一種有效的主動式校園網(wǎng)絡(luò)管理方案

林靖

（寧德師范學(xué)院現(xiàn)代教育技術(shù)中心，福建寧德352100）

一種有效的主動式校園網(wǎng)絡(luò)管理方案

林靖

（寧德師范學(xué)院現(xiàn)代教育技術(shù)中心，福建寧德352100）

校園網(wǎng)絡(luò)中常因用戶使用不當(dāng)導(dǎo)致網(wǎng)絡(luò)反應(yīng)過慢，使得正常的教學(xué)活動及校園管理受到干攏。因此，建立一個有效的校園網(wǎng)絡(luò)管理方案來實現(xiàn)既可方便用戶申請使用網(wǎng)絡(luò)、教師可以自行控制管理學(xué)生上網(wǎng)范圍，又可以有效的管控網(wǎng)絡(luò)帶寬的使用，就顯得重要。以校園網(wǎng)絡(luò)為研究對象，提出一種校園網(wǎng)絡(luò)管理方案，即優(yōu)化IP申請，優(yōu)化流量管理，實現(xiàn)在管理人員緊缺的情況下，達(dá)到既能方便用戶使用，又可以使網(wǎng)絡(luò)得到有效管理。

網(wǎng)絡(luò)管理；上網(wǎng)范圍；流量控制；連線管理

當(dāng)今的時代是一個信息的時代，更是一個網(wǎng)絡(luò)化的時代，越來越多的民生服務(wù)都開始往網(wǎng)絡(luò)發(fā)展。由于許多影片、音樂、教學(xué)等信息通過網(wǎng)絡(luò)來傳送，因此連帶的網(wǎng)絡(luò)管理工作也日漸復(fù)雜起來。早期的校園網(wǎng)絡(luò)是以對內(nèi)為主，對外的部分主要是提供老師和學(xué)生們可以查詢學(xué)術(shù)資料及瀏覽一些的網(wǎng)頁為主。當(dāng)時校內(nèi)網(wǎng)絡(luò)上所傳送的資料大多為并不大的文檔文件，是以校內(nèi)自建電子郵件服務(wù)器為主，主要的功能僅是校內(nèi)工作人員之間傳達(dá)信息。此時的校內(nèi)網(wǎng)絡(luò)服務(wù)對網(wǎng)絡(luò)帶寬的需求不大，僅需要以太網(wǎng)10 Mbps，并以T1專線對外連至網(wǎng)絡(luò)中心即可滿足使用需求。然而隨著信息科技的進(jìn)步，網(wǎng)絡(luò)的應(yīng)用也隨著快速發(fā)展，同時各種多樣的網(wǎng)絡(luò)服務(wù)紛紛面世，譬如：電子商務(wù)、視頻會議、遠(yuǎn)程教學(xué)以及各項P2P等。網(wǎng)絡(luò)上的資料也開始出現(xiàn)圖片、影像等大容量的資料，這些資料的流通，需要更大的網(wǎng)絡(luò)帶寬。網(wǎng)絡(luò)的實體建設(shè)的內(nèi)部局域網(wǎng)已由早期的10 Mb升級至100 Mb，現(xiàn)在更是開始向Gigabit等高速網(wǎng)絡(luò)邁進(jìn)。

1 校園網(wǎng)絡(luò)管理的現(xiàn)狀

在現(xiàn)代的校園中，對各項信息系統(tǒng)有著很大的依賴。遠(yuǎn)程教學(xué)平臺的出現(xiàn)使得學(xué)習(xí)不再局限于教室內(nèi)，只要有網(wǎng)絡(luò)的地方就可以學(xué)習(xí)?，F(xiàn)代化的網(wǎng)絡(luò)管理不僅要保持網(wǎng)絡(luò)的暢通與穩(wěn)定，還要讓網(wǎng)絡(luò)使用者擁有更好的網(wǎng)絡(luò)品質(zhì)與服務(wù)。但再好的硬件設(shè)備、再快的帶寬如果沒有有效的管理是不足以讓使用者感受到更好的網(wǎng)絡(luò)品質(zhì)與服務(wù)。目前國內(nèi)外網(wǎng)絡(luò)公司均有推出一些網(wǎng)絡(luò)管理軟件,對于網(wǎng)絡(luò)運行的有效管理起到了重要作用。此類軟件具有通用性,對于中小企業(yè)和一般規(guī)模的校園網(wǎng),雖然也能適用,但通用軟件的許多功能不一定能用到,且對于網(wǎng)絡(luò)設(shè)備和人員要求較高,造成資源浪費，現(xiàn)在的校園網(wǎng)都通常通過網(wǎng)絡(luò)設(shè)備的自身功能，通過人工操作來實現(xiàn)管理，對于中小型網(wǎng)絡(luò)，由于管理人員不足,讓他們感受到很大的壓力。目前許多學(xué)校由兩個或更多的校區(qū)組成，網(wǎng)絡(luò)管理壓力很大，因此很需要一種針對性較強的網(wǎng)管方案。以寧德師范學(xué)院校園網(wǎng)為例，從三個方面分析校園網(wǎng)絡(luò)管理的現(xiàn)狀。

