基于B/S的机房自助网络控制系统的研究*
2016-09-20乐宁莉游贵荣陈杰
乐宁莉,游贵荣,陈杰
(福建商学院 信息网络中心,福建 福州 350012)
基于B/S的机房自助网络控制系统的研究*
乐宁莉,游贵荣,陈杰
(福建商学院 信息网络中心,福建 福州 350012)
分析了高校授课机房中网络访问控制存在的问题,提出一种将机房网络控制权限下放给教师的管理思路,设计并实现了基于B/S模式的教师自助开关机房内外网的解决方案,强化教师对课堂的组织管理,减轻网络管理员的工作负担,在实际使用中取得了良好的效果。
网络控制;ACL;SecureCRT
随着计算机和网络技术的普及,网络已成为学生获取信息的重要手段,特别是高校基于互联网的实训课,教师需要访问互联网进行实训教学,同时又希望能在机房中实现上网行为的灵活控制,避免学生在授课过程中访问与课程无关的网站,做到维护教学秩序同时又保证教学质量[1-3]。为解决这一问题,各学校尝试使用不同方法来解决机房网络的访问控制。目前高校常用的网络访问控制有以下4种解决方案。
(1)物理网络隔离法,即手动插拔机房交换机上联接口的网线,实现机房局域网与汇聚交换机连接的物理隔离。此法优点是教师操作简单,缺点是经常插拔操作,交换机接口容易损坏,且上联接口断开后,导致除本机房外的所有网络不能访问,无法满足网络精细化控制需求。
(2)交换机ACL(Access Control List,访问控制列表)访问控制法[4],即通过ACL来控制网络数据流走向。此法优点是网络控制效果好,学生客户端无法绕过控制策略,也能精确控制内部网络的互访行为。缺点是非网络专业教师不易掌握交换机配置方法,故只适合网络管理员进行操作,增加了网管的工作量。
(3)多媒体教学管理软件控制法[5],即使用极域电子教室、红蜘蛛电子教室等软件,编辑一个网址白名单,达到控制网络访问的目的。此法优点是教师操作相对简单,精细化控制效果较好。缺点是若客户端禁止加入管理组,则网络访问控制会失效。
(4)上网行为管理系统控制法[5],即使用上网行为管理系统软件,如深信服、Panabit等,达到控制网络访问的目的。其优点是具有强大的控制和分析功能,对P2P协议和下载进行较好的限制。缺点是网络控制不完善,价格高昂,教师操作复杂。同多媒体教学管理软件控制法比较,都是商业软件,上网行为管理系统控制法部署在网络出口,虽避免了机房内部用户绕过控制策略,但仍无法精确控制内部网络互访行为。
以上解决方案多数偏重管理员操作,无法解决教师对网络控制行为的时间和频率精细化需求,及实现教师自助控制机房网络的需求。如何在现有的条件下,高效便捷地实现教师对机房上网行为的精细化控制,就成了高校网络机房管理亟待解决的问题。
1 机房网络控制系统的需求分析
笔者所在高校现有的网络架构模式是三层架构(接入层、汇聚层、核心层),所有交换设备均为可网管型,支持远程管理协议telnet,支持CLI(command-line interface,命令行界面)模式下的ACL配置。目前,机房网络控制主要是采用交换ACL访问控制解决方案,由管理员手动控制机房联网状态。
参考众多院校的网络控制需求,调整管理思路,将网络管理权限下放给教师,具体有以下几点需求。
(1)具有友好的图形用户界面,教师不需要专门的网络专业知识即可对网络进行控制;
(2)可以查看每个机房当前的网络状态,允许教师或管理员在任意时间段进行上网行为控制;
(3)在非授课时间,机房的全部交换机能自动统一切换为内网状态;
(4)防止非法用户滥用网络控制系统,使用系统需进行身份验证,保证网络安全。
2 网络控制系统的设计思路和关键技术
2.1机房网络控制系统的设计思路
图1机房自助网络控制系统流程
一般学校为了在局域网内隔离广播风暴并实现机房互联,会给每个机房规划一个VLAN(Virtual Local Area Network,虚拟局域网)并分配不同的IP地址段,将各机房的上联口接入汇聚交换机,在汇聚交换机上设置各机房的网关地址,汇聚交换机之间通过路由通信。控制机房网络的联网状态,其实就是控制机房对应汇聚交换机接口所采用访问策略。若能通过浏览器来实现控制交换机端口所采用访问策略,就能给教师提供一个简单、便捷的网络自助控制解决方案。有管理员通过编程方式实现交换机的控制[6],但开发复杂。文章提出采用脚本调用方式,控制交换机端口的ACL策略,很大程度上降低了系统后台的开发难度。
