基于云环境的计算机实验教学平台

张宏莉　史建焘　翟健宏

摘 要：通过对传统实验教学环境弊端的分析，搭建了基于SDN和虚拟化技术的云环境下计算机实验教学平台。平台通过XEN及Cloudstack提供基础的云服务，通过API调用方式实现了后端业务流和前端交互环境。并以信息安全概论的Snort防火墙实验为例介绍了平台的使用过程。最后指出了与传统实验平台相比所具有的优势和广阔的应用前景。

关键词：云环境；计算机教学；实验平台

中图分类号：TP391 文献标识码：A 文章编号：2095-2163（2015）03-

Computer experimental and teaching platform based on Cloud computing environment

ZHANG Hongli， SHI Jiantao， ZHAI Jianhong

（School of Computer and Science Technology， Harbin Institute of Technology， Harbin 150001， China）

Abstract： Through the analysis of the disadvantages of the traditional experimental teaching environment， the paper uses SDN and virtualization technology to construct the cloud based computer experimental teaching platform. The basic cloud services are provided by XEN and Cloudstack technologies. The back-end business and front-end interactive environment call API to provide real services. Then， the paper introduces the process of the platform with an example of snort firewall experiment. In the end， it points out the advantages and wide application prospect of the platform.

Keywords： Cloud Environment； Computer Teaching； Experimental Platform

0 引 言

随着国家对高等教育投入的增加，高校本科教育改革也随之推进，时下更多关注于课堂教学与实践教学相结合，也就是在注重理论知识的课堂教学的基础上，实验课程的教学受到了日渐频密的瞩目和重视。特别地，对于很多的工科课程，实践内容尤显重要。在此背景需求下，传统的计算机实验教学平台所暴露出的诸多滞后问题亟待迫切解决，具体论述如下：

（1） 软硬件资源管理方式落后。伴随着高校教学科研条件的显著改善，很多高校更新、添置了更多性能优越的计算机，传统软硬件资源管理方式的弊端更加突显。主要体现在：首先，由于高校每学期课程组成的调整，课程所需实验内容都会有所变化，反复安装和更新软件则加重了实验室人员的工作负担。其次，为了保证实验机房软件环境安全，实验室计算机普遍采用了硬盘保护和系统自动还原设计，造成了学生实验资料的保存，以及实验环境的恢复更加不便。此外，传统实验室建设成本高，使用周期短，设备利用率相对不高，存在严重的资源浪费问题[1]。

（2） 实验时间地点固定。由于传统的计算机实验环境需要专门的实验机房，学生要在规定的课程时间到机房上机实验。但随着高校学生人数的增加，实验机房数量有限，实验场地少的问题已经成为了限制学生动手能力拓展的主要问题之一。学生一般只能在学校安排的实验时间到实验室上课，其他时间没有办法、更没有空间进入实验室来增加自己的动手机会。

（3） 特殊的实验要求。随着高校课程改革的深入，部分上机实验需要较为特殊的实验环境。以信息安全类实验为例，不同于常规信息技术的运用，实验系统应该尽可能接近真实网络环境，甚至依赖于特殊网络场景的设计实践。场景搭建复杂，实际网络设备昂贵等因素均将限制网络场景的规模，这就使得基于传统实验平台则难以构造接近真实情况的实验场景。另外，有些实验，比如网络攻防实验等，可能会具有一定的破坏性，则无法让学生在机房环境下进行实验。

鉴于传统计算机实验环境的如上弊端，构建基于虚拟化和SDN[2]技术的云环境下计算机实验教学平台即具有重大现实意义。具体来说，有如下几点：

（1） 可提供大规模、且资源充足的实验、设备空间；

（2） 实验设置能够合理模拟真实网络和复杂网络；

（3） 实验过程可以多人并行、相互隔离，使得实验环境更趋开放、共享、低成本和高效率；

（4） 可以减少实验教师重复性劳动，能够对实验过程实施有效监督，能够充分调动学生兴趣和参与度。

1实验平台的建设及技术架构

综上所述，本文即以云端实验教学平台为基础，搭建了基于SDN和虚拟化技术的计算机实验教学平台。平台借鉴了先进的软件定义网络与共享硬件资源思想，面向高校计算机类教学课程与实验，研发实现了复杂度高、隔离性强的各种网络与实验环境的快速构建，具体能够支持多组、多人、并行的实验或网络攻防对抗演练。平台还将支持对实验过程的监控，并且支持实验后的过程回放和分析评估。平台的整体拓扑架构如图1所示。

