软路由软流控硬件化项目试验实施报告

沈　卫

项目背景

一、流量控制

流量控制是控制用于防止在端口阻塞的情况下丢帧,这种方法是当发送或接收缓冲区开始溢出时,通过将阻塞信号发送回源地址实现的。流控软件可以有效地防止由于网络中瞬间的大量数据对网络带来的冲击,保证用户网络高效而稳定地运行。

一般有两种控制流量的方式:一种是在半双工方式下,流量控制是通过反向压力,即我们通常说的背压计数实现的,这种计数是通过向发送源发送jamming信号使得信息源降低发送速度;另一种是在全双工方式下,流量控制一般遵循IEEE 802.3X标准,是由交换机向信息源发送“pause”帧,令其暂停发送。

有的交换机的流量控制会阻塞整个lan的输入,这样大大降低了网络性能;高性能的交换机仅仅阻塞向交换机拥塞端口输入帧的端口。采用流量控制,使传送和接受节点间数据流量得到控制,可以防止数据包丢失。

二、硬件流控和软件流控

硬件流控可简称硬流控,一般是由企业设计生产的完整硬件和独立开发软件构成的网络设备。例如:Ascenflow、packeteer、Ace net、金御、sungate、深信服等。软流控是一种软件,是基于某种操作系统下的流控软件,有时也会集成网关、vpn等功能。例如:Windows下的p2p终结者、p2pover、skiller等;linux下ros、panabit、monowall、海蜘蛛、Coyote、SmoothWall等。

三、“软路由软流控硬件化”

考虑到价格因素,硬流控逐步被“软路由软流控硬件”所取代。抛开硬流控的软件、稳定性和服务性,其实,硬流控的硬件构成是比较简陋的。就像思科一样,它的每个路由价格昂贵,但是卖的不是硬件的钱,而是协议和软件。所以,就出现了硬件自制、软件自制的“软路由软流控硬件”。即用pc、server或者类似专业设备做流控的硬件,用自制的软件做流控的系统,从而达到用很少的价格,实现价值数十万的设备的相似功能。

项目内因

类似monowall等都是基于开放源代码的免费防火墙软件,技术成熟,性能卓越,功能完善,堪比3万以下的硬件防火墙,在实验学校的使用中取得了良好的应用效果。

项目外因

目前,南京市中小学校园网大多采用普通路由器下接普通交换机的网络模式,路由器仅仅实现了网络接入功能,这无疑增大了校园网的管理人员的工作量,一方面为了保证网络通畅要对网内的计算机进行杀毒,另一方面又要督促各校园网接入用户进行上网登记,功能不完善。

通过软路由软流控硬件实现nat,保障学校网站及网络的安全,限制上网用户的下载流量,绑定上网用户的mac地址,防止arp病毒,以保证网络通畅,同时在软路由软流控硬件上开通入网认证功能,给所有上网人员分配入网账号和密码,进行实名制上网。另外,在安装网络监控软件的计算机上安装日志接收软件,记录软路由软流控硬件上的入网账号情况,代替上网登记册,作为上网登记凭证。

项目成本

企业已经定制好硬流控(普教)的价位,一般低端1万多,中端3万多,高端5万多。

在网络应用达到一定高度后,必然产生流控需求,需要流控硬件的采购。要想在全市配齐流控设备,需求的资金量就相当高。而软路由软流控硬件成本为网上采购硬件、软件二次开发成本,以及软件培训、硬件安装、质保、维护成本之和,每台小于1 500元。

项目解析

一、软路由软流控软件

软路由软流控是目前比较流行的基于FreeBSD下开放性架构的自由软件体系。例如海蜘蛛、smoothwall、minifw、m0n0wall、panabit、ROS等免费软件基础上再汉化、二次开发、模块插件开发使其符合南京普教网络应用的需求。

