还校园一个健康的网络环境

　　编者按：如果您是信息技术教师，或善于钻研各种技术问题，那么在生活中，在教学中，一定亲历过无数的技术障碍，实施过不胜枚举的解决方案，有冥思苦想时的抽丝剥茧，更有挥剑斩棘时的畅快淋漓。总有那样一些“排雷”过程，让您记忆犹新，总有那样一些隐性的相关性让您不断刷新自己的认知。
　　现在，我们为您开设了这样一个陈列馆，期待您能够将这些珍贵的“诊断手记”陈列出来，在展示自己“技艺”的同时也为大家提供更多可供借鉴的思路和经验。
　　
　　● 课堂上教师频遭“尴尬”
　　
　　几年前，我所在的学校实现了“班班通”，“班班通”带给教师最大的方便就是在课堂上可以实现在线课堂、资源下载、资源共享等功能，但不安全的网络环境，常常在不经意中给教师带来许多尴尬，有时候，教师在课堂上讲得正酣，计算机屏幕中突然弹出一张令人脸红的图片，慌乱中，点哪儿也关不掉；有时候，孩子们正专注地听讲，突然一声怪叫，弹出一幅怪兽的游戏网页，震撼的音乐、诡异的气氛使课堂顿时一片混乱。这些由网络安全引发的问题，无意中影响了严肃的课堂教学。“有什么办法能够阻止这些不健康的图片和广告网页弹出来呢？”应教师们的提问，初做网管教师的我硬着头皮回答到：“我试试。”
　　
　　● 课堂中改进网络环境
　　
　　首先，我分析了当时的网络环境，信息中心→光电转换器→交换机（锐捷STAR-S2024M）→上网用PC（加教师机不到50台），IP地址段：10.112.208.0/22，网关地址：10.112.211.254，网关在信息中心而不在本地，这意味着学校没有管理权限。那么在不改变IP地址的情况下，只有一种管理方法可选，那就是交换机端口镜像，幸好我的交换机支持端口镜像。
　　在锐捷STAR-S2024M交换机上做端口镜像很简单，console口波特率9600进入交换机，默认密码supervisor，然后就是按菜单提示操作，做好镜像口和被镜像口，把监控主机插入镜像口，从信息中心进入的接口插入被镜像口。
　　万事俱备，只欠东风。那么，到底在监控主机上安装什么软件能过滤这些绝对不允许在课堂上出现的图片和网页呢？在搜索大量资料后，我最终选定了一款上网行为管理软件“网路岗”。选中网路岗，主要是看中它在网页过滤中的两个功能。
　　1.自定义禁止网站（包括搜索关键词）。
　　首先，把教师们经常反映的一些网页地址加进去。其次，把我自己遇到的一些不健康的网站地址加进去。第三，利用网路岗本身的网站统计功能，找出一些异常网站，经验证为不健康网站，再把它的地址加进去。我在单位内部的办公系统上开了一个专门的邮箱，让教师们随时把他们遇到的不良网页地址发给我，经我验证为不良网站后，及时封堵。
　　2.海量过滤库。
　　网路岗内置了一些常见的不良网站列表库（色情、暴力等），将这里的网页地址封堵即可。经过这样的处理后，几年来学校网络一直在健康的环境下正常运行。
　　
　　● 改进过程一波三折
　　
　　然而随着信息技术的飞速发展，学校的计算机逐渐多了起来，光能上网的机器就有200多台，最近有老师经常反映说，网速慢得和“牛”一样，并且即时通讯软件经常掉线，也难怪，这么多台机器在同一VLAN里，仅ARP欺骗一项，就能把人搞得焦头烂额。
　　经向教委信息中心申请对网络进行改造并获得许可后，信息中心提供了一台华为S3900-EI交换机，并改变了网关的结构和IP地址。借此机会，我也对校园的网络结构做了一些改变，划分了VLAN，配置了DHCP，对交换机进行了简单的管理配置等，网络详细的拓扑结构如下图。
　　
　　第一步：因为信息中心的网络结构做了改变，所以做了如下配置。
　　配置交换机的名字、上联接入接口和默认路由。
　　1.配置交换机的名字。
　　Sysname XXXX
　　2.配置出口VLAN 50。
　　vlan 50
　　Name Uplink
　　Port Ethernet 1/0/1（与信息中心连接的上联端口）
　　Quit
　　Interface vlan-interface 10
　　Ip address 10.113.245.6 30（学校互联地址）
　　quit
　　3.配置默认路由。
　　Ip route-static 0.0.0.0 0.0.0.0 10.113.245..5（信息中心网关地址）
　　第二步：为了解决同一网段机器过多，造成的ARP欺骗等故障，我将学校IP地址按需求划分子网，并配置相应的VLAN。
　　1.划分子网IP。
　　学校地址为：10.112.208.0 /255.255.252.0
　　可划分为4个子网，分配给服务器、教学楼、实验楼、学生机房不同的网关地址。
　　2.配置相应的VLAN。
　　（1）配置服务器VLAN 10。
　　vlan 10
　　Name servers
　　Port gi1/1/1
　　quit
　　Interface vlan-interface 10
　　Ip address 10.112.208.254 24（此IP为服务器的网关地址）
　　Quit
　　（2）以此类推，根据划分后的子网IP地址，分别配置教学楼、实验楼、学生机房的VLAN为VLAN 20、VLAN 30、VLAN 40。
　　第三步：为了管理方便，需要配置交换机的远程管理、SNMP配置。
　　1.配置远程管理。
　　Local-user user1（新建登录账号user1）
　　Password cipher 123456