图1 计算机云实验平台的拓扑结构

Fig.1 Topological structure of computer cloud experimental platform

通过实验室内部网络与外部相隔离的方式，在物理层保证了网络安全性；同时，又通过专门设计的网络安全管理平台，对虚拟仿真实验教学平台提供了包括学生、老师、管理员等在内的各类不同权限级别的用户，每一权限级别的用户须均需通过认证后方可以进行登陆及实验操作，并在记录登陆用户信息的基础上，还具有计费管理等功能。针对非正常访问或未通过认证的用户则需进行来源信息记录，以确保平台的正常访问。每个学生的实验过程都在一个沙盒内完成，各组实验之间，实验环境和物理宿主设备之间安全隔离，实验结束后沙盒自动销毁，保证了平台数据不具篡改的可能。

虚拟仿真实验教学平台所承载的学院网络为学校内网，通过校网中心连接到ISP，既保障外部访问平台的使用需求，又可防止外部网络的攻击威胁，学院、校网中心两级网络安全防护，设置IDS和防火墙等设备，确保网络安全，及时预防、进而实时发现存在网络安全问题。具有网络防病毒、信息过滤和入侵检测功能。网络由实验管理部门专人核查与维护，保障网络的安全，确保平台的正常稳定运行。

平台包括基础设施的搭建，后端服务的设计以及前端应用，整体系统架构如图2所示。

图2 系统架构

Fig.2 System architecture

其中，基础设施包括一组高性能服务器集群，通过XEN[3]虚拟化技术构成一个主从模式的主机池，集群由XenCenter负责管理，作为实验虚拟机的宿主节点池。云服务通过搭建CloudStack[4]架构设计并实现，具体功能包括：

（1）账户模块。负责系统账户的管理，对账户设置了虚拟机和存储设备的访问权限，保证了云服务的安全可靠。

（2）虚拟机管理模块。负责虚拟机的生成，运行调度，销毁以及迁移等功能，是整个云服务的核心功能模块。

（3）存储模块。通过设置二级存储结构提供云服务的存储管理。其中，一级存储负责系统主机模板的存储，二级存储负责生成的镜像文件的存储，保证了云服务的运行效率。

（4）网络管理模块。负责提供特定的实验环境网络，通过虚拟Vlan的方式保证不同用户的虚拟机节点物理上的隔离，同时通过Nat和源Nat保证虚拟机网络和实际校园网的衔接。

此外，Cloudstack平台提供了一组可供外部调用的API，用于上层云服务进行二次开发。

实验平台系统在后端通过调用Cloudstack API为前端应用提供接口服务。系统的主要业务流则由前端提供，具体功能如图3所示。

图3 前端功能结构图

Fig.3 Front-end function structure chart

云实验平台与传统的实验室相比，对物理设备以外，包括操作系统和网络架构采用完全虚拟化的方式，保证实验可定制，实验网络环境可定制，并且支持复杂的实验演练。实验准备工作简单，教师可以一键式初始化实验环境。同时，通过隔离模式使实验环境各自独立，保证了实验的高度并行性。支持实验过程可视化，数据可回放，实验可恢复。通过实验环境统一管理的方式，保证实验可以集中式恢复，实验结束后教师可以对实验环境一键销毁。实验平台还具有支持复杂多层次大型网络的优势，同时充分保证了资源的复用性，建设成本投入小，可扩展性强。该平台的各主要业务模块实现功能如下。

（1）针对学生的主要业务模块

学习课程：选课中心，自主选课（必修/选修课），课程学习档案。

信息管理：系统公告，课程公告消息，个人信息及设置，登陆密码修改，学习档案和日志。

实验、考核、互动：课程实验，实验操作，实验提交，实验帮助，课程考试，实验社区。

（2）针对教师的主要业务模块

课程管理：选课管理，课程设置，课程考核管理。

实验管理：实验设置，实验定制，实验监控，实验结果考评，资料工具管理，成绩管理。

查询统计：实验情况查询，考试查询。

实验社区：实验问答，实验笔记，课程动态。

（3）针对管理员业务模块

实验管理：实验分类管理，实验模板管理，实验调度管理。

用户管理：组织架构管理，用户管理。

系统管理：系统信息，系统设置，系统公告，系统日志。

查询统计：实验情况查询，在线用户查询。

实验具体流程为，管理员设置教师用户和学生用户权限，教师登陆后进行课程设置，从实验库中选择适合的实验或者增加实验和实验指导书，配置实验环境模板和虚拟实验环境设置。从选课学生中选择上课学生。实验前根据选课学生数创建配套实验环境。学生在线选择对应课程进入实验，选择自己的实验环境，获得实验用的配套虚拟机登陆IP和动态登陆密码。实验过程中，教师还可以查看学生实验情况。