1.1 IP申請

早期許多學(xué)校為了解決IP經(jīng)常被盜用的問題，在設(shè)備上設(shè)定每個IP和MAC地址靜態(tài)對應(yīng)。單位為了管制一個新的學(xué)生或新進(jìn)的教職員工，要申請連網(wǎng)需填寫紙質(zhì)的IP申請表，填寫后需經(jīng)相關(guān)部門審批，最后遞交給網(wǎng)絡(luò)中心，由網(wǎng)管人員在設(shè)備上進(jìn)行設(shè)定。目前許多學(xué)校由兩個或更多的校區(qū)組成，這樣的一個流程的循環(huán)，申請人有時會因為申請表審批問題需要在多個校區(qū)之間奔波，花費大量的時間。

1.2 流量管理

學(xué)校建立校園網(wǎng)絡(luò)目的是為了教學(xué)與科研，但因為有很多軟件、音樂及影片可以通過網(wǎng)絡(luò)下載，這常導(dǎo)致學(xué)校需花費大量的經(jīng)費來提升網(wǎng)絡(luò)設(shè)備及帶寬，所以幾乎每一所學(xué)校都會執(zhí)行流量管理來維護(hù)一定的網(wǎng)絡(luò)連線的品質(zhì)。在原來的管理流程中，需由網(wǎng)絡(luò)管理者自行上線查看網(wǎng)絡(luò)流量有哪些人超量，再手動在設(shè)備上建立ACL（存取控制清單）來拒絕連線，最后到網(wǎng)頁上公告該IP超量被停權(quán)。但如果發(fā)生管理人員忘記上網(wǎng)公告，就會導(dǎo)致使用者以為網(wǎng)絡(luò)故障而報修，徒增維修工作量。

1.3 連線管理

目前的教學(xué)環(huán)境越來越多地使用電腦與網(wǎng)絡(luò)，但老師在上課時經(jīng)常面臨學(xué)生在上課時間連至與教學(xué)無關(guān)的網(wǎng)站，如游戲、網(wǎng)上聊天等。老師常用的辦法是切斷對外網(wǎng)絡(luò)連接。這樣的辦法又會導(dǎo)致另一個問題的發(fā)生，如果老師需要讓學(xué)生連至學(xué)校建設(shè)的數(shù)字學(xué)習(xí)平臺，就會發(fā)生無法連線的情況。以往解決這樣的問題都是通過網(wǎng)絡(luò)管理人在防火墻上設(shè)定，不讓學(xué)生連至校外的網(wǎng)絡(luò)。然而教室的使用目的隨時都會變動，要依賴變更防火墻設(shè)置的方式來防止學(xué)生的不當(dāng)連線顯然不太合適。

2 校園網(wǎng)絡(luò)管理的優(yōu)化策略

2.1 在IP申請方面的優(yōu)化

IP管理的部分，以網(wǎng)上申請、網(wǎng)上核準(zhǔn)、DHCP服務(wù)器以及在網(wǎng)絡(luò)設(shè)備上以開關(guān)ARP的學(xué)習(xí)機制并搭配DHCP SNOOPING的機制[1]，省略了人員遞交紙質(zhì)申請表的過程，也可避免因為人工將網(wǎng)絡(luò)帳號輸入網(wǎng)絡(luò)設(shè)備時發(fā)生的錯誤，但仍能保持原有IP、MAC綁定的優(yōu)點，且又可以不用自行設(shè)定網(wǎng)絡(luò)組態(tài)，以避免人工設(shè)定出錯而發(fā)生的假故障。其流程如圖1。

圖1 上網(wǎng)申請及網(wǎng)絡(luò)設(shè)定流程Table 1 Online account application and network setting process

