遠程網絡實驗的訪問控制機制與管理

溫 武， 郭四穩， 李 鵬， 陳彩云

(廣州大學 計算機科學與教育軟件學院， 廣東 廣州 510006)

計算機技術應用

遠程網絡實驗的訪問控制機制與管理

溫 武， 郭四穩， 李 鵬， 陳彩云

(廣州大學 計算機科學與教育軟件學院， 廣東 廣州 510006)

根據網絡實驗教學和網絡工程實驗室的管理特點，提出應用SSL VPN技術和輕量級Java EE開源框架技術構建遠程開放實驗平臺，實現高細粒度的訪問控制與管理，打破傳統實驗教學模式空間上和時間上的限制，使學生的實驗不再局限于有形的實驗室中，達到拓展教育技術手段、提高實驗教學效果、培養高素質網絡技術人才的目的。

遠程開放實驗平臺； 訪問控制； 設備管理； 實驗教學

在網絡化高度發展的今天，現代遠程教育為人們提供了不同于傳統現實世界的一個現代網絡世界。美國Carnegie Mellon大學最早提出具有獨創性的遠程實驗思想；新加坡國立大學建立的網絡虛擬實驗室，利用了Java Applet來控制遠程硬件實驗設備；我國華中科技大學研發了AnySee視頻直播系統開展遠程教學；西安交通大學、復旦大學、南京大學等多所高校也設計有不同學科和用途的遠程實驗教學平臺[1-4]。為了拉近學生和實驗的距離，培養學生自主學習、自主建構知識的能力，提高網絡實驗室設備的使用效率、取得更好的實驗教學效果，有必要創建一個遠程開放的實驗環境，作為傳統實驗的一個有益補充，將普通的網絡實驗室提升為全天候遠程開放的網絡實驗室，使實驗教學的時間和空間得到有效的延伸[5-6]。

1 主干課程及其項目的設計

在廣州大學網絡工程實驗室規劃建設之初，就以整體知識觀對網絡工程專業的“組網技術”、“網絡安全”和“網管技術”3門工程技術主干課程先行進行了教學改革。

整體知識觀認為知識是相互關聯的，并且可以整合成為一個統一的知識體系[7]。基于這些課程特點和圍繞課程的知識體系，將實驗教學從課程教學中獨立出來并綜合到一起，將問題和概念在工程實驗環境中展示給學生。每一個實驗項目既是獨立的，又是前一個實驗項目的延伸，避免了實驗內容的孤立或交叉重復，使實驗內容更加緊密聯系實際，并為設立綜合性、設計性實驗項目提供了廣闊空間，形成工程教育氛圍。

實驗教學過程以學生為中心，理論教學與實驗教學同步進行，甚至部分實驗教學安排在相關理論課程之前進行，鼓勵學生在有需求的環境中學習，在實驗教學中感受以客戶需求為本的企業理念，樹立產品和服務的市場意識。實驗教學以4～5名學生為一個小組，在工程環境中共同完成實驗項目。各小組相互學習、相互競爭，一方面能夠使學生對抽象的計算機網絡理論知識有直觀、具體的認識，另一方面促使學生在理論知識中尋找問題的答案，從而培養自主學習、自主建構知識的能力和團隊協作精神[8]。

實踐證明，對實驗課程的優化整合加強了網絡工程專業知識的本質聯系，從根本上提高了實驗教學質量；學生也感到在致力于解決問題的過程中既提高了動手的能力、加深了對理論知識的理解，又鍛煉了自身團隊合作及人際溝通能力，受益匪淺。因此，我校在網絡工程專業的教學計劃修訂本中，調整設立了“計算機網絡實驗”等3門主干實驗課程，含24個實驗項目，共計114學時，其中驗證性實驗19項，綜合性實驗5項。

(1) 計算機網絡實驗(24學時)。實驗項目包括：Windows網絡測試工具、理解子網掩碼、網關和ARP協議的作用、使用網絡協議分析器捕捉和分析協議數據包(綜合性實驗)、配置網絡路由、網絡程序設計(綜合性實驗)。

