林靖

（宁德师范学院现代教育技术中心，福建宁德352100）

一种有效的主动式校园网络管理方案

林靖

（宁德师范学院现代教育技术中心，福建宁德352100）

校园网络中常因用户使用不当导致网络反应过慢，使得正常的教学活动及校园管理受到干拢。因此，建立一个有效的校园网络管理方案来实现既可方便用户申请使用网络、教师可以自行控制管理学生上网范围，又可以有效的管控网络带宽的使用，就显得重要。以校园网络为研究对象，提出一种校园网络管理方案，即优化IP申请，优化流量管理，实现在管理人员紧缺的情况下，达到既能方便用户使用，又可以使网络得到有效管理。

网络管理；上网范围；流量控制；连线管理

当今的时代是一个信息的时代，更是一个网络化的时代，越来越多的民生服务都开始往网络发展。由于许多影片、音乐、教学等信息通过网络来传送，因此连带的网络管理工作也日渐复杂起来。早期的校园网络是以对内为主，对外的部分主要是提供老师和学生们可以查询学术资料及浏览一些的网页为主。当时校内网络上所传送的资料大多为并不大的文档文件，是以校内自建电子邮件服务器为主，主要的功能仅是校内工作人员之间传达信息。此时的校内网络服务对网络带宽的需求不大，仅需要以太网10 Mbps，并以T1专线对外连至网络中心即可满足使用需求。然而随着信息科技的进步，网络的应用也随着快速发展，同时各种多样的网络服务纷纷面世，譬如：电子商务、视频会议、远程教学以及各项P2P等。网络上的资料也开始出现图片、影像等大容量的资料，这些资料的流通，需要更大的网络带宽。网络的实体建设的内部局域网已由早期的10 Mb升级至100 Mb，现在更是开始向Gigabit等高速网络迈进。

1 校园网络管理的现状

在现代的校园中，对各项信息系统有着很大的依赖。远程教学平台的出现使得学习不再局限于教室内，只要有网络的地方就可以学习。现代化的网络管理不仅要保持网络的畅通与稳定，还要让网络使用者拥有更好的网络品质与服务。但再好的硬件设备、再快的带宽如果没有有效的管理是不足以让使用者感受到更好的网络品质与服务。目前国内外网络公司均有推出一些网络管理软件,对于网络运行的有效管理起到了重要作用。此类软件具有通用性,对于中小企业和一般规模的校园网,虽然也能适用,但通用软件的许多功能不一定能用到,且对于网络设备和人员要求较高,造成资源浪费，现在的校园网都通常通过网络设备的自身功能，通过人工操作来实现管理，对于中小型网络，由于管理人员不足,让他们感受到很大的压力。目前许多学校由两个或更多的校区组成，网络管理压力很大，因此很需要一种针对性较强的网管方案。以宁德师范学院校园网为例，从三个方面分析校园网络管理的现状。

1.1 IP申请

早期许多学校为了解决IP经常被盗用的问题，在设备上设定每个IP和MAC地址静态对应。单位为了管制一个新的学生或新进的教职员工，要申请连网需填写纸质的IP申请表，填写后需经相关部门审批，最后递交给网络中心，由网管人员在设备上进行设定。目前许多学校由两个或更多的校区组成，这样的一个流程的循环，申请人有时会因为申请表审批问题需要在多个校区之间奔波，花费大量的时间。

1.2 流量管理

学校建立校园网络目的是为了教学与科研，但因为有很多软件、音乐及影片可以通过网络下载，这常导致学校需花费大量的经费来提升网络设备及带宽，所以几乎每一所学校都会执行流量管理来维护一定的网络连线的品质。在原来的管理流程中，需由网络管理者自行上线查看网络流量有哪些人超量，再手动在设备上建立ACL（存取控制清单）来拒绝连线，最后到网页上公告该IP超量被停权。但如果发生管理人员忘记上网公告，就会导致使用者以为网络故障而报修，徒增维修工作量。

1.3 连线管理

目前的教学环境越来越多地使用电脑与网络，但老师在上课时经常面临学生在上课时间连至与教学无关的网站，如游戏、网上聊天等。老师常用的办法是切断对外网络连接。这样的办法又会导致另一个问题的发生，如果老师需要让学生连至学校建设的数字学习平台，就会发生无法连线的情况。以往解决这样的问题都是通过网络管理人在防火墙上设定，不让学生连至校外的网络。然而教室的使用目的随时都会变动，要依赖变更防火墙设置的方式来防止学生的不当连线显然不太合适。

2 校园网络管理的优化策略

2.1 在IP申请方面的优化

IP管理的部分，以网上申请、网上核准、DHCP服务器以及在网络设备上以开关ARP的学习机制并搭配DHCP SNOOPING的机制[1]，省略了人员递交纸质申请表的过程，也可避免因为人工将网络帐号输入网络设备时发生的错误，但仍能保持原有IP、MAC绑定的优点，且又可以不用自行设定网络组态，以避免人工设定出错而发生的假故障。其流程如图1。

