一種有效的主動式校園網絡管理方案

林靖

（寧德師范學院現代教育技術中心，福建寧德352100）

一種有效的主動式校園網絡管理方案

林靖

（寧德師范學院現代教育技術中心，福建寧德352100）

校園網絡中常因用戶使用不當導致網絡反應過慢，使得正常的教學活動及校園管理受到干攏。因此，建立一個有效的校園網絡管理方案來實現既可方便用戶申請使用網絡、教師可以自行控制管理學生上網范圍，又可以有效的管控網絡帶寬的使用，就顯得重要。以校園網絡為研究對象，提出一種校園網絡管理方案，即優化IP申請，優化流量管理，實現在管理人員緊缺的情況下，達到既能方便用戶使用，又可以使網絡得到有效管理。

網絡管理；上網范圍；流量控制；連線管理

當今的時代是一個信息的時代，更是一個網絡化的時代，越來越多的民生服務都開始往網絡發展。由于許多影片、音樂、教學等信息通過網絡來傳送，因此連帶的網絡管理工作也日漸復雜起來。早期的校園網絡是以對內為主，對外的部分主要是提供老師和學生們可以查詢學術資料及瀏覽一些的網頁為主。當時校內網絡上所傳送的資料大多為并不大的文檔文件，是以校內自建電子郵件服務器為主，主要的功能僅是校內工作人員之間傳達信息。此時的校內網絡服務對網絡帶寬的需求不大，僅需要以太網10 Mbps，并以T1專線對外連至網絡中心即可滿足使用需求。然而隨著信息科技的進步，網絡的應用也隨著快速發展，同時各種多樣的網絡服務紛紛面世，譬如：電子商務、視頻會議、遠程教學以及各項P2P等。網絡上的資料也開始出現圖片、影像等大容量的資料，這些資料的流通，需要更大的網絡帶寬。網絡的實體建設的內部局域網已由早期的10 Mb升級至100 Mb，現在更是開始向Gigabit等高速網絡邁進。

1 校園網絡管理的現狀

在現代的校園中，對各項信息系統有著很大的依賴。遠程教學平臺的出現使得學習不再局限于教室內，只要有網絡的地方就可以學習。現代化的網絡管理不僅要保持網絡的暢通與穩定，還要讓網絡使用者擁有更好的網絡品質與服務。但再好的硬件設備、再快的帶寬如果沒有有效的管理是不足以讓使用者感受到更好的網絡品質與服務。目前國內外網絡公司均有推出一些網絡管理軟件,對于網絡運行的有效管理起到了重要作用。此類軟件具有通用性,對于中小企業和一般規模的校園網,雖然也能適用,但通用軟件的許多功能不一定能用到,且對于網絡設備和人員要求較高,造成資源浪費，現在的校園網都通常通過網絡設備的自身功能，通過人工操作來實現管理，對于中小型網絡，由于管理人員不足,讓他們感受到很大的壓力。目前許多學校由兩個或更多的校區組成，網絡管理壓力很大，因此很需要一種針對性較強的網管方案。以寧德師范學院校園網為例，從三個方面分析校園網絡管理的現狀。

1.1 IP申請

早期許多學校為了解決IP經常被盜用的問題，在設備上設定每個IP和MAC地址靜態對應。單位為了管制一個新的學生或新進的教職員工，要申請連網需填寫紙質的IP申請表，填寫后需經相關部門審批，最后遞交給網絡中心，由網管人員在設備上進行設定。目前許多學校由兩個或更多的校區組成，這樣的一個流程的循環，申請人有時會因為申請表審批問題需要在多個校區之間奔波，花費大量的時間。

1.2 流量管理

學校建立校園網絡目的是為了教學與科研，但因為有很多軟件、音樂及影片可以通過網絡下載，這常導致學校需花費大量的經費來提升網絡設備及帶寬，所以幾乎每一所學校都會執行流量管理來維護一定的網絡連線的品質。在原來的管理流程中，需由網絡管理者自行上線查看網絡流量有哪些人超量，再手動在設備上建立ACL（存取控制清單）來拒絕連線，最后到網頁上公告該IP超量被停權。但如果發生管理人員忘記上網公告，就會導致使用者以為網絡故障而報修，徒增維修工作量。

