部署網(wǎng)關(guān)解決方案

現(xiàn)狀與需求

需求

學(xué)校現(xiàn)有初高中各2個(gè)機(jī)房，每個(gè)機(jī)房50臺(tái)學(xué)生機(jī)。在某些教學(xué)環(huán)境中希望能由教師統(tǒng)一控制學(xué)生機(jī)的聯(lián)網(wǎng)狀態(tài)，并且是每個(gè)教室的老師控制自己的教室。由于初高中校區(qū)網(wǎng)絡(luò)結(jié)構(gòu)類似，本文以高中部兩個(gè)機(jī)房的部署配置為例，初中部或者擁有更多機(jī)房的環(huán)境可以套用下文的解決方案。

現(xiàn)有機(jī)房教師機(jī)和學(xué)生機(jī)處于相同VLAN中且居于平等地位，期望借助教學(xué)平臺(tái)軟件控制學(xué)生機(jī)聯(lián)網(wǎng)狀態(tài)幾乎很難實(shí)現(xiàn)。方案只有在架構(gòu)上使學(xué)生機(jī)聯(lián)網(wǎng)經(jīng)過特定網(wǎng)關(guān)設(shè)備，并且通過控制權(quán)限限制學(xué)生自主編輯學(xué)生機(jī)的網(wǎng)絡(luò)配置，才能使教師通過管理網(wǎng)關(guān)控制學(xué)生機(jī)的聯(lián)網(wǎng)狀態(tài)。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

既然要求所有老師都能管理自己上課的教室，自然希望解決方案最小化教師的學(xué)習(xí)成本，提供簡單明了的界面和操作。進(jìn)一步希望兩個(gè)機(jī)房老師在控制自己教室時(shí)互不干擾。另外筆者沒有專用設(shè)備充當(dāng)網(wǎng)關(guān)硬件，只能借助虛擬機(jī)實(shí)現(xiàn)所需功能，這也提出了減少資源消耗的要求。

現(xiàn)有解決方案

筆者在初高中兩個(gè)校區(qū)最近一次機(jī)房改造中采用了學(xué)生機(jī)房通過自主獨(dú)立網(wǎng)關(guān)聯(lián)網(wǎng)的方案，這樣筆者在機(jī)房和學(xué)校開放網(wǎng)絡(luò)（Internet）之間擁有了對學(xué)生計(jì)算機(jī)聯(lián)網(wǎng)的控制權(quán)。嚴(yán)格來講，控制粒度可以達(dá)到單個(gè)IP。現(xiàn)實(shí)中往往只需控制不同教室的聯(lián)網(wǎng)狀態(tài)即可，網(wǎng)絡(luò)拓?fù)鋱D如圖1。

這種網(wǎng)絡(luò)架構(gòu)理想的網(wǎng)關(guān)設(shè)備應(yīng)該是硬件網(wǎng)關(guān)或防火墻，這種硬件本質(zhì)上是運(yùn)行相關(guān)控制系統(tǒng)的專用計(jì)算機(jī)。鑒于當(dāng)時(shí)無力購置這樣的設(shè)備，只能退而使用普通X86計(jì)算機(jī)充當(dāng)網(wǎng)關(guān)設(shè)備。此外，網(wǎng)關(guān)在網(wǎng)絡(luò)中的特殊性又要求相對的硬件穩(wěn)定性，PC服務(wù)器當(dāng)然是首選，但迫于硬件資源不足最終只能采用服務(wù)器虛擬架構(gòu)中的虛擬機(jī)來實(shí)現(xiàn)。

軟件方面在當(dāng)時(shí)的歷史條件下，綜合考慮資源消耗等因素我們選擇在已有的虛擬化平臺(tái)Vmware Vsphere中配置一臺(tái)低配置Windows XP主機(jī)，運(yùn)行Sygate網(wǎng)關(guān)軟件進(jìn)行路由控制。教師上課時(shí)通過Windows遠(yuǎn)程桌面登錄Windows XP, 通過修改Sygate的運(yùn)行狀態(tài)控制自己教室的聯(lián)網(wǎng)狀態(tài)。

現(xiàn)有方案的不足

1.Windows XP平臺(tái)已不受微軟支持，安全威脅日漸提升。在過去幾年的使用中平均一個(gè)月左右就需要因系統(tǒng)不響應(yīng)而重啟虛擬機(jī)網(wǎng)關(guān)。這會(huì)造成教學(xué)使用的網(wǎng)絡(luò)環(huán)境不穩(wěn)定。

2.Sygate軟 件 是Windows 2000時(shí)代的軟件產(chǎn)品，早已停止更新維護(hù)。不過公允地說該軟件還是編寫很出色的，穩(wěn)定性和效能完全可以滿足使用規(guī)模。（帶機(jī)量100）

3.Windows XP的遠(yuǎn)程桌面不允許多用戶同時(shí)登錄，因此教師之間需要協(xié)調(diào)控制時(shí)機(jī)和條件。

4.Sygate的黑白名單功能被用來單獨(dú)控制兩間機(jī)房，例如將1機(jī)房的50個(gè)IP同時(shí)加入黑白名單，啟用黑名單則1機(jī)房斷網(wǎng)2機(jī)房通，啟用白名單則2機(jī)房斷網(wǎng)1機(jī)房通，不啟用黑白名單是全通，停止Sygate服務(wù)是全斷。這種設(shè)置剛好滿足我們2個(gè)機(jī)房分別控制的需求，但無法應(yīng)對可能的發(fā)展，例如增加到3個(gè)機(jī)房。

