中职校园网络上网控制与管理

摘 要 本文以新乡市职业教育中心校园网为例，使用神州数码网络设备，介绍了中等职业学校校园网的基本服务需求，通过网络技术手段实现学生机房上网控制与办公用计算机的上网控制与管理。

关键词 校园网；控制上网；ACL；校园网管理

中图分类号：TP393 文献标识码：A 文章编号：1671—7597（2013）031-109-02

随着信息化办公服务需求的不断增长，现代教育技术在教学中的广泛应用，以及个性化网络学习的逐步深入，校园网在教育教学及办公应用中的作用日益增强，对校园网进行合理规划和管理就显得非常重要。终端用户快速增加，但是校园网出口带宽增长缓慢，只有进行科学的规划与管理，才能保障正常的教学与办公。本文以新乡市职业教育中心校园网为例，探讨中职校园网的上网控制与管理。

1 需求分析

中职学校校园网提供的服务与应用需求比高校和大型企业简单许多，且不同中职学校校园网服务也较相似。对于这些相似的需求，如Internet接入、Web服务、网络化办公等，在此不做分析赘述，本文主要针对以下两项需求进行分析。

图1 典型中职校园网拓扑图

1.1 学生机房的上网控制

由于中职学生学习态度与自控能力都较差，所以需要对各个学生机房进行上网控制，避免学生在上课时间上网影响正常教学。虽然可以通过访问控制列表ACL基于时间段和IP地址进行控制，但是有时会需要临时进行调整，接通或断开Internet连接。

1.2 办公用计算机的上网控制

由于有个别老师在上班时间炒股、玩游戏或是看网络视频，甚至是使用P2P软件进行下载，大大消耗了网络带宽，以至于影响了学校的正常办公。所以既要保证各个部门都有能够正常连入Internet的计算机，还要对某些办公用计算机进行上网的限制，同时还要保障这些不能上网的计算机能够正常使用校园网络办公系统，正常访问学校网站。

2 上网控制与管理

为了便于管理，同时尽可能减少广播风暴发生的几率，基于交换机端口进行Vlan划分。对于学生机房，每一个机房对应一个交换机端口，通过交换机控制，实现学生机房的上网管理。对于办公用计算机，根据所处办公地点进行Vlan划分，同时做好每一台办公用机的信息登记，以便于管理与维护。

2.1 学生机房管理

我校计算机实训楼共有学生实训机房12个，实训楼中心机房1间，教师办公室多间。

图2 实训楼网络拓扑图

每个学生机房的计算机使用静态IP地址，由机房管理员设定，并通过硬盘保护卡和注册表设置保证学生不能随意修改计算机的IP地址。对所有学生机房进行了Vlan划分，每个学生机房一个Vlan，占用实训楼汇聚交换机的1个端口。为方便管理，将机房编号与Vlan ID及汇聚交换机端口号对应，例如：3号机房划分为Vlan3，连接在汇聚交换机的第三个端口（Interface Ethernet0/3）。并且将机房的主要实训项目命名在所属Vlan及所在端口，以3号机房为例，主要实训内容为视频制作：

switch（Config）#vlan 3（设置Vlan3）

switch（Config-Vlan3）# switchport interface ethernet 0/3（将以太网端口3加入Vlan3）

switch（Config-Vlan3）# name video（将Vlan3命名为Video）

switch（Config-Vlan3）#interface ethernet 0/3（进入端口3设置模式）

switch （Config-Ethernet0/0/3）#name video（将端口3命名为Video）

然后起用Web管理页面，以方便机房管理员对各个机房进行控制：

switch（Config）ip http server（起用Web管理）

switch（Config）web-user AAA password 0 BBB（设置Web管理用户AAA，密码为BBB）

这样机房管理员只需要在浏览器地址栏中输入交换机管理IP，就可以使用Web方式对交换机进行管理，通过打开和关闭端口就可以轻松实现各个机房的上网控制。这样不仅仅是机房管理员减轻了工作，也避免了因为频繁插拔网线而引起的端口或跳线损坏。

同时将所有教师办公室划分为一个Vlan，方便教师工作交流，也便于管理。将实训楼中心机房单独划分为一个Vlan。

2.2 办公用计算机管理

首先，统计各部门所有办公场所的所有计算机信息，制作校园网计算机信息统计表，包括部门、办公场地、品牌型号、使用人员、MAC地址和IP地址等，以方便管理。表格信息由校园网管理员采集并填写。然后根据办公地点和部门，合理规划，进行Vlan的划分。根据计算机所处Vlan，分配IP地址。通过DHCP的设置，使办公计算机的MAC地址和IP地址一一对应，这样对地址管理就比较精确，不管是流量控制还是故障隔离都比较方便。