1.3 連線管理

目前的教學環境越來越多地使用電腦與網絡，但老師在上課時經常面臨學生在上課時間連至與教學無關的網站，如游戲、網上聊天等。老師常用的辦法是切斷對外網絡連接。這樣的辦法又會導致另一個問題的發生，如果老師需要讓學生連至學校建設的數字學習平臺，就會發生無法連線的情況。以往解決這樣的問題都是通過網絡管理人在防火墻上設定，不讓學生連至校外的網絡。然而教室的使用目的隨時都會變動，要依賴變更防火墻設置的方式來防止學生的不當連線顯然不太合適。

2 校園網絡管理的優化策略

2.1 在IP申請方面的優化

IP管理的部分，以網上申請、網上核準、DHCP服務器以及在網絡設備上以開關ARP的學習機制并搭配DHCP SNOOPING的機制[1]，省略了人員遞交紙質申請表的過程，也可避免因為人工將網絡帳號輸入網絡設備時發生的錯誤，但仍能保持原有IP、MAC綁定的優點，且又可以不用自行設定網絡組態，以避免人工設定出錯而發生的假故障。其流程如圖1。

圖1 上網申請及網絡設定流程Table 1 Online account application and network setting process

由于要將原先學校在core上以靜態ARP的方式來防止學生亂設定IP的方式改成core的ARP以學習自DHCP發送的紀錄的方式，因此需要在core上變更設定，使其可以開關學習的機制，改用DHCP的模式。由于改用ARP學習自DHCP服務器，因此需要修改設備的設定值，其步驟如下：

1.將動態學習ARP的機制關閉

指令為disable ip-secure arp learning learn-fromarp vlan[vlan_name]

2.設定DHCP服務的IP

指令為configure ip-security dhcp-bindings add“DHCP-IP”vlan“vlan_name”

3.設定ARP學習自DHCP服務器

指令為enable ip-security arp learning learnfrom-dhcp vlan“vlan_name”

ports“port_number”

4.因為vlan會隔離廣播封包，所以需要再設定dhcp relay,以使DHCP的封包可以跨網段運行

指令為configure bootrelay add“DHCP_SERVER_IP”

enable bootrelay

注解：如有多個DHCP服務器則所有的DHCP SERVER都要加入。

5.阻止非法的DHCP SERVER，避免其它具有DHCP功能的設備干擾網絡運行

指令為enable ip-security dhcp-snooping vlan“vlan_name”port“port_number”violation-action drop-packet block-mac duration 300

注解：violation-action選項是為避免私設DHCP時的封包處置行為。

6.DHCP服務器有一個重要的設定值就是拒絕未申請過的網卡上線

指令為在DHCP服務的dhcpd.conf中多加一個參數：deny unknown-clients

注解：本參數可拒絕未在服務器中設定的網卡。

在本系統中是以session的方式管理權限，雖然cookie也可以管理，但現在很多人都限制cookie的使用，所以仍采用session的方式管理。網絡安全管理員、老師和機房管理員需先擁有帳號，以使本系統可以判別是哪個LEVEL的使用者，分別提供不同的功能，流程如下：