在大量学生进行相同或不同实验操作的需求下，平台能够快速准确地提供大量的实验环境，能够保证这些实验环境对每个学生来说是相互独立的，这就表明了在实验过程中不同的操作人员所进行的实验将是相互隔离，互不干扰的。在实验完成后，为保证实验资源的利用率，平台能够快速释放各类资源。同时，对不同学校、不同学习目的、不同专业兴趣方向、每个学生对不同实验的操作过程和响应结果进行了有效的存储与管理。

2实验案例

以信息安全概论课程中的“Snort与单台防火墙联动构建轻量级IPS”实验为例，实验开始前，教师可以登录实验平台为所有学生构建实验环境，环境搭建成功后，教师可以开放实验。学生登录后可以看到为自己搭建的实验主机的远程登录IP及端口，学生可以远程登录虚拟机进行实验，平台界面如图4所示。

图4 实验案例界面

Fig.4 Experiment case interface

从后端维护界面可以看到该实验的主机构成及网络设置，如图5所示。

图5 实验主机及网络配置

Fig.5 Experiment host and network configuration

该实验包括3台主机，主机Snort-host对外不可见，为Linux Centos6.5操作系统，IP地址为固定的10.1.1.1。其他两台主机对外可见，可以通过远程桌面连接登录，其中Host主机为学生实验操作主机，用来远程登录Snort主机，安装和配置Snort系统，并可和Snort主机联动，使用本地防火墙和Snort防火墙。Test主机则作为扫描探测 ，通过配置好的Xscan工具对Host主机和Snort主机进行探测。在Snort主机上可以观察到有报警日志产生。

通过此实验，学生可以全面地了解Snort这一个强大的轻量级网络入侵检测系统。并且由于实验环境可以反复还原，学生可以最大便利地纠正错误的配置和操作。同时，由于攻击流量通过vlan在每套实验环境之间提供了隔离，不同学生的实验可以互不影响。

3 结束语

基于云环境的计算机实验教学平台，通过虚拟化与SDN等技术，使用先进的软件定义网络与共享硬件资源思想，不仅解决了传统实验室在时间、空间与实验内容的限制，能够快速构建复杂度高，隔离性强的各种实验环境。此外，打破了IP地址数量限制，学生地理位置限制，使得学生可以随时随地访问实验教学环境，不受学时场地限制，满足了不同专业学生对计算机实验教学环境的需求。此外，实验平台支持教师对实验课程的补充，通过课程与实验定制，将优秀实验课程在线共享。学生和老师还可以通过在线互动模块，互相交流，实现实时互动的教学，充分利用了教学资源，调动了学生对网络与信息安全课程的学习兴趣，取得了良好的实践效果。

云实验平台不仅为学生提供了开放式全天候的实验环境，同时也突破了大学实验室的有形制约，为实现校际之间、社会与大学之间的师资互动创造了最大可能。让封闭在传统实验室内的精品课程、重点实验室、教学名师资源成为网络实验教学的典型共享资源。平台具有广阔的发展及应用前景。

参考文献：

[1] 王峰， 黄刚. 基于云平台的计算机实验教学中心建设[J].实验技术与管理，2014（12）：121-123+143.

[2] 张朝昆， 崔勇， 唐翯祎， 吴建平. 软件定义网络（SDN）研究进展[J].软件学报，2015， 26（1）： 62-81.

[3] 薛海峰， 卿斯汉， 张焕国. XEN虚拟机分析[J]. 系统仿真学报， 2007， 19（23）：5556-5559.

[4] 郑楠， 陈立南， 郑礼雄， 马严. 基于CloudStack和OpenStack的KVM虚拟机跨平台迁移方法[J].通信学报，2014，35（Z1）：72-75.