蓝贞雄

（广西师范学院，广西 南宁 530023）

H3C网络实验室远程开放的设计与实现

蓝贞雄

（广西师范学院，广西 南宁 530023）

为实现H3C网络实验室的远程开放，提高网络实验室的利用率，文章首先就网络实验室及实验机架的网络设计、网络设备集中管理以及SSL VPN技术特点等问题进行了阐述，然后结合实例给出了具体的配置实现方法。

H3C网络实验室；远程开放；DMC；SSL VPN

随着H3C设备国内市场占有率的不断提升，不少高校都构建了H3C网络实验室。为提高实验设备的利用率，学校往往都采用专人值守的模式将实验室对学生进行开放，这种模式费时费力。因此，如何建设并管理好一个全天开放的H3C网络实验室已经成为很多企业和学校都在探索的问题。如能通过远程登录的方式，让学生无论置身于学校的哪个角落，只要能连上校园网甚至校外Internet，通过合法认证后就可以操作网络实验室设备，将可以大幅度地扩展网络实验的时间和空间，提高网络实验室的利用率。

要实现计算机网络实验室的远程开放，就需解决以下几个方面的问题：

1 实验机架设计

1.1 机架拓扑设计

学生在网络实验室内进行实验时，可方便地调整连接线路搭建不同的实验拓扑来完成相应的实验，但远程操作设备时却没有了这样的便利性，因而，为了满足远程实验需求，我们必须设计出一个能在不改变线路连接的情况下即可满足大多数网络实验的合理拓扑。计算机网络课程的实验一般都以基本的路由、交换的协议为主，一般而言，一个实验组具备3台路由器及3台交换机即可满足课程实验的需求。笔者根据多年的教学经验以及实验室的实际设备，设计了一个如图1所示实验拓扑。

图1 机架设备拓扑图

远程实验时，学生只要能登陆到此设备上，即可操作组内的其他网络设备，如需PC进行测试，可用机架中的路由器进行替代。实验组机架设备按此拓扑互联即可方便地完成VLAN、STP、链路聚合、RIP、OSPF、NAT、ACL等基础网络实验。

1.2 机架设备集中管理

连接网络设备最简单的方法是通过计算机的RS232接口利用控制线缆直接连接到网络设备的Console接口，但这种方式显然不能满足机架远程操作的需求。因此，我们利用H3C提供的设备管理控制台（DMC，Device ManagementController）技术，在图1中的AR2811路由器上安装一块8口的串口卡，其余设备的Console接口通过反序RJ45线缆连接到此卡的接口上。用户要能登陆到此DMC设备上就可以方便地操作它所连接的设备。

2 SSL VPN

网络实验室远程开放的关键在于如何安全地让用户在经过认证后登陆到指定机架的DMC，而VPN（Virtual Private Network，虚拟专用网络）技术是达到此目的的最佳选择。目前，VPN技术主要分为SSL VPN、IPSec VPN和L2TP VPN。SSL VPN 是以SSL（Secure Sockets Layer，安全套接字层）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN 充分利用了SSL 协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。最为关键的是，SSL本身就被几乎所有的Web浏览器支持，这意味着客户端不需要为了支持SSL连接安装额外的软件，而其余两种VPN技术均需要用户安装客户端软件方能使用。从安全和方便用户的角度考虑，SSL VPN无疑是实验室远程开放的首选。

3 配置实现

3.1 实验室网络规划

实验室网络拓扑及IP规划如图2所示，用户和CA服务器与VPN设备的外联接口之间需路由可达，SSL VPN设备需要从CA服务器获取数字证书。有关CA服务器的配置，读者可参阅相关文献。