1.網絡安全管理員在新的網管型交換機布建后即需在系統上進行設備設置

（1）網絡安全管理員建立帳號的流程，登入系統取得權限，進入系統管理菜單下的“帳號管理”進行新增帳號。

（2）網絡安全管理員新增有網管的網絡設備流程，進入系統管理菜單下的“設備管理”進行新增設備。

2.如有一個新的網段設定時，建立網段的主要流程

進入IP管理菜單下的“可用IP管理”，如要新增一整個網段則選擇“新增網段IP”，如要新增一個單獨的IP則“新增單獨IP”。

3.新的電腦機房成立時，由網絡安全管理員在系統中建立該機房的信息，讓老師可以用本系統管理學生的上網行為的主要流程

進入系統管理菜單下的“教室管理”，選擇“新增教室”。該設置的重點在于定義電腦機房對外的網絡線接在哪臺網管交換機的哪一個PORT，以及教師機的IP為哪個。

4.新進人員申請IP的操作流程

由網絡安全管理人員登入系統，在IP管理菜單下選擇“IP申請”，在該頁面上選擇“新增IP申請”填寫申請表。

5.IP配發

（1）首先在登入時會檢查其權限，如為網絡安全管理人員的帳號登入才能看到本選項。

（2）在IP管理菜單下選擇“IP配發”。如需退回該項申請時，可直接在頁面上選擇“退回”，退回時備注退回的原因，讓申請單位得知為何被退回。如同意申請則選擇“核準”，并配予IP的相關信息。當網絡安全管理人員完成核準后，系統將該筆記錄存至資料庫，并連線至DHCP服務器將該筆記錄寫入設定檔中。

2.2 流量管理方面的優化

在流量管理部分，采用自動統計、自動下達拒絕連線的參數到core的方式，無需網絡安全管理員介入操作，且用戶超量后上網，網管交換機會自動將其跳轉至一個警告頁面告知其已流量超量停權中[2],如圖2。

圖2 流量管理流程Table 2 Internet trafficmanagement process

2.3 在連線管理方面的優化

為了方便管理，在本系統中將管理的范圍規定在各建筑物的網管交換機，各網管交換機上預設所有PORT均不管制連線范圍，首先由管理者在教室連網管理系統中定義每間教室是連線至哪一個網管交換機上的哪一個PORT，上課時再由老師自行決定是否管制學生上網范圍。在網頁上設定要管制的狀況，再由連線管理系統將該政策設定至各建筑物的網管交換機上，[3]設定指令如下：

1.建立一個教室可連至校內網絡，其余的連線均拒絕

在老師選擇該政策時，教室內除了老師的電腦不受管制外，其余電腦均無法連至校外網絡。

指令為create access-list class-teacher“protocol tcp;source-address教師機IP/32”“permit”

允許如果封包的來源是教師機的IP則全部允許。

create access-list class-ok“protocol tcp;destination-address 192.138.0.0/16”“permit”

允許如果封包要到的目的地IP為校內IP（校內IP全部采用私有IP）則允許。

create access-list class-deny“protocol tcp;destination-address 0.0.0.0/0”“deny”

所有的對外連線均拒絕。

config access-list add class-deny first ports教室連線的PORT將class-deny這條ACL套用到該教室所連線的PORT上。

config access-list add class-ok first ports教室連線的PORT將class-ok這條ACL套用到該教室所連線的PORT上。

config access-list add class-teacher first ports教室連線的PORT將class-teacher這條ACL套用到該教室所連線的PORT上。

因為在組態ACL時都是以“first”的參數加入，所以在ACL清單上其先后順就是clsaa-teacher-＞classok-＞class-deny。

通過本系統中已設定的教室管理中所建立的教室是連接至哪個交換機的一個PORT，將上述命令以PHP通過telnet連線至該教室連接的網管交換機上后，套用此存取控制清單。本存取清單有三條政策，按輸入的順序，第一條為chass-teacher，為允許教師機可以連線，所以教師機不會受到限制；第2條為classok，為允許可以連線到192.168.0.0/16（校內網段），所以可以連線至校內的任一網絡；第3條為class-deny，為禁止所有的連線。

2.建立一個教室可連至任一網絡的連線

當老師選擇該政策時，教室內所有電腦均可以連至所有網絡。

指令為create access-list class-teacher“protocol tcp;source-address教師機IP/32”“permit”

允許如果封包的來源的教師機的IP則全部允許。

create access-list class-ok“protocol tcp；destination-address 0.0.0.0/0”“permit”