(2) 網絡工程實驗I(54學時)。實驗項目包括：交換機的基本配置和端口配置、VLAN配置、路由協議配置、廣域網協議配置、IPSec VPN典型配置技術、防火墻的配置、地址轉換NAT配置、入侵檢測、數字證書的生成與簽名、網絡管理系統軟件應用、基于技術需要的網絡實現(綜合性實驗)、基于用戶需求的網絡實現(綜合性實驗)。

(3) 網絡工程實驗II(36學時)。實驗項目包括：無線多點組網實驗、無線路由器的配置與使用實驗(綜合性實驗)、IPv6實驗、綜合布線與測試、網絡故障診斷案例分析實驗。

2 遠程實驗平臺的分析及構成

在對實驗項目和實驗室網絡構成特點進行分析的基礎上，提出采用SSL VPN技術和輕量級的Java EE開源框架技術，突破傳統教學模式，不受時間、地點、實驗設備和師資條件的限制，構建一個所有實驗教學和實驗過程均可以通過互聯網實時配置異地實驗室的硬件設備實體、實驗人員可以實時獲取實驗現象或實驗結果的遠程開放實驗平臺，并使之成為有形實驗室的重要組成部分。

整個遠程開放實驗平臺由遠端學生機區、實驗機柜、實驗室中心交換機、VPN網關和網絡實驗室管理系統(network experiment management system，NEMS)組成(見圖1)，形成以學生為主體的統一與個性化共存的多形態遠程實驗教學方式。學生經授權后，在實驗室外網絡可連的任何位置，都可以隨時連接實驗室的網絡實驗設備，根據自己的需要和興趣選做實驗項目，實現實驗的個性化和差異化。

圖1 遠程開放實驗平臺體系結構圖

3 遠程開放實驗平臺的設計

3.1 實驗環境的總體構成

網絡工程實驗室實驗環境由1個中心交換機柜、9組實驗機柜和9組54臺實驗計算機組成。網絡實驗設備全部選用H3C公司的技術產品。

中心交換機柜內有LS-5500-52C-EI中心交換機、LS-S3526三層交換機、實驗室管理服務器、帶SSL加密處理模塊的防火墻設備(NS-Secpath F1000-ME)。

實驗機柜由3臺二層交換機(LS-E126A)、2臺三層交換機(LS-S3610)、4臺路由器(RT-MSR3016或RT-MSR2040)和1臺帶16端口異步串口增強型模塊的AR28-16設備管理控制臺(DMC)等網絡實驗設備構成，按照兼顧多種網絡結構的實驗拓撲，使用超五類跳線或DTE、DCE串口線纜連接。實驗機柜與中心交換機柜之間、實驗計算機與中心交換機柜之間預敷設超5類非屏蔽雙絞線進行連接，學生通過實驗計算機的IE瀏覽器連接至DMC后，通過反向Telnet技術訪問組內網絡實驗設備的Console口，即可以直接開展網絡實驗。DMC具有并發控制功能，保證每臺網絡實驗設備在任一時刻只有一個用戶可以訪問，以避免訪問沖突。同組實驗計算機與實驗機柜之間亦預敷設超5類非屏蔽雙絞線，用于實驗結果的驗證。

整個實驗室通過iMC網管軟件和NEMS實驗室管理系統進行統一管理。VPN網關提供實驗室外網遠程認證接入服務，在實驗室內網的實驗計算機、服務器與外網之間起到保護作用。所有這些儀器設備和固定、統一的網絡實驗拓撲為整個遠程網絡實驗的實施奠定了基礎。遠程網絡實驗的網絡拓撲如圖2所示。