由于要將原先學(xué)校在core上以靜態(tài)ARP的方式來防止學(xué)生亂設(shè)定IP的方式改成core的ARP以學(xué)習(xí)自DHCP發(fā)送的紀(jì)錄的方式，因此需要在core上變更設(shè)定，使其可以開關(guān)學(xué)習(xí)的機制，改用DHCP的模式。由于改用ARP學(xué)習(xí)自DHCP服務(wù)器，因此需要修改設(shè)備的設(shè)定值，其步驟如下：

1.將動態(tài)學(xué)習(xí)ARP的機制關(guān)閉

指令為disable ip-secure arp learning learn-fromarp vlan[vlan_name]

2.設(shè)定DHCP服務(wù)的IP

指令為configure ip-security dhcp-bindings add“DHCP-IP”vlan“vlan_name”

3.設(shè)定ARP學(xué)習(xí)自DHCP服務(wù)器

指令為enable ip-security arp learning learnfrom-dhcp vlan“vlan_name”

ports“port_number”

4.因為vlan會隔離廣播封包，所以需要再設(shè)定dhcp relay,以使DHCP的封包可以跨網(wǎng)段運行

指令為configure bootrelay add“DHCP_SERVER_IP”

enable bootrelay

注解：如有多個DHCP服務(wù)器則所有的DHCP SERVER都要加入。

5.阻止非法的DHCP SERVER，避免其它具有DHCP功能的設(shè)備干擾網(wǎng)絡(luò)運行

指令為enable ip-security dhcp-snooping vlan“vlan_name”port“port_number”violation-action drop-packet block-mac duration 300

注解：violation-action選項是為避免私設(shè)DHCP時的封包處置行為。

6.DHCP服務(wù)器有一個重要的設(shè)定值就是拒絕未申請過的網(wǎng)卡上線

指令為在DHCP服務(wù)的dhcpd.conf中多加一個參數(shù)：deny unknown-clients

注解：本參數(shù)可拒絕未在服務(wù)器中設(shè)定的網(wǎng)卡。

在本系統(tǒng)中是以session的方式管理權(quán)限，雖然cookie也可以管理，但現(xiàn)在很多人都限制cookie的使用，所以仍采用session的方式管理。網(wǎng)絡(luò)安全管理員、老師和機房管理員需先擁有帳號，以使本系統(tǒng)可以判別是哪個LEVEL的使用者，分別提供不同的功能，流程如下：

1.網(wǎng)絡(luò)安全管理員在新的網(wǎng)管型交換機布建后即需在系統(tǒng)上進(jìn)行設(shè)備設(shè)置

（1）網(wǎng)絡(luò)安全管理員建立帳號的流程，登入系統(tǒng)取得權(quán)限，進(jìn)入系統(tǒng)管理菜單下的“帳號管理”進(jìn)行新增帳號。

（2）網(wǎng)絡(luò)安全管理員新增有網(wǎng)管的網(wǎng)絡(luò)設(shè)備流程，進(jìn)入系統(tǒng)管理菜單下的“設(shè)備管理”進(jìn)行新增設(shè)備。

2.如有一個新的網(wǎng)段設(shè)定時，建立網(wǎng)段的主要流程

進(jìn)入IP管理菜單下的“可用IP管理”，如要新增一整個網(wǎng)段則選擇“新增網(wǎng)段IP”，如要新增一個單獨的IP則“新增單獨IP”。

3.新的電腦機房成立時，由網(wǎng)絡(luò)安全管理員在系統(tǒng)中建立該機房的信息，讓老師可以用本系統(tǒng)管理學(xué)生的上網(wǎng)行為的主要流程

進(jìn)入系統(tǒng)管理菜單下的“教室管理”，選擇“新增教室”。該設(shè)置的重點在于定義電腦機房對外的網(wǎng)絡(luò)線接在哪臺網(wǎng)管交換機的哪一個PORT，以及教師機的IP為哪個。

4.新進(jìn)人員申請IP的操作流程

由網(wǎng)絡(luò)安全管理人員登入系統(tǒng)，在IP管理菜單下選擇“IP申請”，在該頁面上選擇“新增IP申請”填寫申請表。

5.IP配發(fā)

（1）首先在登入時會檢查其權(quán)限，如為網(wǎng)絡(luò)安全管理人員的帳號登入才能看到本選項。

（2）在IP管理菜單下選擇“IP配發(fā)”。如需退回該項申請時，可直接在頁面上選擇“退回”，退回時備注退回的原因，讓申請單位得知為何被退回。如同意申請則選擇“核準(zhǔn)”，并配予IP的相關(guān)信息。當(dāng)網(wǎng)絡(luò)安全管理人員完成核準(zhǔn)后，系統(tǒng)將該筆記錄存至資料庫，并連線至DHCP服務(wù)器將該筆記錄寫入設(shè)定檔中。