允許無論封包的目的地IP為哪個均全部允許。

config access-list add class-ok first ports教室連線的PORT將class-ok這條ACL套用到該教室所連線的PORT上

config access-list add class-teacher first ports教室連線的PORT將class-teacher這條ACL套用到該教室所連線的PORT上。

3.建立一個教室內所有電腦均不能連至任一網絡的連線

當老師選擇該政策時，除了教師機外，教室內所有電腦均不能連至所有網絡。

指令為create access-list class-teacher“protocol tcp;source-address教師機IP/32”“permit”

允許如果封包的來源是教師機的IP則全部允許。

Create access-list class-deny“protocol tcp destination-address 0.0.0.0/0”“deny”

拒絕所有的對外連線。

Config access-list add class-deny first ports教室連線的PORT將class-deny這條ACL套用到該教室所連線的PORT上。

Config access-list add class-teacher first ports教室連線的PORT將class-teacher這條ACL套用到該教室所連線的PORT上。

4.通過本系統中已設定的教室管理中所建立的教室是連接至哪個交換機的PORT,將上述命令以PHP通過telnet連線至該教室連接的網管交換機上后，套用此存取控制清單。

5.存取控制清單（ACL-access control list）的作用方式

與防火墻的方式類似，其比對的方式為是從上往下比對，比對到符合條件即套用該政策后離開，在本系統中第一條class-teacher政策是為了讓教師機可以上網，因為老師在上課的教程中有可能會有使用網絡的需求。第二條class-ok政策是為了管控電腦教室的上網范圍。第三條class-deny政策是為了拒絕所有的連線，采用本模式的優點在于可使ACL清單在建立時較為單純，如果要改變管控的連線范圍，則只要改變class-ok這條ACL即可，可簡化日后程序的變更[4-5]。圖3為教室管理系統的流程圖。

圖3 教室連網管理流程Table 3 Classroom networkingmanagement process

3 結語

在使用本方案之后，網絡IP申請流程已無紙質文本傳遞的人力與時間差的問題，減少網管人員人工設定網絡設備的次數，避免因失誤造成設備故障，大大提高了辦事效率。網絡流量管理采用系統自動收整資料、自動產生命令至網絡設備、主動將超量的用戶引導至另一個網頁作停權通知，避免因用戶誤以為網絡發生故障而報修的情況。在電腦教室里任課教師可自行控制教室的上網行為，杜絕了學生在上課時間連至與教學無關的網頁，保證了教學質量，得到了任課老師和網絡管理人員的認可。

[1]李曉賓,李淑珍.一種基于SNMP的WEB網絡管理系統的設計與實現[J].微計算機信息,2010(6):150-151,154.

[2]馮興杰,潘文欣,盧楠.基于小波包的RBF神經網絡網絡流量混沌預測[J].計算機工程與設計,2012（5）:1681-1686.

[3]林靖.跨層網絡管理系統PCNMS的架構與方法[J].寧德師范學院學報,2015（4）:363-368.

[4]翟永,王穎.企業網絡管理系統構建方法研究[J].計算機工程與設計,2012（5）:1827-1831.

[5]林靖.P2P網絡管理策略[J].龍巖學院學報,2016（5）:52-57.

（責任編輯：葉麗娜）

An Effective M anagement Scheme of Active Cam pus Network M anagement Scheme

LIN Jing
(Department of Modern Educational Technology Center,Ningde Normal University,Ningde,Fujian 352100)

The internet in campus has frequently been slow to trouble the normal teaching activities and themanagement of the campus due to the improper network use.Therefore,it is very important to establish an effective management scheme of campus network achieving convenient network for users to apply in campus,teachers also can control the Internet and limit the usage of the students and campus internet office can use to control the network bandwidth effectively.This paper proposes a kind of campus network management plan to tackle the problem of the personnel shortage,such as optimizing the IP application and trafficmanagement.It can not only be convenient for users but also canmake the network.

networkmanagement;internetaccess;flow control;connectionmanagement

TN915.07

：A

：1674－2109(2017)06－0058－05

2017-03-06

林靖（1982-），女，漢族，工程師，主要從事網絡管理的研究。