現(xiàn)狀與需求

需求

學校現(xiàn)有初高中各2個機房，每個機房50臺學生機。在某些教學環(huán)境中希望能由教師統(tǒng)一控制學生機的聯(lián)網(wǎng)狀態(tài)，并且是每個教室的老師控制自己的教室。由于初高中校區(qū)網(wǎng)絡結(jié)構類似，本文以高中部兩個機房的部署配置為例，初中部或者擁有更多機房的環(huán)境可以套用下文的解決方案。

現(xiàn)有機房教師機和學生機處于相同VLAN中且居于平等地位，期望借助教學平臺軟件控制學生機聯(lián)網(wǎng)狀態(tài)幾乎很難實現(xiàn)。方案只有在架構上使學生機聯(lián)網(wǎng)經(jīng)過特定網(wǎng)關設備，并且通過控制權限限制學生自主編輯學生機的網(wǎng)絡配置，才能使教師通過管理網(wǎng)關控制學生機的聯(lián)網(wǎng)狀態(tài)。

圖1 網(wǎng)絡拓撲圖

既然要求所有老師都能管理自己上課的教室，自然希望解決方案最小化教師的學習成本，提供簡單明了的界面和操作。進一步希望兩個機房老師在控制自己教室時互不干擾。另外筆者沒有專用設備充當網(wǎng)關硬件，只能借助虛擬機實現(xiàn)所需功能，這也提出了減少資源消耗的要求。

現(xiàn)有解決方案

筆者在初高中兩個校區(qū)最近一次機房改造中采用了學生機房通過自主獨立網(wǎng)關聯(lián)網(wǎng)的方案，這樣筆者在機房和學校開放網(wǎng)絡（Internet）之間擁有了對學生計算機聯(lián)網(wǎng)的控制權。嚴格來講，控制粒度可以達到單個IP?，F(xiàn)實中往往只需控制不同教室的聯(lián)網(wǎng)狀態(tài)即可，網(wǎng)絡拓撲圖如圖1。

這種網(wǎng)絡架構理想的網(wǎng)關設備應該是硬件網(wǎng)關或防火墻，這種硬件本質(zhì)上是運行相關控制系統(tǒng)的專用計算機。鑒于當時無力購置這樣的設備，只能退而使用普通X86計算機充當網(wǎng)關設備。此外，網(wǎng)關在網(wǎng)絡中的特殊性又要求相對的硬件穩(wěn)定性，PC服務器當然是首選，但迫于硬件資源不足最終只能采用服務器虛擬架構中的虛擬機來實現(xiàn)。

軟件方面在當時的歷史條件下，綜合考慮資源消耗等因素我們選擇在已有的虛擬化平臺Vmware Vsphere中配置一臺低配置Windows XP主機，運行Sygate網(wǎng)關軟件進行路由控制。教師上課時通過Windows遠程桌面登錄Windows XP, 通過修改Sygate的運行狀態(tài)控制自己教室的聯(lián)網(wǎng)狀態(tài)。

現(xiàn)有方案的不足

1.Windows XP平臺已不受微軟支持，安全威脅日漸提升。在過去幾年的使用中平均一個月左右就需要因系統(tǒng)不響應而重啟虛擬機網(wǎng)關。這會造成教學使用的網(wǎng)絡環(huán)境不穩(wěn)定。

2.Sygate軟 件 是Windows 2000時代的軟件產(chǎn)品，早已停止更新維護。不過公允地說該軟件還是編寫很出色的，穩(wěn)定性和效能完全可以滿足使用規(guī)模。（帶機量100）

3.Windows XP的遠程桌面不允許多用戶同時登錄，因此教師之間需要協(xié)調(diào)控制時機和條件。

4.Sygate的黑白名單功能被用來單獨控制兩間機房，例如將1機房的50個IP同時加入黑白名單，啟用黑名單則1機房斷網(wǎng)2機房通，啟用白名單則2機房斷網(wǎng)1機房通，不啟用黑白名單是全通，停止Sygate服務是全斷。這種設置剛好滿足我們2個機房分別控制的需求，但無法應對可能的發(fā)展，例如增加到3個機房。