机房网络控制系统流程如图1所示。用户通过身份验证后,根据用户终端的IP地址,查找用户所在机房网关IP地址,依据网关IP地址可定位用户所在的机房,并推送能对该机房进行网络控制的界面,同时显示该机房当前网络状态。服务器后台依据用户的实际操作调用相应脚本,实现不同的网络控制策略。
2.2网络控制系统实现的关键技术
1)使用ACL控制交换机接口策略。ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包是一种控制访问的网络手段。运用ACL能够实现对特定网段、时间的网络开关控制,以及某些应用程序端口的控制策略等。
2)使用SecureCRT执行脚本远程控制交换机。能实现交换机远程控制的工具软件有很多,如SecureCRT、Putty、OpenSSH等。SecureCRT终端仿真程序支持SSH(SSH1和SSH2)、Telnet和rlogin协议。同其他远程连接软件相比,SecureCRT支持VBScript 和JScript 脚本语言,可以把重复性的操作编制为脚本文件,特别是它的crt.Screen.WaitForString脚本命令可以适应不同交换机的通讯延时;另外,可以记录日志,能将设备的操作命令输出并保存在日志文件中[7]。本方案采用SecureCRT作为远程控制交换机的工具软件。
3)使用操作系统的任务计划实现定期切换机房网络模式。操作系统的任务计划,可将脚本、程序或文档安排在某个时间运行,实现用户的某些特定需求。利用任务计划,设置适当的时间执行批处理程序脚本,调用所有机房执行内网ACL策略的脚本,实现系统在非授课时间自动将机房网络模式切换为校内局域网。
3 系统的具体实现与应用情况
为了方便教师使用系统,将网络自助控制系统设计为B/S架构。由于要使用批处理程序和SecureCRT工具,操作系统选用Windows服务器版本,并将在系统上部署集成的Web服务器环境用于搭建开源的内容管理框架,以实现网络自助控制系统。自助系统服务器放置在信息网络中心机房内,可在校园网内任意地点进行访问,满足管理员随时随地对网络规则进行调整的需求。系统的具体实现包括以下几个部分。
3.1系统架构
图2机房自助网络控制系统框架
系统主要由浏览器端、服务器端和脚本库构成,如图2所示。浏览器端依据登录用户的身份显示不同权限的登录界面,使其更容易地实现操作。服务器端分模块提供网络控制系统的各种应用功能,个人信息查询、机房网络状态查询和机房网络控制开关模块是通用的,日志管理和统计分析是为管理员角色开发的,管理员可使用系统的所有功能。脚本库提供网络自助控制系统调用交换设备接口,实现实时查询设备日志和设备接口状态等。
3.2汇聚交换机部署访问控制规则
启用两个ACL规则,一个取名为Access-internet(表示允许访问外网),设置从源端任意IP到目的端任意IP都不做任何控制。另一个取名为Access-intranet(表示只允许访问内网),控制数据包允许通过的路径从源端任意IP到目的端为内网网段,即报文过滤检查规则为先放行源端地址访问目的端地址为内网网段的数据报文,若数据包到达的目的地址与前面设置的路径不匹配,则执行拒绝所有报文通过规则。
3.3配置SecureCRT的日志记录功能
日志记录了系统每天发生的各种各样的事件,用户可以通过设备的日志文件来检查各种错误发生的原因和掌握该设备的运行状态等,它是判断运行设备系统故障原因和保证系统安全的关键。通过SecureCRT记录交换机接口查询的运行日志,可以获取机房网络上联接口所在汇聚交换机接口的状态信息,该接口信息可用来判断当前机房的网络控制状态。设置SecureCRT的日志记录功能为设备连接成功后,并以覆盖的方式记录操作命令和返回值。
3.4建立开关执行脚本及状态提取脚本
自助网络控制系统通过网站后台调用Windows批处理脚本,执行SecureCRT应用程序,并加载VBScript脚本,其中状态提取脚本是以telnet方式远程连接到对应交换机,并查询机房对应端口的ACL策略配置情况,以%H.log(主机名)文件形式保存交换机端口查询结果,最后打开该文件查询开关状态。
通过预先在交换机上设置两个ACL策略Access-intranet和Access-internet,开关执行脚本telnet远程连接到对应交换机,配置机房对应端口ACL策略来实现外网断开和连接。在非授课时间,系统启用计划任务断开所有机房外网连接。
3.5WEB服务器端设计实现
