刘厦

（鞍山师范学院 高等职业技术学院 辽宁鞍山 114016）

校园网中计算机上网行为管理与实现

刘厦

（鞍山师范学院 高等职业技术学院 辽宁鞍山 114016）

本文给出了一种通过将校园网网络设备、Windows服务器系统与ZoneAlarm防火墙软件协同来完成并解决上网行为管理控制的解决方案。

网络设备 上网控制 Windows server ZoneAlarm

校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。在校园网中有无数的交换机、路由器、防火墙以及PC机和服务器等设备，这些设备为教学科研提供了的基础环境。针对教学，要为各教学单位提供互联网络接入、局域网互通和网络区域划分等功能，如计算机楼中的每个计算机实验室，教学楼中的多媒体教室、语音室、办公区域中的各办公室以及无线网络的接入等等。

在实际应用环境中，针对网络的使用会有很多不同的需求，计算机中心会有很多个计算机机房供教学与实验，每个机房内的几十至上百台计算机需要互相可以访问，即局域网互通的功能。同时各机房之间为了互不影响则需要互相不通，而这些机房又需要都可以去访问一些公共资源，如教务系统、考试系统、校园网网站等等。针对需求，各计算机实验室、多媒体、语音室以及其它带有网络接入功能的场所，均需要对网络的接入进行控制，或手动或自动去控制这些教室去访问互联网。

校园网中，当网络通讯模式固定下来后，有些访问是不需要控制的，有些访问是需要频繁进行控制的，如校园内部的公共资源，无论是教学用的机房还是办公室的办公机都可以直接访问不受控制，而教学区域中的多媒体教室、语音室以及使用最多的计算机实验室，在上课的期间就需要根据教学的需要和任课教师的需求针对不同的房间进行频繁的切换网络访问状态，以实现控制访问的目的。针对管理人员，这个行为管理一直是工作的内容之一，这里就需要在不中断内部访问的前提下，能够独立的控制每个需要控制的机房或计算机去访问互联网。那么如何控制，怎样去实现控制就是我们要研究的重点了，这个控制的实现将大大减少平时各区域网络管理人员的工作量，下面就笔者本人工作中的实际应用来简单阐述一下在校园网络环境下如何来实现这样的网络控制与管理。

首先要说明一下网络的构成，高校的教学区域多，分布在园区不同的教学楼内，也就是分布在校园网中不同的位置。网络中心的主干处一般是利用光纤进行长距离的连接，连接到园区内不同的楼内，然后在每个楼内再有一个汇聚交换机，再下连到各个办公室和教室。网络中心主干处一般至少会有一台核心三层交换机以及路由器防火墙等硬件设备以接入ISP（互联网服务商）。为了实现不同区域网络控制，我们需要在各楼的交换机上设置VLAN，将所有的教学资源区域的计算机或是上网终端按功能分配到指定VLAN，可以是一个，也可以是多个！比如，所有楼内的多媒体类教室划分VLAN2，所有楼内的计算机实验室按照机房划分为 VLAN11～VLAN20，不同的VLAN对应不同的教室这样便于后期的管理与控制还有故障的排查，即缩减了广播风暴的产生范围也让网络利用率更高更好管理。

上面的硬件环境规划好了以后，就是着手如何进行网络行为的控制了，即什么时间让什么网络区域上网或禁止其上网。为了实现控制的目的，笔者针对校园网到互联网的工作模式，在实际应用中采用软硬件结合的方式来着手进行控制。首先是硬件，大家都知道，标准的一个园区网络所有上网区域均会接入到核心路由器，核心路由器会将所有请求进行地址转换（NAT），然后通过防火墙的规则过滤访问到互联网，虽然主干网络中的路由器与防火墙，都有简单的网络控制的功能ACL，但它在管理上不够灵活，如果让它来分担园区内细小的每个计算机的上网行为的控制，在管理与设置上的工作量就要增大很多，而且专业的网络设备都是命令行状态下来执行管理，频繁的按需求来更改核心设备的策略对整个园区的网络稳定性有非常高的风险，也是非常的不方便的，所以不建意也不能这样去做。这里我们需要做一个小小的改动，就是把那些需要控制的区域即之前分配的各VLAN进行统一转发到另一台计算机上去，即改变核心路由器中的路由表，将需要控制管理区域各VLAN的IP段，进行目标址转发（这里的目标地址按地址走向实际是内部网络的IP地址），将从互联网回传到内部网络的数据包进行判断，将目标地址符合控制区域的访问包做一个规则，所有符合规则的数据包均转发到一台WINDOWS SERVER 的服务器上去，这个操作在管理上日后也只是在校园网中增加新的上网区域时才需改变。

这里使用Windows Server 2003来进行配置处理由核心路由器转发过来的需要进行控制的数据包，在Windows Server 2003上开启系统自带的路由功能。因为只是用来阻断网络的路由，所以不需要开启NAT功能。

通过上面的一系列的设置，服务器得到的数据包都是要控制区域的计算机在访问互联网行为成功后被转发到服务器上的，我们在数据包到达最终目标计算机之前用服务器来阻断它的通讯，以实现控制目的。

Windows Server系统本身的控制功能很弱，所以我们是通过在Windows Server 2003系统上安装 ZoneAlarm 防火墙软件来实现的，这款软件功能很全面，可以满足各种需求，可以进行时间、单个IP、一组IP、MAC绑定的各种组合来进行控制。在ZoneAlarm软件中按控制单元加入多条控制规则，这个软件从前向后挨个过滤数据包，只要遇到符合规则的条目，即按照该条目规则设置的允许或禁止来执行，然后停止规则过滤（即不考虑后面的规则有无符合的条目），如需加入自动时间控制也可以在设置规则时加入时间范围。（本文仅针对它能实现的功能做以描述，不讨论ZoneAlarm软件的详细设置。）

通过一系列的系统设置，这样一个控制网络行为的控制器就完成了，如果这台服务器在网络中心，管理单位可以通过远程桌面的方式来进行远程控制整个网络，在日常管理上，是一个非常行之有效的网络解决方案。

［1］张国清 《网络设备配置与调试项目实训》 电子工业出版社2009.2

［2］刘永华 《Windows Server 2003 实用技术》 科学出版社 2007.1

刘厦（1978-10），本科，理学学士学位，实验师，鞍山师范学院高等职业技术学院。