【摘要】計算機實訓機房是學校重要的學習場所。對機房網(wǎng)絡的管理直接會影響到機房的日常維護和實訓的正常開展,只有對機房網(wǎng)絡不斷進行管理與優(yōu)化,才能簡化機房的日常維護,保障實訓活動的正常實施。
【關(guān)鍵詞】實訓機房;802.1x;網(wǎng)絡拓撲
一、引言
計算機實訓機房是高職院校重要的實訓場所。基本上每個院系都有大量的基礎(chǔ)課和專業(yè)課實訓需要在機房開展。為了給學生提供更多的實訓機會,筆者所在學校在對原有6個機房進行升級改造的基礎(chǔ)上又新建設了6個實訓機房。
每個實訓機房的基本情況如下:每個機房有60臺計算機。連接機房內(nèi)60臺計算機的是兩臺銳捷智能交換機:一臺RG-S5750-24GT/12SFP和一臺RG-S2652G。其中RG-S5750-24GT/12SFP交換機上聯(lián)到核心交換機。兩臺交換機都開啟了802.1x認證。
二、實訓機房使用中的問題及原因分析
機房在投入使用后,機房管理員和實訓教師都遇到了難題。首先,機房管理員發(fā)現(xiàn)無法通過還原卡批量維護機房;其次,實訓教師在使用中發(fā)現(xiàn)無法有效控制學生聯(lián)接互聯(lián)網(wǎng)。這給正常的教學和管理工作帶來了諸多不便。這一切都是由于交換機采用了802.1x認證才出現(xiàn)的問題。
802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機提供的各種業(yè)務之前,802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端口;認證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。也就是說,聯(lián)接到交換機端口的每臺計算機都必須通過802.1x認證后才能實現(xiàn)局域網(wǎng)和互聯(lián)網(wǎng)的訪問。
機房管理員在進行機房計算機維護時是通過計算機上的還原卡來進行批量維護的。這要求計算機在通電后而未進入操作系統(tǒng)之前就要能夠?qū)崿F(xiàn)本機房局域網(wǎng)內(nèi)的互聯(lián)互通。由于所有交換機都啟用了802.1x認證,而計算機上安裝的用于802.1x認證的銳捷認證客戶端又需要進入操作系統(tǒng)后才能使用,導致計算機無法聯(lián)接到交換機。如果逐臺進行計算機維護的話,工作量又太大。這樣就給機房維護帶來不必要的麻煩。
如果將每臺交換機的802.1x認證關(guān)閉,雖然可以解決機房管理員維護機房的問題,但會給實訓教師帶來困擾。因為很多實訓教師不需要學生聯(lián)接到互聯(lián)網(wǎng),而沒有了802.1x認證,每臺計算機都可以直接聯(lián)接到互聯(lián)網(wǎng),導致很多學生不能安心進行實訓,嚴重影響了實訓效果。
即使交換機開啟了802.1x認證,實訓教師依然面臨學生偷偷上網(wǎng)的問題。因為只要一個班的學生知道了認證的用戶名和密碼,很快大部分班級的學生就都知道了這個用戶名和密碼。這將嚴重干擾其它不需要聯(lián)網(wǎng)的班級的實訓活動。
三、合理管理,保證機房實訓的順利開展
那么,如何才能實現(xiàn)對機房網(wǎng)絡的有效管理,保證機房實訓的順利進行呢?筆者作為學校的網(wǎng)絡管理人員在了解到機房管理員和實訓教師遇到的困難后,逐步采取了一系列措施,最終完美解決了這些問題。筆者解決問題的過程經(jīng)歷了兩個階段:
1.合理利用已有設備,初步解決問題
在了解到機房管理員和實訓教師遇到的問題后,筆者綜合分析了當時的網(wǎng)絡情況,利用已有的硬件和軟件條件,初步確定了解決方案。
(1)臨時關(guān)閉交換機的802.1x認證,解決機房批量維護難題
當機房需要維護時,機房管理員首先聯(lián)系網(wǎng)絡管理員確定需要維護的機房和維護時間。然后由網(wǎng)絡管理員在維護時間內(nèi)通過Telnet登陸到交換機上關(guān)閉交換機的802.1x認證,維護結(jié)束后再重新開啟802.1x認證。由于維護時間是在機房沒有實訓任務時,所以不會對機房實訓產(chǎn)生任何影響。
(2)利用RG-SAM安全計費管理系統(tǒng)設置不同賬號,解決機房聯(lián)網(wǎng)問題
交換機的802.1x認證是通過RG-SAM安全計費管理系統(tǒng)來實現(xiàn)的。RG-SAM安全計費管理系統(tǒng)可以進行接入控制管理。接入控制的方法有兩種:BACL管理和接入時段管理。BACL管理可以設置能夠使用某個賬號的IP地址段。這樣機房1使用的認證賬號在機房2就無法使用。接入時段管理可以設置某個賬號的使用時間段。如果設定某個賬號的接入時段為星期~8:00-9:30,那么這個賬號只能在星期一8:00-9:30這個時間段用,在星期一8:00-9:30以外的時間段是不能使用的。通過結(jié)合BACL管理和接入時段管理,我們就可以設定某個賬號只能在某個機房某天的某個時間段才可以使用,從而保障了實訓對網(wǎng)絡環(huán)境的要求。