5.虛擬化架構(gòu)會(huì)影響效能，而且由于路由復(fù)雜性增加帶來了網(wǎng)絡(luò)不穩(wěn)定的隱患。

可選改進(jìn)方案

硬件網(wǎng)關(guān)

硬件網(wǎng)關(guān)本質(zhì)上就是固化了前述功能的計(jì)算機(jī)（路由器），優(yōu)勢當(dāng)然是效率高，可惜不花錢得不到。根據(jù)應(yīng)用規(guī)模，目前市場上可選硬件價(jià)格在(數(shù))千元價(jià)位：

樂光 LG-WA200N

華為（HUAWEI）AR151-S2

華 三（H3C）MSR930-WiNet

飛魚星VE1220G

開源網(wǎng)關(guān)軟件系統(tǒng)

網(wǎng)絡(luò)拓?fù)渖涎赜矛F(xiàn)有的Sygate方案，使用開源系統(tǒng)替換Windows+Sygate。

通常開源的網(wǎng)關(guān)系統(tǒng)底層采用Linux或開源BSD,在安全性和穩(wěn)定性上遠(yuǎn)超Windows系統(tǒng)。

另外，專用的網(wǎng)關(guān)系統(tǒng)會(huì)簡化其他功能已達(dá)到更好的效率。

常見的開源網(wǎng)關(guān)系統(tǒng)包括以下幾種：

NG Firewall Free行為管理安全網(wǎng)關(guān)

（https://www.untangle.com/shop/NGFirewall-Free/）

Artica Proxy代理網(wǎng)關(guān)

（http://www.proxyappliance.org/）

Halon securityrouter基于OpenBSD的安全網(wǎng)關(guān)

pfSense基于FreeBSD的開源防火墻

（https://www.pfsense.org/）

m0n0wall基于FreeBSD的開源防火墻（項(xiàng)目已終止）

（http://m0n0.ch/wall/index.php）

方案選擇及實(shí)施

最終此次網(wǎng)關(guān)更換方案選擇了Halon securityrouter，主要基于以下考慮：

1.提供免費(fèi)方案且免費(fèi)方案滿足我們的需求。

2.良好的虛擬化支持：進(jìn)駐Vmware官方Appliance市場，并提供OVA格式可直接部署于現(xiàn)有VSphere環(huán)境。

3.功能比較單一，效率相對較高，實(shí)測效能可接受。

4.硬件資源消耗低（單核 +256MB RAM+500MB HD）。

5.快速進(jìn)行部署，Web管理。

6.特色功能（實(shí)時(shí)圖表，高可定制防火墻規(guī)則，熱恢復(fù)/熱回滾/熱測試/熱配置，支持HA集群等）。

7.基于地址表的狀態(tài)防火墻，可滿足日后擴(kuò)充機(jī)房的需求，如圖3所示。

下面詳述部署過程：

1.下載虛擬機(jī)鏡像OVA文 件 ：http://dl2.halon.se/vsr/選 擇“OVF/VMDK format,for VMware vSphere”。

圖2 設(shè)置網(wǎng)絡(luò)信息

圖3 IP列表

圖4 新增兩條Rules

圖5 網(wǎng)絡(luò)拓?fù)鋱D

2.向VSphere部署，部署后不需修改虛擬機(jī)配置，啟動(dòng)虛擬機(jī)。

3.缺省配置為單網(wǎng)卡會(huì)自動(dòng)通過DHCP獲取IP地址，并在啟動(dòng)過程中顯著提示。只需瀏覽器用https協(xié)議訪問該IP即可。初始用戶admin，密碼 admin。

4.初次登錄后在右上角修改admin密碼。在菜單System>Users為多位教師創(chuàng)建賬戶。

5.菜單Network>Basic Setup設(shè)置WAN(Internet)的IP地址等網(wǎng)絡(luò)信息。設(shè)置完成后保存、應(yīng)用和關(guān)機(jī)，如圖2所示。

6.為虛擬機(jī)添加第二網(wǎng)卡（LAN），啟動(dòng)虛擬機(jī)。通過上一步修改的新IP登入。菜單Network>Basic Setup設(shè)置LAN信息并保存。

7.菜單 Network>Firewa ll界面，底部添加兩個(gè)table,分別包含兩個(gè)機(jī)房的IP列表，如圖3所示。（可以借助Excel批量生成）

8.在Firewall頁面新增兩條Rules：用于獨(dú)立切斷兩機(jī)房的網(wǎng)絡(luò)，如圖4所示。

再點(diǎn)擊Action列箭頭，通過Enabled復(fù)選框控制規(guī)則啟用與否，如圖5所示。

9.每次修改配置后點(diǎn)擊Save按鈕保存修改，再點(diǎn)擊菜單Configuration>Deploy Working Copy頁面工具條的Deploy（commit）按鈕使其生效。

10. 菜單System>Graphs可以隨時(shí)查看網(wǎng)關(guān)的負(fù)載和流量統(tǒng)計(jì)圖表。