对照学校对办公用计算机的管理要求，有些计算机要能够使用所有服务，有些计算机既要保障能够正常使用校园网络办公系统，能够正常访问学校网站，但是不能访问外网。

为满足要求，设计了以下方案。

首先考虑在核心交换机上设置访问控制列表ACL，通过ACL设置来实现管理目标。

方案A：

将需要控制上网的计算机地址做在access-list里，交换机通过模式设置为permit，即允许通过。将规则应用在交换机的连接防火墙的端口上。

switch（Config）#ip access-list 10 deny 192.168.20.5 0.0.0.255（设置access-list 10，禁止IP地址192.168.20.5通过交换机端口，0.0.0.255为反掩码）

switch（Config）#firewall enable（开启交换机上的ACL功能）

switch（Config）#firewall permit（设置默认动作为允许通过）

switch（Config）#interface Ethernet 0/1（进入端口配置模式，Ethernet 0/1为核心交换机连接防火墙的端口）

switch（Config-Ethernet0/1）#ip access-group 10 out（绑定ACL access-group 10到此端口的出口方向）

起用ACL以后，允许访问外网的计算机可以正常上网，但是对于这些需要限制上网的计算机就能够禁止上网，并且由于网络办公系统的服务器和Web服务器都在校园网内部，也就保证了网络办公应用和学校网站的访问。

但是随着笔记本电脑的大量普及，以及手持式数据终端如智能手机等的广泛使用，校园网内的终端已经不仅仅是办公用台式计算机。对于这些需要临时接入校园网的设备，未经学校同意不能访问外网，以尽可能减少流量消耗，但是还需要能够使用这些设备完成在网络办公系统上的应用。如果按照方案A，就需要频繁修改access-list，工作成本较高。

方案B：

将能够自由访问外网的计算机地址做在access-list里，交换机通过模式设置为deny，即不允许通过。将规则应用在交换机的连接防火墙的端口上（操作命令与方案A相似，不再赘述）。设置完成以后，也可以起到相同的作用。

但是，校园内部除12个学生机房需要在不同时段上网以外，各部门办公用计算机需要上网的还有60台左右，这么多信息都写进ACL，工作量有些大，尤其是IP地址的分配是按照计算机所在的部门与位置进行划分，这些允许访问外网的IP地址并不是连续的，无法全部利用子网掩码进行录入。

无论是方案A还是方案B，两种方案都有各自的优势与劣势，因为都是通过在交换机上设置ACL来实现网络控制的，调整起来都需要登入交换机进行操作，有技术要求，操作也比较繁琐。我们可以继续寻找更简便的设置，更简单的操作，那么不妨尝试从交换机以外的设备入手。

方案C：

通过DHCP设置，为需要临时接入校园网的数据终端分配不能上网的IP地址，然后在防火墙上使用Web管理并设置防火墙的阻止主机IP地址列表，包含临时分配的不能上网的IP地址。

经过和两位校园网管理员探讨，论证比较了几种方案，认为方案C是最简便的方案。方案C在满足网络需求的同时，让当前设置操作和今后调整操作最简便。虽然在原理上相当于方案A加上DHCP设置，但是由于防火墙的操作为Web方式，并且不需要考虑ACL的起用端口和数据流向，所以，最终确定采用方案C。

对学生机房的上网管理通过交换机实现，对办公用机的上网管理通过防火墙实现，在限制上网的同时满足网络办公需要。

3 结论与探讨

通过为学生机房划分Vlan降低了广播风暴的发生几率，在交换机上起用Web管理简化了机房管理员的工作。通过采用DHCP服务加防火墙阻止主机设置，实现了对不同上网要求的计算机的控制，并同时简化了今后进行上网调整的工作。

但是，考虑到可能会有个别教师会因为想访问外网而手工输入可以上网的IP地址，那么就需要在交换机上设置地址绑定，或者在交换机或防火墙上设置基于MAC地址的ACL。

技术性管理是一方面，但是如果真的全校师生能正确管理自身的上网行为，不会因为自己的不当行为影响学校工作与师生学习，那么这些技术性管理将纯粹转化为技术服务。希望可以让我们的限制性的管理行为，转化为促进性的服务行为。

参考文献

[1]袁峰.浅谈中职学校校园网管理与维护[J].职业技术，2011（7）.

[2]陈宇先.管理中职学校校园网的思考[J].中国校外教育，2009（6）.