现状与需求

需求

学校现有初高中各2个机房，每个机房50台学生机。在某些教学环境中希望能由教师统一控制学生机的联网状态，并且是每个教室的老师控制自己的教室。由于初高中校区网络结构类似，本文以高中部两个机房的部署配置为例，初中部或者拥有更多机房的环境可以套用下文的解决方案。

现有机房教师机和学生机处于相同VLAN中且居于平等地位，期望借助教学平台软件控制学生机联网状态几乎很难实现。方案只有在架构上使学生机联网经过特定网关设备，并且通过控制权限限制学生自主编辑学生机的网络配置，才能使教师通过管理网关控制学生机的联网状态。

图1 网络拓扑图

既然要求所有老师都能管理自己上课的教室，自然希望解决方案最小化教师的学习成本，提供简单明了的界面和操作。进一步希望两个机房老师在控制自己教室时互不干扰。另外笔者没有专用设备充当网关硬件，只能借助虚拟机实现所需功能，这也提出了减少资源消耗的要求。

现有解决方案

笔者在初高中两个校区最近一次机房改造中采用了学生机房通过自主独立网关联网的方案，这样笔者在机房和学校开放网络（Internet）之间拥有了对学生计算机联网的控制权。严格来讲，控制粒度可以达到单个IP。现实中往往只需控制不同教室的联网状态即可，网络拓扑图如图1。

这种网络架构理想的网关设备应该是硬件网关或防火墙，这种硬件本质上是运行相关控制系统的专用计算机。鉴于当时无力购置这样的设备，只能退而使用普通X86计算机充当网关设备。此外，网关在网络中的特殊性又要求相对的硬件稳定性，PC服务器当然是首选，但迫于硬件资源不足最终只能采用服务器虚拟架构中的虚拟机来实现。

软件方面在当时的历史条件下，综合考虑资源消耗等因素我们选择在已有的虚拟化平台Vmware Vsphere中配置一台低配置Windows XP主机，运行Sygate网关软件进行路由控制。教师上课时通过Windows远程桌面登录Windows XP, 通过修改Sygate的运行状态控制自己教室的联网状态。

现有方案的不足

1.Windows XP平台已不受微软支持，安全威胁日渐提升。在过去几年的使用中平均一个月左右就需要因系统不响应而重启虚拟机网关。这会造成教学使用的网络环境不稳定。

2.Sygate软 件 是Windows 2000时代的软件产品，早已停止更新维护。不过公允地说该软件还是编写很出色的，稳定性和效能完全可以满足使用规模。（带机量100）

3.Windows XP的远程桌面不允许多用户同时登录，因此教师之间需要协调控制时机和条件。

4.Sygate的黑白名单功能被用来单独控制两间机房，例如将1机房的50个IP同时加入黑白名单，启用黑名单则1机房断网2机房通，启用白名单则2机房断网1机房通，不启用黑白名单是全通，停止Sygate服务是全断。这种设置刚好满足我们2个机房分别控制的需求，但无法应对可能的发展，例如增加到3个机房。

5.虚拟化架构会影响效能，而且由于路由复杂性增加带来了网络不稳定的隐患。

可选改进方案

硬件网关

硬件网关本质上就是固化了前述功能的计算机（路由器），优势当然是效率高，可惜不花钱得不到。根据应用规模，目前市场上可选硬件价格在(数)千元价位：

乐光 LG-WA200N

华为（HUAWEI）AR151-S2

华 三（H3C）MSR930-WiNet

飞鱼星VE1220G

开源网关软件系统

网络拓扑上沿用现有的Sygate方案，使用开源系统替换Windows+Sygate。

通常开源的网关系统底层采用Linux或开源BSD,在安全性和稳定性上远超Windows系统。

另外，专用的网关系统会简化其他功能已达到更好的效率。

常见的开源网关系统包括以下几种：

NG Firewall Free行为管理安全网关

（https://www.untangle.com/shop/NGFirewall-Free/）

Artica Proxy代理网关

（http://www.proxyappliance.org/）

Halon securityrouter基于OpenBSD的安全网关

pfSense基于FreeBSD的开源防火墙

（https://www.pfsense.org/）

m0n0wall基于FreeBSD的开源防火墙（项目已终止）

（http://m0n0.ch/wall/index.php）

方案选择及实施

最终此次网关更换方案选择了Halon securityrouter，主要基于以下考虑：

1.提供免费方案且免费方案满足我们的需求。

2.良好的虚拟化支持：进驻Vmware官方Appliance市场，并提供OVA格式可直接部署于现有VSphere环境。

3.功能比较单一，效率相对较高，实测效能可接受。

4.硬件资源消耗低（单核 +256MB RAM+500MB HD）。

5.快速进行部署，Web管理。

6.特色功能（实时图表，高可定制防火墙规则，热恢复/热回滚/热测试/热配置，支持HA集群等）。

7.基于地址表的状态防火墙，可满足日后扩充机房的需求，如图3所示。

下面详述部署过程：

1.下载虚拟机镜像OVA文 件 ：http://dl2.halon.se/vsr/选 择“OVF/VMDK format,for VMware vSphere”。

图2 设置网络信息

图3 IP列表

图4 新增两条Rules

图5 网络拓扑图

2.向VSphere部署，部署后不需修改虚拟机配置，启动虚拟机。

3.缺省配置为单网卡会自动通过DHCP获取IP地址，并在启动过程中显著提示。只需浏览器用https协议访问该IP即可。初始用户admin，密码 admin。

4.初次登录后在右上角修改admin密码。在菜单System>Users为多位教师创建账户。

5.菜单Network>Basic Setup设置WAN(Internet)的IP地址等网络信息。设置完成后保存、应用和关机，如图2所示。

6.为虚拟机添加第二网卡（LAN），启动虚拟机。通过上一步修改的新IP登入。菜单Network>Basic Setup设置LAN信息并保存。

7.菜单 Network>Firewa ll界面，底部添加两个table,分别包含两个机房的IP列表，如图3所示。（可以借助Excel批量生成）

8.在Firewall页面新增两条Rules：用于独立切断两机房的网络，如图4所示。

再点击Action列箭头，通过Enabled复选框控制规则启用与否，如图5所示。

9.每次修改配置后点击Save按钮保存修改，再点击菜单Configuration>Deploy Working Copy页面工具条的Deploy（commit）按钮使其生效。

10. 菜单System>Graphs可以随时查看网关的负载和流量统计图表。