2.2 流量管理方面的優(yōu)化

在流量管理部分，采用自動統(tǒng)計、自動下達(dá)拒絕連線的參數(shù)到core的方式，無需網(wǎng)絡(luò)安全管理員介入操作，且用戶超量后上網(wǎng)，網(wǎng)管交換機會自動將其跳轉(zhuǎn)至一個警告頁面告知其已流量超量停權(quán)中[2],如圖2。

圖2 流量管理流程Table 2 Internet trafficmanagement process

2.3 在連線管理方面的優(yōu)化

為了方便管理，在本系統(tǒng)中將管理的范圍規(guī)定在各建筑物的網(wǎng)管交換機，各網(wǎng)管交換機上預(yù)設(shè)所有PORT均不管制連線范圍，首先由管理者在教室連網(wǎng)管理系統(tǒng)中定義每間教室是連線至哪一個網(wǎng)管交換機上的哪一個PORT，上課時再由老師自行決定是否管制學(xué)生上網(wǎng)范圍。在網(wǎng)頁上設(shè)定要管制的狀況，再由連線管理系統(tǒng)將該政策設(shè)定至各建筑物的網(wǎng)管交換機上，[3]設(shè)定指令如下：

1.建立一個教室可連至校內(nèi)網(wǎng)絡(luò)，其余的連線均拒絕

在老師選擇該政策時，教室內(nèi)除了老師的電腦不受管制外，其余電腦均無法連至校外網(wǎng)絡(luò)。

指令為create access-list class-teacher“protocol tcp;source-address教師機IP/32”“permit”

允許如果封包的來源是教師機的IP則全部允許。

create access-list class-ok“protocol tcp;destination-address 192.138.0.0/16”“permit”

允許如果封包要到的目的地IP為校內(nèi)IP（校內(nèi)IP全部采用私有IP）則允許。

create access-list class-deny“protocol tcp;destination-address 0.0.0.0/0”“deny”

所有的對外連線均拒絕。

config access-list add class-deny first ports教室連線的PORT將class-deny這條ACL套用到該教室所連線的PORT上。

config access-list add class-ok first ports教室連線的PORT將class-ok這條ACL套用到該教室所連線的PORT上。

config access-list add class-teacher first ports教室連線的PORT將class-teacher這條ACL套用到該教室所連線的PORT上。

因為在組態(tài)ACL時都是以“first”的參數(shù)加入，所以在ACL清單上其先后順就是clsaa-teacher-＞classok-＞class-deny。

通過本系統(tǒng)中已設(shè)定的教室管理中所建立的教室是連接至哪個交換機的一個PORT，將上述命令以PHP通過telnet連線至該教室連接的網(wǎng)管交換機上后，套用此存取控制清單。本存取清單有三條政策，按輸入的順序，第一條為chass-teacher，為允許教師機可以連線，所以教師機不會受到限制；第2條為classok，為允許可以連線到192.168.0.0/16（校內(nèi)網(wǎng)段），所以可以連線至校內(nèi)的任一網(wǎng)絡(luò)；第3條為class-deny，為禁止所有的連線。

2.建立一個教室可連至任一網(wǎng)絡(luò)的連線

當(dāng)老師選擇該政策時，教室內(nèi)所有電腦均可以連至所有網(wǎng)絡(luò)。

指令為create access-list class-teacher“protocol tcp;source-address教師機IP/32”“permit”

允許如果封包的來源的教師機的IP則全部允許。

create access-list class-ok“protocol tcp；destination-address 0.0.0.0/0”“permit”

允許無論封包的目的地IP為哪個均全部允許。

config access-list add class-ok first ports教室連線的PORT將class-ok這條ACL套用到該教室所連線的PORT上

config access-list add class-teacher first ports教室連線的PORT將class-teacher這條ACL套用到該教室所連線的PORT上。

3.建立一個教室內(nèi)所有電腦均不能連至任一網(wǎng)絡(luò)的連線

當(dāng)老師選擇該政策時，除了教師機外，教室內(nèi)所有電腦均不能連至所有網(wǎng)絡(luò)。

指令為create access-list class-teacher“protocol tcp;source-address教師機IP/32”“permit”