圖2 遠程網絡實驗網絡拓撲圖

3.2 SSL VPN遠程接入與訪問控制

為了更好地做好遠程網絡實驗的開放管理，有效利用實驗室資源，將課余時間以每個實驗機柜、每2.5 h為一個單位，劃分出多個遠程開放的時間段，以供學生選擇和預約。學生可以根據自己的需求，以個人或小組為單位進行實驗預約登記，并獲得用戶名、密碼、實驗機柜編號等相關信息。為了實現用戶機對實驗室內部網絡服務器和網絡實驗設備之間的安全訪問，實驗室選用H3C的NS-Secpath FW1000-ME防火墻配以SSL模塊作為SSL VPN網關。該設備數據通信基于標準TCP/UDP協議，包括身份認證技術、內容重寫轉換和連接技術、可伸縮的訪問控制技術、終端的數據安全技術等關鍵技術，因而能遍歷幾乎所有NAT設備或防火墻，具有強大的訪問控制和用戶認證管理功能[9-10]。

平臺將申請使用同一個實驗機柜開展遠程實驗的單個學生或多個學生用戶組成一個實驗小組，并且以實驗小組為單元，區分Web接入資源、TCP接入資源、IP接入資源等實驗機柜設備資源種類，在VPN網關中進行Web業務配置、TCP業務配置、IP業務配置、認證策略配置、安全評估配置及動態授權配置，設置不同的訪問權限(見圖3)。如果一個實驗機柜被配置給某個實驗小組，則該實驗小組的所有學生用戶都具備訪問這個實驗機柜里的所有設備資源的權限，從而讓實驗室教師更容易進行高細粒度的訪問控制，在更高層面上保證實驗室的網絡安全。

圖3 學生-實驗組-實驗機柜-實驗資源關系示意圖

學生只需在預約時間段內，使用標準Web瀏覽器接入互聯網，利用SSL協議對數據進行加密，經過VPN網關連接認證后，與VPN網關在公共網絡中建立一條虛擬、加密、安全的通道進行數據傳輸，就可以訪問網絡實驗管理系統(NEMS)，進而可以與設備管理控制臺(DMC)聯動，對實驗機柜中的網絡實驗設備進行配置和驗證，進行實驗并動態獲取反饋的實驗結果。

3.3 網絡實驗設備的管理

遠程網絡實驗具有24小時不間斷的特點，實驗室教師不僅要讓學生能夠遠程訪問網絡實驗設備，還要及時清除網絡實驗設備中的配置“痕跡”，以便為后續進行遠程實驗的學生提供“干凈”、正常的網絡實驗設備。此外，還要及時排除網絡實驗設備因配置錯誤而發生的故障，能夠遠程管理實驗機柜，簡單、快速地將網絡實驗設備恢復到初始的工作狀態。這是一個比較難以解決的問題，但卻是一個非常重要的功能。

網絡實驗設備的恢復手段主要采用自動重啟恢復、遠程強制恢復和手動修復3種方式，主要通過網絡NEMS來實現網絡實驗設備的自動重啟與恢復、遠程強制恢復。NEMS采用B/S模式、基于輕量級Java EE開源框架技術開發設計，采用JSF+Spring+Hibernate的組合方式組建的一個完整的系統架構，部署在網絡實驗室管理服務器上，處于整個網絡實驗室遠程實驗體系的上層，是學生計算機和網絡實驗設備之間的接口[11]。

自動重啟與恢復、遠程強制恢復兩種方式的工作原理是：(1)編輯好每臺網絡實驗設備的啟動配置文件，保存在實驗室管理服務器上；(2)通過NEMS系統，將該啟動配置文件設置為缺省配置；(3)NEMS系統在預約實驗時間結束時，利用TFTP/FTP 方式，將啟動配置文件下發到選定或所有的網絡實驗設備上，作為該設備的啟動配置，讓網絡實驗設備重啟時被加載運行，啟動完成后網絡實驗設備恢復到初始配置狀態。

遠程強制恢復方式是在自動重啟與恢復方式不能生效的情況下，實驗室教師通過Web瀏覽器經過VPN網關和NEMS系統的認證授權后，對網絡實驗設備實施強制重啟，加載啟動配置文件，完成設備恢復工作。當自動重啟與恢復、遠程強制恢復2種方式都不能恢復網絡實驗設備的正常運行時，實驗室教師只能在上班時間到實驗室對服務器或實驗機柜中的網絡實驗設備進行手工修復。網絡實驗設備初始配置工作狀態如圖4所示。