5.虛擬化架構會影響效能，而且由于路由復雜性增加帶來了網(wǎng)絡不穩(wěn)定的隱患。

可選改進方案

硬件網(wǎng)關

硬件網(wǎng)關本質(zhì)上就是固化了前述功能的計算機（路由器），優(yōu)勢當然是效率高，可惜不花錢得不到。根據(jù)應用規(guī)模，目前市場上可選硬件價格在(數(shù))千元價位：

樂光 LG-WA200N

華為（HUAWEI）AR151-S2

華 三（H3C）MSR930-WiNet

飛魚星VE1220G

開源網(wǎng)關軟件系統(tǒng)

網(wǎng)絡拓撲上沿用現(xiàn)有的Sygate方案，使用開源系統(tǒng)替換Windows+Sygate。

通常開源的網(wǎng)關系統(tǒng)底層采用Linux或開源BSD,在安全性和穩(wěn)定性上遠超Windows系統(tǒng)。

另外，專用的網(wǎng)關系統(tǒng)會簡化其他功能已達到更好的效率。

常見的開源網(wǎng)關系統(tǒng)包括以下幾種：

NG Firewall Free行為管理安全網(wǎng)關

（https://www.untangle.com/shop/NGFirewall-Free/）

Artica Proxy代理網(wǎng)關

（http://www.proxyappliance.org/）

Halon securityrouter基于OpenBSD的安全網(wǎng)關

pfSense基于FreeBSD的開源防火墻

（https://www.pfsense.org/）

m0n0wall基于FreeBSD的開源防火墻（項目已終止）

（http://m0n0.ch/wall/index.php）

方案選擇及實施

最終此次網(wǎng)關更換方案選擇了Halon securityrouter，主要基于以下考慮：

1.提供免費方案且免費方案滿足我們的需求。

2.良好的虛擬化支持：進駐Vmware官方Appliance市場，并提供OVA格式可直接部署于現(xiàn)有VSphere環(huán)境。

3.功能比較單一，效率相對較高，實測效能可接受。

4.硬件資源消耗低（單核 +256MB RAM+500MB HD）。

5.快速進行部署，Web管理。

6.特色功能（實時圖表，高可定制防火墻規(guī)則，熱恢復/熱回滾/熱測試/熱配置，支持HA集群等）。

7.基于地址表的狀態(tài)防火墻，可滿足日后擴充機房的需求，如圖3所示。

下面詳述部署過程：

1.下載虛擬機鏡像OVA文 件 ：http://dl2.halon.se/vsr/選 擇“OVF/VMDK format,for VMware vSphere”。

圖2 設置網(wǎng)絡信息

圖3 IP列表

圖4 新增兩條Rules

圖5 網(wǎng)絡拓撲圖

2.向VSphere部署，部署后不需修改虛擬機配置，啟動虛擬機。

3.缺省配置為單網(wǎng)卡會自動通過DHCP獲取IP地址，并在啟動過程中顯著提示。只需瀏覽器用https協(xié)議訪問該IP即可。初始用戶admin，密碼 admin。

4.初次登錄后在右上角修改admin密碼。在菜單System>Users為多位教師創(chuàng)建賬戶。

5.菜單Network>Basic Setup設置WAN(Internet)的IP地址等網(wǎng)絡信息。設置完成后保存、應用和關機，如圖2所示。

6.為虛擬機添加第二網(wǎng)卡（LAN），啟動虛擬機。通過上一步修改的新IP登入。菜單Network>Basic Setup設置LAN信息并保存。

7.菜單 Network>Firewa ll界面，底部添加兩個table,分別包含兩個機房的IP列表，如圖3所示。（可以借助Excel批量生成）

8.在Firewall頁面新增兩條Rules：用于獨立切斷兩機房的網(wǎng)絡，如圖4所示。

再點擊Action列箭頭，通過Enabled復選框控制規(guī)則啟用與否，如圖5所示。

9.每次修改配置后點擊Save按鈕保存修改，再點擊菜單Configuration>Deploy Working Copy頁面工具條的Deploy（commit）按鈕使其生效。

10. 菜單System>Graphs可以隨時查看網(wǎng)關的負載和流量統(tǒng)計圖表。