在项目过程中,我们发现monowall最适宜开发和推广应用。目前,南京市软件工作室一直在从事培训、汉化、二次开发、模块插件开发等项目推进工作。monowall是一个完整的、嵌入式的防火墙软件包计划,该软件包可以安装于一台嵌入式PC,提供具备商业防火墙所有重要特性(包括易用性),但价格只有商业防火墙的几分之一(自由软件)。monowall基于FreeBSD的精简版本,包括一个Web服务器(mini_httpd),PHP以及其他一些工具。整个系统配置被存放在一个XML文件中,条理清晰。

我们推测,monowall在启动的时候使用PHP配置的第一个UNIX系统,这种结构胜于shell脚本,并且整个系统配置被存放在XML格式中。

二、“软路由软流控硬件”种类介绍

“软路由软流控硬件”一般分为基于普通PC架构、基于服务器架构、基于低廉流控改制三种架构方式。其中普通PC价格低廉,如果采用老旧PC,成本更低。但是,其性能不强、稳定性较差、空间占用和耗电量较大;服务器建议采用机架式,这样性能比较好,稳定性较强,但是性价比不高、能耗较大;低廉流控改制能耗低、稳定性高,改制却较困难。此外,还有一种全新定制的工控机箱构建,价格略高,能耗较差、性价比较低、但是DIY方便、性能较强。

三、“软路由软流控硬件”三种模式

教育系统资金紧缺,而他们对于流量控制、行为管理需求却日益增大的情况,定制了一些“软路由软流控硬件”,价格低廉、性能稳定。这些“软路由软流控硬件”都是利用一些旧设备或者定制工控机箱加一些较成熟软流控构成。主要有以下三种模式:

1.服务器模式(二手1U 服务器的改制):硬件是1U的机架式短款服务器更换电子硬盘,系统可定制。(图1)

2.专业级模式(二手1U流控的改制):硬件是专业级别二手1U流控、防火设备,系统可定制为Routeros、monowall、Panabit。(图2)

3.工控机模式(全新定制工控机箱):硬件可全新定制,可使用全套服务器硬件,系统可定制。(图3)

四、建议

硬件选择需要考虑的因素主要有:价格(工控机模式最贵、服务器模式最便宜);尺寸(都是1U上架);性能(工控机模式最强、专业级模式最弱);稳定(专业级模式最稳定、工控机模式最差);易用(服务器模式最好、专业级模式最难);能耗(专业级模式最小、工控机模式最大)。

软件方面则有多种流控软件可供选择,如海蜘蛛、monowall、Ros、smoothwall是软路由加流控加防火的整合;panabit更多侧重流控。海蜘蛛易用性最高、monowall和Ros功能最强可玩性最多、smoothwall成名很早国外用户很多、panabit免费且不断更新,其中,monowall有很多插件和模块可以组合,例如panabit。Ros有便捷的工作时间设定。Panabit可视性很好,有很好的监控统计功能。

主要功能和特色

以monowall功能举例:monowall的主要功能和特色

monowall软路由软流控硬件主要功能如下:

● WEB 界面(支持 SSL)

● 用于恢复系统的串口界面

○ 设置 LAN IP 地址

○ 重置密码

○ 恢复初始默认设置

○ 重启系统

● 无线支持(access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)

● 上网认证(captive portal)

● 支持 802.1Q VLAN

● 基于状态的包过滤

○ block/pass 规则

○ 日志

● NAT/PAT(包括 1:1)

● 在WAN口上支持 DHCP 客户、PPPoE、PPTP 和 Telstra BigPond Cable

● IPsec VPN 隧道(IKE; 支持硬件加密卡,移动客户和证书)

● PPTP VPN (支持 RADIUS 服务器)

● 静态路由

● DHCP 服务器与中继

● 缓存DNS转发器

● 动态 DNS 客户端与RFC 2136 DNS更新器

● SNMP代理

● 流量整形(带宽限制)

● 基于SVG的流量图

● 可以通过WEB界面进行固件升级

● 唤醒 LAN客户

● 配置文件备份/恢复

● 主机/网络别名

项目范围

软路由软流控硬件适用于任何中小学校园网的入口防火墙部署和桥接流控的部署及网段(如机房)的部署。

软路由软流控软件发布时只包含产品、产品配置说明书、产品使用说明书,不包括硬件设备。软路由软流控硬件需要学校自己网上采购或市区县技装部门集中委托集成商网上采购,确保质量、售后、维护、培训等后续事宜。