圖4 網絡實驗設備初始配置工作狀態圖

通過以上3種恢復手段，保證了遠程開放實驗平臺能持續、穩定地工作，使實驗教學的時間和空間得到有效的延伸，提高了網絡工程實驗室的利用率，亦提高了實驗室管理水平。

4 結束語

采用SSL VPN技術和輕量級的Java EE開源框架技術設計的遠程開放實驗平臺，既可以優化教學過程，增強教學的靈活性，又可以拓展教育技術手段，提高實驗教學效率，極大地擴展實驗教學的空間和時間[12]。學生可以像在真實環境中那樣完成預定的實驗項目，從而提高學習效果、網絡技術水平和工程實踐能力；實驗室可以在全天候無人值守的情況下持續為學生提供實驗服務，極大地提高了實驗室網絡設備的利用率。

References)

[1] 吳先球，劉朝輝，葉穗紅，等.網絡環境下遠程實驗的技術探討[J].實驗技術與管理，2008，25(6)：30-33.

[2] 李建海，皮之軍，應朝龍.電工電子虛擬實驗室的研究[J].實驗技術與管理,2009,26(9):74-76.

[3] 肖四友，張文祥.開放自主式遠程實驗室構建的關鍵技術[J].實驗室研究與探索,2008,27(8):54-57.

[4] 范作棟，戴青，張睿琳，等.基于流媒體技術的遠程教育平臺的設計與實現[J].微計算機信息,2006,22(1):132-135.

[5] 李成忠，張新有，賈真.計算機網絡應用與實驗教程[M].北京：電子工業出版社，2007.

[6] 梁云，孟偉.創新實驗教學,提高實驗教學水平[J].實驗技術與管理，2008，25(5)：25-27.

[7] 郭德紅.美國大學課程思想的歷史演進[M].北京：中央編譯出版社，2007.

[8] 溫武，郭四穩，李鵬，等.學科競賽與開放實驗室相結合的卓越網絡人才培養途徑研究[J].現代計算機，2014(36)：16-17.

[9] 李學鋒，陳丹.基于SSL的VPN關鍵技術的應用研究[J].襄樊學院學報，2008，29(2)：48-51.

[10] 呂俊霞，景文富.基于SSL的VPN技術原理與實現[J].濟南職業學院學報，2009(4)：112-115.

[11] 倪林.基于B/S架構的NEMS網絡實驗室應用[J].實驗室研究與探索，2011，30(4)：57-60.

[12] 王偉平，劉丹，王建新，等.基于事件觸發的虛擬實驗室架構設計[J].計算機工程與應用，2006(14)：97-101.

Access control mechanism and management of distance network experiment

Wen Wu, Guo Siwen, Li Peng, Chen Caiyun

(School of Computer Science & Educational Software, Guangzhou University, Guangzhou 510006, China)

According to the features of the network experimental teaching and the management of the network laboratory, a new idea is proposed: the application of SSL VPN technology and the lightweight Java EE open source framework technology in the distance open experiment platform results in the fine-grained visit control and management and the flexible learning space and time. The effects will be as follows: the students are no longer limited in the tangible laboratory, the education skills and teaching quality will be improved, and the ability of technical talents will be improved.

distance opening experimental platform; access control; equipment management; experimental teaching

2015- 02- 05 修改日期：2015- 04- 01

廣州市教育科學“十二五”規劃課題項目(12A010)；廣州大學教育教學研究立項項目(JY201426)

溫武(1977—)，男，廣東興寧，碩士，高級實驗師，實驗室副主任，從事網絡工程技術和電子信息技術應用研究、實驗教學.

E-mail：gzwenwu@163.com

G434；TP393

A

1002-4956(2015)9- 0137- 04