图2 远程网络实验室网络规划

3.2 DMC配置

（1）配置外联接口IP地址

[H3C-Ethernet0/1]ip address 10.1.1.1 24

（2）创建管理平台用户

[H3C]local-user admin

[H3C-luser-admin]password simple admin

[H3C-luser-admin]service-type telnet terminal

[H3C-luser-admin]level 3

（3）异步串口配置

逐个进入每个异步串口，将接口的链路建立模式设置为流模式，禁用接口的电平检测。

[H3C]interface Async 1/0

[H3C-Async1/0]async mode flow

[H3C-Async1/0]undo detect dsr-dtr

（4）配置telnet 重定向

[H3C]user-interface tty 17 24

[H3C-ui-tty17-24]undo shell

#允许启动接口重定向

[H3C-ui-tty17-24]redirect enable

[H3C-ui-tty17-24]flow-control none

#配置TTY接口不采用流量控制

[H3C-ui-tty17-44]undo redirect timeout

#设定telnet重定向永远不超时

[H3C-ui-tty17-24]redirect return-deal from-telnet

#设置重定向路由器对从telnet客户端接收到的回车符进行处理。

（5）启用DMC功能

[H3C]dmc enable

[H3C]dmc device-type show

3.3 验证DMC配置

在完成机架设备的互联和DMC的配置之后，即可通过WEB方式访问和使用机架。

在浏览器地址栏中输入http://10.1.1.1:8888，输入之前配置的用户名及密码，即可转到如图5所示的设备控制台界面，单击相应的设备图标可打开其终端界面。

3.4 SSL VPN配置

此例中笔者采用H3C MSR3020路由器作为SSL VPN网关。

（1）为SSL VPN网关MSR-3020申请证书

# 配置PKI实体en，指定实体的通用名为http-server。

[MSR3020] pki entity en

[MSR3020-pki-entity-en]common-name http-server

# 配置PKI域sslvpn

[MSR3020] pki domain sslvpn

[MSR3020-pki-domain-sslvpn]ca identifier ca server

[MSR3020-pki-domain-sslvpn] certificate request url http://192.168.68.58/certsrv/mscep/mscep.dll

[MSR3020-pki-domain-sslvpn] certificate request from ra

[MSR3020-pki-domain-sslvpn] certificate request entity en

# 生成本地的RSA密钥对。

[MSR3020] public-key local create rsa

# 获取CA的证书。

[MSR3020]pki retrieval-certificate ca domain sslvpn

# 为MSR3020申请证书。

[MSR3020] pki request-certificate domain sslvpn

（2）配置SSL VPN服务使用的SSL服务器端策略

# 创建SSL服务器端策略myssl，并指定该策略使用PKI域sslvpn。

[MSR3020] ssl server-policy myssl

[MSR3020-ssl-server-policy-myssl] pki-domain sslvpn

（3）配置SSL VPN策略

# 指定SSL VPN服务使用的SSL服务器端策略为myssl

[MSR3020] ssl-vpn server-policy myssl

# 使能SSL VPN服务。

[MSR3020] ssl-vpn enable

（4）在WEB界面中配置用户及资源

通过MSR3020的WEB管理界面，依次配置VPN用户地址池、TCP资源、用户及用户组，并对用户进行资源分配。

（5）验证配置结果

远程接入用户访问https://192.168.100.1/svpn，输入相应账号后，在图4所示的界面中单击相应的设备名称，即可通过如图5所示的telnet窗口对设备进行操作。

图5 Telnet窗口

4 结束语

构建开放型的计算机网络实验室是实验室建设的一个趋势，通过H3C的DMC管理平台以及SSL VPN技术，结合优化的机架设备部署，可构建方便远程使用的H3C网络实验室。该实验室经我校师生试用，运行稳定，达到了预期目标。

[1] 许波.基于SSL VPN 的远程访问控制平台研究[C].天津:天津理工大学,2011.

[2] 孙丹东.基于SSL VPN的远程网络互联实验室的应用研究[J].无线互联科技,2011(12):24-25.

[3] 徐博.面向SSL VPN的访问控制及相关技术研究[C].杭州:浙江工业大学,2009.

[4] 王春海,宋涛.VPN 网络组建案例实录(第2版)[M].北京:科学出版社,2011.

H3C network laboratory design and implementation of open and distance

For the remote open implementation H3C network laboratory, improve the utilization rate of network laboratory, this paper first network design, network laboratory and experimental frame network equipment centralized management and SSL VPN technical characteristics and other issues discussed, and then combined with the example of the realization methods are given specific configuration.

H3C network Laboratory; open and distance; DMC; SSL VPN

图4 用户登陆后的SSL VPN界面

TP393.08

A

1008-1151(2015)03-0005-03

2015-02-10

广西师范学院教学改革工程“十一五”项目（200932）。

蓝贞雄（1977－），男，广西忻城人，广西师范学院讲师，从事计算机网络理论及应用方面的教学与科研工作。