雖然以上這兩種方法基本解決了目前遇到的問題,但這兩種方法操作起來都比較繁雜,在很大程度上增加了網(wǎng)絡管理員的工作量。
2.進行網(wǎng)絡改造,完美解決難題
(1)優(yōu)化網(wǎng)絡拓撲結(jié)構(gòu),解決機房維護難題
由于機房網(wǎng)絡在設計時采用的是兩層結(jié)構(gòu),一臺RG-S2652G交換機作為接入交換機,另外一臺RG-S5750-24GT/12SFP主要作為匯聚交換機,并接入到校園網(wǎng)中的核心交換機上。機房網(wǎng)絡的拓撲結(jié)構(gòu)如圖1所示。
在這種拓撲結(jié)構(gòu)中,由于核心交換機不能進行802.1x認證,所以802.1x認證只能由接入交換機或匯聚交換機進行。為了方便機房管理員對機房進行維護,最理想的方案就是所有的計算機都聯(lián)接到接入交換機的端口,然后由匯聚交換機進行802.1x認證。這樣在機房這個局域網(wǎng)內(nèi)所有的計算機都是互通的。由于接入交換機RG-S2652G只有48個電口,只能聯(lián)接48臺計算機,而每個機房有60臺計算機,這樣就需要在接入層再增加一臺交換機為其它計算機提供接口。這樣每個機房就需要有兩臺接入交換機通過串聯(lián)的方式聯(lián)接起來為機房的60臺計算機提供聯(lián)接端口,其中一臺接入交換機上聯(lián)到匯聚交換機??紤]到匯聚層交換機RG-S5750-24GT/12SFP性能較高,每個機房都單獨放置一臺RG-S5750-24GT/12SFP太浪費資源,筆者將每個機房都只保留兩臺接入交換機,使用一臺RG-S5750-24GT/12SFP作為所有機房的匯聚交換機聯(lián)接到核心交換機。這樣就完全解決了機房批量維護的難題。修改后的機房網(wǎng)絡拓撲結(jié)構(gòu)如圖2所示。
(2)增加上網(wǎng)行為管理設備,有效控制機房計算機聯(lián)接互聯(lián)網(wǎng)
雖然利用RG-SAM安全計費管理系統(tǒng)可以實現(xiàn)對計算機聯(lián)接網(wǎng)絡的控制,但是這需要為每個機房的每天中的每次實訓都提供一個賬號,這使網(wǎng)絡管理員的壓力急劇增大。而且這種方法只能幫助實訓教師有效控制計算機的聯(lián)網(wǎng)問題,無法解決聯(lián)接校園網(wǎng)中其它資源的問題。也就是說,如果機房實訓需要聯(lián)接到校園網(wǎng)中的其它服務器,那么學生同時也是可以聯(lián)接到互聯(lián)網(wǎng)的。這也給部分實訓帶來一定困擾。通過增加一臺上網(wǎng)行為管理設備則可以更好的解決計算機聯(lián)接互聯(lián)網(wǎng)的問題。
SANGFOR上網(wǎng)行為管理設備可以根據(jù)IP地址和時間段制定上網(wǎng)策略。筆者利用SANGFOR上網(wǎng)行為管理設備為每個機房都制定了上網(wǎng)策略。默認每個機房的所有計算機在任何時間都是不允許聯(lián)接到互聯(lián)網(wǎng)的。這樣即使你通過了802.1認證,也只能訪問校園網(wǎng)內(nèi)的資源,而無法聯(lián)接到互聯(lián)網(wǎng)。如果某個機房實訓需要聯(lián)接到互聯(lián)網(wǎng),則可以按照課程表在其上課時間允許該機房聯(lián)接到互聯(lián)網(wǎng)。整個操作過程非常簡單方便,可以大大減少網(wǎng)絡管理員的工作量。
四、小結(jié)
計算機實訓機房網(wǎng)絡的管理對機房的日常維護以及實訓的正常開展都十分重要。只有有效的控制好機房網(wǎng)絡,才能方便機房管理員的日常維護,才能提供差異化的網(wǎng)絡服務,保障各類計算機實訓的正常開展并獲得更好的實訓效果。
參考文獻
[1]百度百科.[EB/OL].http://baike.baidu.com/link?url=sl6Um3EmnO3MjX6lNTebzYiu_4GQRsrq29NqavTlM9_pM5Hw-pCPxfQRrpWK8Ea9,2013-08-06.
[2]RG-S5750系列交換機配置手冊(V10.4)[EB/OL].http://www.ruijie.com.cn/service/Document_3218,2012-11-28.
[3]SANGFOR_SG_v3.0用戶手冊[EB/OL].http://sangfor. 360help.com.cn/read.php?tid-2060-fpage-2.html,2010-08-24.