图1 上网申请及网络设定流程Table 1 Online account application and network setting process

由于要将原先学校在core上以静态ARP的方式来防止学生乱设定IP的方式改成core的ARP以学习自DHCP发送的纪录的方式，因此需要在core上变更设定，使其可以开关学习的机制，改用DHCP的模式。由于改用ARP学习自DHCP服务器，因此需要修改设备的设定值，其步骤如下：

1.将动态学习ARP的机制关闭

指令为disable ip-secure arp learning learn-fromarp vlan[vlan_name]

2.设定DHCP服务的IP

指令为configure ip-security dhcp-bindings add“DHCP-IP”vlan“vlan_name”

3.设定ARP学习自DHCP服务器

指令为enable ip-security arp learning learnfrom-dhcp vlan“vlan_name”

ports“port_number”

4.因为vlan会隔离广播封包，所以需要再设定dhcp relay,以使DHCP的封包可以跨网段运行

指令为configure bootrelay add“DHCP_SERVER_IP”

enable bootrelay

注解：如有多个DHCP服务器则所有的DHCP SERVER都要加入。

5.阻止非法的DHCP SERVER，避免其它具有DHCP功能的设备干扰网络运行

指令为enable ip-security dhcp-snooping vlan“vlan_name”port“port_number”violation-action drop-packet block-mac duration 300

注解：violation-action选项是为避免私设DHCP时的封包处置行为。

6.DHCP服务器有一个重要的设定值就是拒绝未申请过的网卡上线

指令为在DHCP服务的dhcpd.conf中多加一个参数：deny unknown-clients

注解：本参数可拒绝未在服务器中设定的网卡。

在本系统中是以session的方式管理权限，虽然cookie也可以管理，但现在很多人都限制cookie的使用，所以仍采用session的方式管理。网络安全管理员、老师和机房管理员需先拥有帐号，以使本系统可以判别是哪个LEVEL的使用者，分别提供不同的功能，流程如下：

1.网络安全管理员在新的网管型交换机布建后即需在系统上进行设备设置

（1）网络安全管理员建立帐号的流程，登入系统取得权限，进入系统管理菜单下的“帐号管理”进行新增帐号。

（2）网络安全管理员新增有网管的网络设备流程，进入系统管理菜单下的“设备管理”进行新增设备。

2.如有一个新的网段设定时，建立网段的主要流程

进入IP管理菜单下的“可用IP管理”，如要新增一整个网段则选择“新增网段IP”，如要新增一个单独的IP则“新增单独IP”。

3.新的电脑机房成立时，由网络安全管理员在系统中建立该机房的信息，让老师可以用本系统管理学生的上网行为的主要流程

进入系统管理菜单下的“教室管理”，选择“新增教室”。该设置的重点在于定义电脑机房对外的网络线接在哪台网管交换机的哪一个PORT，以及教师机的IP为哪个。

4.新进人员申请IP的操作流程

由网络安全管理人员登入系统，在IP管理菜单下选择“IP申请”，在该页面上选择“新增IP申请”填写申请表。

5.IP配发

（1）首先在登入时会检查其权限，如为网络安全管理人员的帐号登入才能看到本选项。

（2）在IP管理菜单下选择“IP配发”。如需退回该项申请时，可直接在页面上选择“退回”，退回时备注退回的原因，让申请单位得知为何被退回。如同意申请则选择“核准”，并配予IP的相关信息。当网络安全管理人员完成核准后，系统将该笔记录存至资料库，并连线至DHCP服务器将该笔记录写入设定档中。

2.2 流量管理方面的优化

在流量管理部分，采用自动统计、自动下达拒绝连线的参数到core的方式，无需网络安全管理员介入操作，且用户超量后上网，网管交换机会自动将其跳转至一个警告页面告知其已流量超量停权中[2],如图2。

图2 流量管理流程Table 2 Internet trafficmanagement process

2.3 在连线管理方面的优化

为了方便管理，在本系统中将管理的范围规定在各建筑物的网管交换机，各网管交换机上预设所有PORT均不管制连线范围，首先由管理者在教室连网管理系统中定义每间教室是连线至哪一个网管交换机上的哪一个PORT，上课时再由老师自行决定是否管制学生上网范围。在网页上设定要管制的状况，再由连线管理系统将该政策设定至各建筑物的网管交换机上，[3]设定指令如下：

1.建立一个教室可连至校内网络，其余的连线均拒绝

在老师选择该政策时，教室内除了老师的电脑不受管制外，其余电脑均无法连至校外网络。

指令为create access-list class-teacher“protocol tcp;source-address教师机IP/32”“permit”

允许如果封包的来源是教师机的IP则全部允许。

create access-list class-ok“protocol tcp;destination-address 192.138.0.0/16”“permit”

允许如果封包要到的目的地IP为校内IP（校内IP全部采用私有IP）则允许。

create access-list class-deny“protocol tcp;destination-address 0.0.0.0/0”“deny”

所有的对外连线均拒绝。

config access-list add class-deny first ports教室连线的PORT将class-deny这条ACL套用到该教室所连线的PORT上。

config access-list add class-ok first ports教室连线的PORT将class-ok这条ACL套用到该教室所连线的PORT上。

config access-list add class-teacher first ports教室连线的PORT将class-teacher这条ACL套用到该教室所连线的PORT上。