WEB服务端给用户提供一个便于操作的界面,用户身份认证后,依据用户访问服务器能将自身客户端IP地址传递给服务器的原理,提取用户的IP地址,判断出用户所在机房网关地址,依据机房网关地址推送相应机房控制交换机端口的控制界面和权限给用户,用户就能实现自助开关操作,调用相应脚本。从系统的安全性和维护性角度考虑,只给普通教师推送所在机房对应交换机端口的控制界面,限制教师所能控制的机房;给系统管理员推送所有机房的批处理脚本的控制界面,便于管理员检测维护系统。最终就形成了方便教师操作的机房自助网络控制系统。
4 结束语
文章分析了高校机房网络访问控制存在的问题,提出一种将机房网络控制权限下放给教师的管理思路。通过对脚本命令的研究,提出利用批处理程序调用SecureCRT脚本命令来模拟网络管理员执行ACL策略,实现机房网络自助控制的一种技术方案。相对于较为复杂的编程方式控制交换机,本方案具有实现简单、设备兼容性强的特点;但若机房部署的交换机不具备通过CLI执行ACL 规则功能,则不能采用该方法进行控制。网络自助控制系统于2015年9月正式启用,至2016年4月底,18间机房内104位教师使用此系统的次数已达2 958次 ,平均每月使用370人次。系统的应用,省去教师开通机房网络申报审批的环节,实现教师自助控制机房网络状态,提高了机房网络管理的效率,获得一线教师和管理人员的一致好评,并且也为学校节约了购买软硬件和配备管理维护人员所需的经费开销,具有一定的推广价值。
[1] 柯翔敏.互联网教室中的教育信息化研究[J].曲阜师范大学学报(自然科学版),2015,3(41):37-41.
[2] 张明东,戴丹丹.高校计算机教学机房的建设及其管理[J].赤峰学院学报(自然科学版),2014,9(30):18-19.
[3] 张宝瑛,李建志,李晓燕,等.教学机房网络与学生课堂行为管理的研究[J].实验技术与管理,2013,12(30):117-120.
[4] 段珊珊,韩友前,赵忠仁.高职院校机房上网控制系统设计[J].电脑编程技巧与维护,2014(2):46-48.
[5] 杨斌.基于Panabit的教学网络行为控制[J].天津职业院校联合学报,2012,8(14):66-69.
[6] 沈健.实验室上网控制系统WebACL的设计[J].信息技术,2014(1):91-97.
[7] 曹恬.基于SecureCRT的网络设备配置批量备份实践[J].运维管理,2014(5):83-84.
(责任编辑:黄容)
Research of Self-help Network Control System in Computer Labs Based on B/S Mode
LE Ningli, YOU Guirong, CHEN Jie
(Information Network Center, Fujian Commercial College, Fuzhou 350012, China)
By analyzing the network access control problems occurred in the teaching computer room at colleges, this paper proposes a kind of management ideas which delegate the computer room's network control permissions to the teachers. This paper also designs a formula about the self-help network control system in the computer labs based on B/S mode, which can enhance the classroom organization and management and reduce the burden of the network administrators. Good results have been achieved in the practical use.
Network control; ACL; Secure CRT
2016-06-08;
2016-07-14
福建省青年教师科研项目(JA15730)
乐宁莉(1980—),女,福建南平人,硕士,实验师,主要研究方向为网络安全。
TP308
A
2095-2562(2016)04-0037-04