絡（Internet）之間擁有了對學生計算機聯網的控制權。嚴格來講，控制粒度可以達到單個IP?，F實中往往只需控制不同教室的聯網狀態即可，網絡拓撲圖如圖1。

這種網絡架構理想的網關設備應該是硬件網關或防火墻，這種硬件本質上是運行相關控制系統的專用計算機。鑒于當時無力購置這樣的設備，只能退而使用普通X86計算機充當網關設備。此外，網關在網絡中的特殊性又要求相對的硬件穩定性，PC服務器當然是首選，但迫于硬件資源不足最終只能采用服務器虛擬架構中的虛擬機來實現。

軟件方面在當時的歷史條件下，綜合考慮資源消耗等因素我們選擇在已有的虛擬化平臺Vmware Vsphere中配置一臺低配置Windows XP主機，運行Sygate網關軟件進行路由控制。教師上課時通過Windows遠程桌面登錄Windows XP, 通過修改Sygate的運行狀態控制自己教室的聯網狀態。

現有方案的不足

1.Windows XP平臺已不受微軟支持，安全威脅日漸提升。在過去幾年的使用中平均一個月左右就需要因系統不響應而重啟虛擬機網關。這會造成教學使用的網絡環境不穩定。

2.Sygate軟 件 是Windows 2000時代的軟件產品，早已停止更新維護。不過公允地說該軟件還是編寫很出色的，穩定性和效能完全可以滿足使用規模。（帶機量100）

3.Windows XP的遠程桌面不允許多用戶同時登錄，因此教師之間需要協調控制時機和條件。

4.Sygate的黑白名單功能被用來單獨控制兩間機房，例如將1機房的50個IP同時加入黑白名單，啟用黑名單則1機房斷網2機房通，啟用白名單則2機房斷網1機房通，不啟用黑白名單是全通，停止Sygate服務是全斷。這種設置剛好滿足我們2個機房分別控制的需求，但無法應對可能的發展，例如增加到3個機房。

5.虛擬化架構會影響效能，而且由于路由復雜性增加帶來了網絡不穩定的隱患。

可選改進方案

硬件網關

硬件網關本質上就是固化了前述功能的計算機（路由器），優勢當然是效率高，可惜不花錢得不到。根據應用規模，目前市場上可選硬件價格在(數)千元價位：

樂光 LG-WA200N

華為（HUAWEI）AR151-S2

華 三（H3C）MSR930-WiNet

飛魚星VE1220G

開源網關軟件系統

網絡拓撲上沿用現有的Sygate方案，使用開源系統替換Windows+Sygate。

通常開源的網關系統底層采用Linux或開源BSD,在安全性和穩定性上遠超Windows系統。

另外，專用的網關系統會簡化其他功能已達到更好的效率。

常見的開源網關系統包括以下幾種：

NG Firewall Free行為管理安全網關

（https://www.untangle.com/shop/NGFirewall-Free/）

Artica Proxy代理網關

（http://www.proxyappliance.org/）

Halon securityrouter基于OpenBSD的安全網關

pfSense基于FreeBSD的開源防火墻

（https://www.pfsense.org/）

m0n0wall基于FreeBSD的開源防火墻（項目已終止）

（http://m0n0.ch/wall/index.php）

方案選擇及實施

最終此次網關更換方案選擇了Halon securityrouter，主要基于以下考慮：

1.提供免費方案且免費方案滿足我們的需求。

2.良好的虛擬化支持：進駐Vmware官方Appliance市場，并提供OVA格式可直接部署于現有VSphere環境。

3.功能比較單一，效率相對較高，實測效能可接受。

4.硬件資源消耗低（單核 +256MB RAM+500MB HD）。

5.快速進行部署，Web管理。

6.特色功能（實時圖表，高可定制防火墻規則，熱恢復/熱回滾/熱測試/熱配置，支持HA集群等）。

7.基于地址表的狀態防火墻，可滿足日后擴充機房的需求，如圖3所示。

下面詳述部署過程：

1.下載虛擬機鏡像OVA文 件 ：http://dl2.halon.se/vsr/選 擇“OVF/VMDK format,for VMware vSphere”。

圖2 設置網絡信息

圖3 IP列表

圖4 新增兩條Rules

圖5 網絡拓撲圖

2.向VSphere部署，部署后不需修改虛擬機配置，啟動虛擬機。

3.缺省配置為單網卡會自動通過DHCP獲取IP地址，并在啟動過程中顯著提示。只需瀏覽器用https協議訪問該IP即可。初始用戶admin，密碼 admin。

4.初次登錄后在右上角修改admin密碼。在菜單System>Users為多位教師創建賬戶。

5.菜單Network>Basic Setup設置WAN(Internet)的IP地址等網絡信息。設置完成后保存、應用和關機，如圖2所示。

6.為虛擬機添加第二網卡（LAN），啟動虛擬機。通過上一步修改的新IP登入。菜單Network>Basic Setup設置LAN信息并保存。

7.菜單 Network>Firewa ll界面，底部添加兩個table,分別包含兩個機房的IP列表，如圖3所示。（可以借助Excel批量生成）

8.在Firewall頁面新增兩條Rules：用于獨立切斷兩機房的網絡，如圖4所示。

再點擊Action列箭頭，通過Enabled復選框控制規則啟用與否，如圖5所示。

9.每次修改配置后點擊Save按鈕保存修改，再點擊菜單Configuration>Deploy Working Copy頁面工具條的Deploy（commit）按鈕使其生效。

10. 菜單System>Graphs可以隨時查看網關的負載和流量統計圖表。