软路由软流控硬件主要面向中小学、大中专院校等教育行业客户。针对教育行业专业网管人员素质不齐、经费紧张等问题,软路由软流控硬件可以快速部署、灾难恢复、低费用维护,使用管理非常方便。用户只要会上网,就能够通过webgui管理软路由软流控硬件。

项目规模与发展趋势

市面上有类似m0n0wall的防火墙软件,但大多安装麻烦,稳定性不足,或者需要高昂的收费,或者没有中文版本。

本次项目所使用的产品,所有版本针对南京教育市场免费,且终身免费升级。1.235版本已经发布,经过试验学校的使用,受到用户好评。

目前,在该项目实施过程中已经开办过的培训班共计有12个班次(白下区班、市综合班、高淳县班、溧水县班、沿江区班、鼓楼区班、玄武区班、建邺秦淮区班、江宁区班、省级南京市班、省级省馆班、省级苏州班),累计培训网络管理人员人数达600多人。即将开办的培训班,南京市初级网管培训班还有5个区级班,全省普通高中省级网管培训班预计300多人,全省初中省级网管培训班预计达2 000人。

南京市教育IT联盟网站(http://www.njeit.cn)培训教程栏目提供了大量的软路由软流控软件的培训资料和硬件化搭建方案,技术知道栏目提供了技术答疑空间;建立南京教育IT联盟超级QQ群,提供在线技术交流。

该项目在南京市各试点学校使用状况良好,如经过南京市初级网管培训后,对学员进行到校评估考核,“南京市校园网络管理基础性评估”检查项目中“主网关设备故障时,有备用网关,保证全校外网访问”占一定分值,经过检查的几百所学校都已掌握用学校旧电脑搭建了软路由软流控硬件设备,确保教学和实践的落实,也保证了项目的推进。

下关区教师进修学校、下关区建宁小学早在三年前就部署,下关区已陆续部署十几所学校。白下区三中三校区部署,然后向本区6所初中校赠送6台专业级软路由软流控硬件设备;白下区在9月份全面部署剩余学校,覆盖面100%。南京市第一中学、玄武外国语学校、南京外国语学校、南京市第13中学等南京市重点学校也已开始部署软路由软流控硬件设备。另外玄武、高淳、沿江等区县也对此项目给予高度关注,有条件情况下积极支持项目发展。

同时该项目得到南京市技装和南京市电教馆的大力支持,领导们多次到培训现场和参与项目推广会议,为该项目良好发展奠定基础。

项目发展目标

● M0n0wall v1.235简体中文:中文化工作基本完成,可定制插件,主要功能全面实现

● M0n0wall v1.3b16:中文化工作尚未展开、2009年下半年完成

● 软路由软流控软件能在南京市、江苏省网管培训中得以推广

● 软路由软流控硬件在南京普教得以快速、高效部署

项目总结

中小学校一般资金有限,教师和学生技术水平也不高,所以中小学校没有能力付出很高的代价来建设、维护网络。软路由软流控硬件从功能适度、价格低廉、稳定性、防病毒、防网络瘫痪灾难等方面综合考虑。同时提供路由、防火墙、流量管理、网站过滤、上网行为管理等诸多功能,一机多用,可靠性更高,投资更节省。

软路由软流控硬件采用全中文图形操作界面,每个操作均有说明,即使网络技术水平不高的网管也顺利操作,并且系统能从各个方面显示网络运行信息,并配有多种网络工具,帮助网管人员快速诊断网络和排除网路故障。从投资保障看,采用软件方式,使用期限不会因硬件损害而停用,只需更换硬件,软件可以永久使用,长期免费升级,确保用户路由功能不会过时。

推广、使用软路由软流控硬件可以提高目前中小学校园网的使用效率,保障网络通畅、安全、稳定地运行。■

参考网站:

南京教育IT联盟http://www.njeit.cn

M0n0wall中国社区http://www.m0n0china.org

(作者单位:南京市第三高级中学/南京教育软件工作室)