允許如果封包的來源是教師機的IP則全部允許。

Create access-list class-deny“protocol tcp destination-address 0.0.0.0/0”“deny”

拒絕所有的對外連線。

Config access-list add class-deny first ports教室連線的PORT將class-deny這條ACL套用到該教室所連線的PORT上。

Config access-list add class-teacher first ports教室連線的PORT將class-teacher這條ACL套用到該教室所連線的PORT上。

4.通過本系統(tǒng)中已設(shè)定的教室管理中所建立的教室是連接至哪個交換機的PORT,將上述命令以PHP通過telnet連線至該教室連接的網(wǎng)管交換機上后，套用此存取控制清單。

5.存取控制清單（ACL-access control list）的作用方式

與防火墻的方式類似，其比對的方式為是從上往下比對，比對到符合條件即套用該政策后離開，在本系統(tǒng)中第一條class-teacher政策是為了讓教師機可以上網(wǎng)，因為老師在上課的教程中有可能會有使用網(wǎng)絡(luò)的需求。第二條class-ok政策是為了管控電腦教室的上網(wǎng)范圍。第三條class-deny政策是為了拒絕所有的連線，采用本模式的優(yōu)點在于可使ACL清單在建立時較為單純，如果要改變管控的連線范圍，則只要改變class-ok這條ACL即可，可簡化日后程序的變更[4-5]。圖3為教室管理系統(tǒng)的流程圖。

圖3 教室連網(wǎng)管理流程Table 3 Classroom networkingmanagement process

3 結(jié)語

在使用本方案之后，網(wǎng)絡(luò)IP申請流程已無紙質(zhì)文本傳遞的人力與時間差的問題，減少網(wǎng)管人員人工設(shè)定網(wǎng)絡(luò)設(shè)備的次數(shù)，避免因失誤造成設(shè)備故障，大大提高了辦事效率。網(wǎng)絡(luò)流量管理采用系統(tǒng)自動收整資料、自動產(chǎn)生命令至網(wǎng)絡(luò)設(shè)備、主動將超量的用戶引導(dǎo)至另一個網(wǎng)頁作停權(quán)通知，避免因用戶誤以為網(wǎng)絡(luò)發(fā)生故障而報修的情況。在電腦教室里任課教師可自行控制教室的上網(wǎng)行為，杜絕了學(xué)生在上課時間連至與教學(xué)無關(guān)的網(wǎng)頁，保證了教學(xué)質(zhì)量，得到了任課老師和網(wǎng)絡(luò)管理人員的認(rèn)可。

[1]李曉賓,李淑珍.一種基于SNMP的WEB網(wǎng)絡(luò)管理系統(tǒng)的設(shè)計與實現(xiàn)[J].微計算機信息,2010(6):150-151,154.

[2]馮興杰,潘文欣,盧楠.基于小波包的RBF神經(jīng)網(wǎng)絡(luò)網(wǎng)絡(luò)流量混沌預(yù)測[J].計算機工程與設(shè)計,2012（5）:1681-1686.

[3]林靖.跨層網(wǎng)絡(luò)管理系統(tǒng)PCNMS的架構(gòu)與方法[J].寧德師范學(xué)院學(xué)報,2015（4）:363-368.

[4]翟永,王穎.企業(yè)網(wǎng)絡(luò)管理系統(tǒng)構(gòu)建方法研究[J].計算機工程與設(shè)計,2012（5）:1827-1831.

[5]林靖.P2P網(wǎng)絡(luò)管理策略[J].龍巖學(xué)院學(xué)報,2016（5）:52-57.

（責(zé)任編輯：葉麗娜）

An Effective M anagement Scheme of Active Cam pus Network M anagement Scheme

LIN Jing
(Department of Modern Educational Technology Center,Ningde Normal University,Ningde,Fujian 352100)

The internet in campus has frequently been slow to trouble the normal teaching activities and themanagement of the campus due to the improper network use.Therefore,it is very important to establish an effective management scheme of campus network achieving convenient network for users to apply in campus,teachers also can control the Internet and limit the usage of the students and campus internet office can use to control the network bandwidth effectively.This paper proposes a kind of campus network management plan to tackle the problem of the personnel shortage,such as optimizing the IP application and trafficmanagement.It can not only be convenient for users but also canmake the network.

networkmanagement;internetaccess;flow control;connectionmanagement

TN915.07

：A

：1674－2109(2017)06－0058－05

2017-03-06

林靖（1982-），女，漢族，工程師，主要從事網(wǎng)絡(luò)管理的研究。