因为在组态ACL时都是以“first”的参数加入，所以在ACL清单上其先后顺就是clsaa-teacher-＞classok-＞class-deny。

通过本系统中已设定的教室管理中所建立的教室是连接至哪个交换机的一个PORT，将上述命令以PHP通过telnet连线至该教室连接的网管交换机上后，套用此存取控制清单。本存取清单有三条政策，按输入的顺序，第一条为chass-teacher，为允许教师机可以连线，所以教师机不会受到限制；第2条为classok，为允许可以连线到192.168.0.0/16（校内网段），所以可以连线至校内的任一网络；第3条为class-deny，为禁止所有的连线。

2.建立一个教室可连至任一网络的连线

当老师选择该政策时，教室内所有电脑均可以连至所有网络。

指令为create access-list class-teacher“protocol tcp;source-address教师机IP/32”“permit”

允许如果封包的来源的教师机的IP则全部允许。

create access-list class-ok“protocol tcp；destination-address 0.0.0.0/0”“permit”

允许无论封包的目的地IP为哪个均全部允许。

config access-list add class-ok first ports教室连线的PORT将class-ok这条ACL套用到该教室所连线的PORT上

config access-list add class-teacher first ports教室连线的PORT将class-teacher这条ACL套用到该教室所连线的PORT上。

3.建立一个教室内所有电脑均不能连至任一网络的连线

当老师选择该政策时，除了教师机外，教室内所有电脑均不能连至所有网络。

指令为create access-list class-teacher“protocol tcp;source-address教师机IP/32”“permit”

允许如果封包的来源是教师机的IP则全部允许。

Create access-list class-deny“protocol tcp destination-address 0.0.0.0/0”“deny”

拒绝所有的对外连线。

Config access-list add class-deny first ports教室连线的PORT将class-deny这条ACL套用到该教室所连线的PORT上。

Config access-list add class-teacher first ports教室连线的PORT将class-teacher这条ACL套用到该教室所连线的PORT上。

4.通过本系统中已设定的教室管理中所建立的教室是连接至哪个交换机的PORT,将上述命令以PHP通过telnet连线至该教室连接的网管交换机上后，套用此存取控制清单。

5.存取控制清单（ACL-access control list）的作用方式

与防火墙的方式类似，其比对的方式为是从上往下比对，比对到符合条件即套用该政策后离开，在本系统中第一条class-teacher政策是为了让教师机可以上网，因为老师在上课的教程中有可能会有使用网络的需求。第二条class-ok政策是为了管控电脑教室的上网范围。第三条class-deny政策是为了拒绝所有的连线，采用本模式的优点在于可使ACL清单在建立时较为单纯，如果要改变管控的连线范围，则只要改变class-ok这条ACL即可，可简化日后程序的变更[4-5]。图3为教室管理系统的流程图。

图3 教室连网管理流程Table 3 Classroom networkingmanagement process

3 结语

在使用本方案之后，网络IP申请流程已无纸质文本传递的人力与时间差的问题，减少网管人员人工设定网络设备的次数，避免因失误造成设备故障，大大提高了办事效率。网络流量管理采用系统自动收整资料、自动产生命令至网络设备、主动将超量的用户引导至另一个网页作停权通知，避免因用户误以为网络发生故障而报修的情况。在电脑教室里任课教师可自行控制教室的上网行为，杜绝了学生在上课时间连至与教学无关的网页，保证了教学质量，得到了任课老师和网络管理人员的认可。

[1]李晓宾,李淑珍.一种基于SNMP的WEB网络管理系统的设计与实现[J].微计算机信息,2010(6):150-151,154.

[2]冯兴杰,潘文欣,卢楠.基于小波包的RBF神经网络网络流量混沌预测[J].计算机工程与设计,2012（5）:1681-1686.

[3]林靖.跨层网络管理系统PCNMS的架构与方法[J].宁德师范学院学报,2015（4）:363-368.

[4]翟永,王颖.企业网络管理系统构建方法研究[J].计算机工程与设计,2012（5）:1827-1831.

[5]林靖.P2P网络管理策略[J].龙岩学院学报,2016（5）:52-57.

（责任编辑：叶丽娜）

An Effective M anagement Scheme of Active Cam pus Network M anagement Scheme

LIN Jing
(Department of Modern Educational Technology Center,Ningde Normal University,Ningde,Fujian 352100)

The internet in campus has frequently been slow to trouble the normal teaching activities and themanagement of the campus due to the improper network use.Therefore,it is very important to establish an effective management scheme of campus network achieving convenient network for users to apply in campus,teachers also can control the Internet and limit the usage of the students and campus internet office can use to control the network bandwidth effectively.This paper proposes a kind of campus network management plan to tackle the problem of the personnel shortage,such as optimizing the IP application and trafficmanagement.It can not only be convenient for users but also canmake the network.

networkmanagement;internetaccess;flow control;connectionmanagement

TN915.07

：A

：1674－2109(2017)06－0058－05

2017-03-06

林靖（1982-），女，汉族，工程师，主要从事网络管理的研究。