　　Service-type telnet ssh terminal
　　authorization-attribute level 3
　　quit
　　user-interface aux 0
　　authentication-mode scheme
　　quit
　　user-interface vty 0 4
　　authentication-mode scheme
　　quit
　　telnet登录：管理终端命令行：telnet 网关IP地址
　　web登录：管理终端浏览器：http://网关IP地址
　　2.配置SNMP。
　　snmp-agent community read XXXXXX
　　snmp-agent community write XXXXXX
　　snmp-agent sys-info location DaXingYiZhong
　　snmp-agent sys-info version all
　　第四步：为了减少IP冲突和手工配置IP的麻烦，配置了DHCP服务。
　　dhcp server ip-pool 10
　　network 10.112.208.0 mask 255.255.255.0
　　gateway-list 10.112.208.254
　　dns-list 10.111.1.1 10.111.1.2
　　dhcp server forbidden-ip 10.112.208.1 10.112.208.10
　　以此类推，配置教学楼、实验楼、学生机房的DHCP服务。
　　整个网络配置做完了，我去各个信息点做了测试，都能上网，配置成功；下一步，做多VLAN下的网路岗部署，以前从没做过，希望不要出问题。
　　因为E1接口在信息中心接入口VLAN 50中，那么配置E1接口为被镜像口；配置E2为镜像口，接入网路岗，我办公室的计算机在服务器组VLAN 10中，为了管理方便，把E2接口划入VLAN 10中。这里做一个简要的说明，华为和H3C的部分交换要先把端口加入VLAN，再做端口镜像配置，不然会出现“Can not configure moinitor port!”的错误提示，具体配置如下：
　　
　　vlan 10
　　port e 1/0/2
　　mirroring-group 1 local
　　mirroring-group 1 mirroring-porte 1/0/1both
　　mirroring-group 1 monitor-port e 1/0/2
　　网路岗主机配：IP地址：10.112.208.1
　　子网掩码：255.255.255.0
　　缺省网关：10.112.208.254
　　网路岗的监控模式默认有三种：①基于网卡MAC；②基于帐户；③基于IP。因为我在第一次配置网路岗的时候，选择的是基于网卡MAC，现在，我想当然地也选择基于网卡MAC的监控模式，但当我扫描主机的时候，奇怪的事情出现了，我发现我只能扫描到10.112.208.0网段的主机，其他3个段的主机都扫描不到。看来把网路岗部署到哪个VLAN，用基于网卡MAC监控模式，就只能扫描到这个VLAN的主机，其他VLAN的扫描不到。遇到了难题，还有没有别的办法呢？我无意中选择了基于IP的选项，一扫描，所有在线的主机都出现了。看来，在单VLAN模式下，一般选择基于网卡MAC的监控模式，在多VLAN模式下，最好选择基于IP的监控模式。然后应用以前设置好的网页过滤策略到这4个网段的计算机上，在我的计算机上做封堵测试，成功。
　　
　　● 再次反思不断进步
　　
　　最近教学楼有老师反映说，很久不见了的不健康网站又弹出来了，我看了监控记录，封堵正常，以为是新发现的弹出页，可没想到，没过几天，实验楼、机房的老师都反映有弹出不良网站和广告的情况，我突然意识到事情的严重性，是不是部署有问题？于是将Baidu添加到网页过滤封堵策略里做测试，在我的计算机上，封堵成功，但在教学楼、实验楼、机房做测试，封堵都不成功，查看监视记录，都显示封堵成功。看来，网路岗对和它不同VLAN的计算机只能监控，但不能封堵。
　　经过多次改变结构，我发现只有把网路岗部署在和信息中心接入口同一VLAN即VLAN 50中，IP地址设置为全网段即划分子网前的网段中，4个网段才能全部封堵成功。
　　配置如下：
　　Undo mirroring-group 1 monitor-port e 1/0/2
　　vlan 50
　　port e 1/0/2
　　mirroring-group 1 monitor-port e 1/0/2
　　网路岗主机配：IP地址：10.112.208.1
　　子网掩码：255.255.252.0
　　缺省网关：10.112.211.254
　　但这个时候又出现了一个新问题，我用远程桌面无法管理我的网路岗服务器了，每次只能到机房去，因为网路岗（在VLAN 50）和我办公室的计算机（在VLAN 10）不在同一VLAN，又和VLAN 50（在10.113.245.0/30段、网路岗服务器在10.112.208.0/22段）不是同一段的IP，外部就没办法和它取得联系。
　　最终的解决办法是给这台网路岗监控主机再加一块网卡，把网线接口插入服务器组交换机即和我办公室计算机同一VLAN的交换机，配置IP：10.112.208.2/24即可。
　　经过几天的测试，我校的网络终于又进入到快速、稳定、健康的运行环境当中。