智慧校园环境下的乡村学校网络管理

2020-08-24 12:49张晓明
中小学信息技术教育 2020年8期
关键词:U盘网卡路由

张晓明

随着时代的发展,乡村学校的网络接入条件越来越好,进入校园的无线设备越来越多,如智能手机、Pad、笔记本电脑等。互联网设备与应用服务越来越多,校园网络管理工作越来越复杂,网络管理面临的挑战也越来越多,最突出的问题表现在以下几个方面。一是大多数乡村学校原有网络以有线网络为主,由于经费问题未能统一进行无线网络的覆盖布局。有些老师自带无线路由器和WiFi模块进行无线扩展。这样就易出现同时有多个DHCP服务器,导致设备不能正常访问网络。二是对接入的移动设备需要进行识别和管控,原有的网络模型无法有效进行监管,无法保证密码安全,且无日志审计。三是为了有效管理學校网络,上班时间应禁止访问游戏、股票等相关网站,严格限制视频网站的访问(主要是指电视、电影等),原有的设备不能够进行相应的管理。四是面对越来越受重视的网络安全,公安部82号令明确提出对于网络日志的审计要求,当前更多地集中在应用层的敏感事件审计上,如新浪微博、QQ、邮件、论坛等。根据监管要求,各学校对接入互联网的设备访问情况必须进行记录并保存记录达到一定的时长。

应对策略

除建立健全相应的管理制度之外,还可以从技术的角度解决以下几个方面的问题:一是建立全校统一的身份认证系统,禁用二级路由;二是危险网址黑名单制;三是基于协议的应用访问策略;四是基于协议的智能流控;五是完善的日志审计(WEB访问记录)。

实战应用

想要实现以上的网络管理功能,如果采购硬件网管设备,动辄数万元的价格对于乡村学校而言困难不小。能不能自己动手,通过软件低成本实现呢?答案是有的,下面就以笔者的实践过程抛砖引玉。

1.硬件系统的搭建

软路由系统一般基于linux内核,系统稳定性高,对系统硬件的要求低,学校闲置的电脑都可以使用,只需要加装一块网卡即可,一边连接外网,一边连接内网。也可以购买双网口的千兆服务器网卡,其转发效率和稳定性更高。

笔者使用的硬件是由十年前教育局统一配备的一体机改造的,原机器由于固件不稳定,全市学校都将其闲置,我们只需将其刷入软路由系统即可让其成为强大的智能路由系统,采用固态硬盘可以提高系统的运行速度和稳定性。

2.路由系统的选择

笔者研究过国内外十几种软路由系统,如pfSense、Panabit、ROS、Smart6、ikuai、小草、LEDE、ClearOS、RedCat-NSS、WFilter、Wayos、M0M0、openWRT、Hi-Spider等。其中,ROS系统功能强大,转发效率高,优点非常多,但软件授权费用较高,故只能放弃而去选择开放软件。

在免费或开源软件中不乏精品,笔者长期使用过Smart安迅智路由系统,其转发效率比肩ROS,功能也非常全面,不足的是有200M带宽限制,我们网络带宽升级到1000M以后放弃使用。Panabit是一款出色的7层网关系统,推荐上网终端不超过256个的小规模学校使用。其他系统也各有特色,感兴趣的可以自行搜索研究。笔者所在的学校为九年一贯制学校,网络接入设备较多,综合考虑之下,选择了爱快软路由系统。爱快软路由系统是一个免费的智能化网关系统,功能强、更新速度快,对带宽不做限制。下面就以爱快软路由系统为例,介绍相关的安装方法和功能实现。其对硬件配置要求如表1所示。

3.软件的安装

爱快软路由支持多种安装方式,可以Ghost全盘恢复安装、ISO光盘引导安装、IMG写盘安装、U盘引导ISO安装等。下面以使用U盘引导ISO安装方法为例进行介绍。

(1)制作U盘WIN PE系统

U盘PE系统由于其便携性和维护的方便性几乎成为信息技术教师必备,我们可以通过以下方法制作:下载IT天空的优启通(下载地址为http://download.itiankong.net/data/3/easyu/EasyU_3.5.2019.0828.7z),下载完成后解压;插入U盘,打开EasyU_v3.5.exe,选择你的U盘盘符;点击全新制作。

(2)下载软路由系统

推荐下载ISO格式,根据自己的硬件是否支持64位选择对应的版本(下载地址为https://www.ikuai8.com/component/download),下载完成后拷贝到U盘ISO目录下。

(3)安装软路由

将U盘插入路由器USB接口,选择U盘作为启动设备,进入主菜单后,按上下光标键选择“运行其他工具”,进入后选择“运行自定义映像”,自动搜索U盘ISO目录下的镜像文件列表,选择拷贝进去的爱快安装镜像文件“iKuai8_x64_3.2.8_Build201910101758.iso”,启动安装程序。

启动安装镜像后,进入中文安装命令提示,选择“1、将系统安装到硬盘1.sda”按回车键,确认“是否将系统安装到硬盘sda”无误后输入“y”继续。稍等几秒后即可完成安装,系统自动重新启动,此时移去U盘,系统重启后进入中文控制台,此时我们就可以通过其他电脑访问路由器进行设置了。

4.路由器的设置

另找一台电脑,设置IP为192.168.1.2/24,网关192.168.1.1,DNS服务器114.114.114.114,用网线连接到路由默认LAN口eth0网口,普通电脑一般为板载网卡,工控机一般为最左边的网卡(eth0)。输入路由默认管理网址http://192.168.1.1进行登录,默认用户名、密码为admin。

(1)基础设置

进入路由管理界面后,将外网线路接入到路由器,选择WAN口网卡并设置WAN口上网参数,打开DHCP服务(默认未打开),填写相关的参数,这样内网设备使用自动获取IP即可接入互联网。

(2)进阶配置

①建立全校统一的身份认证系统。在“认证计费”菜单下,选择账号管理,为每个老师添加对应的账户和初始密码,首次添加可以批量导入,然后选择“web认证服务”,勾选打开WEB认证和认证漫游服务。这样所有终端在打开网页时输入对应的用户名和密码即可完成認证。局域网用户可以输入IP地址6.6.6.6自助管理密码。

②禁用二级路由。在“行为管控”“网络分享控制”中勾选“禁止二级路由”,所有自带的无线小路由WAN口一律禁用,关闭DHCP服务,只作无线接入点(AP)使用,内网IP统一设置到192.168.120.X网段。

③设置基于协议的应用访问策略。在“行为管控”“应用协议控制”中添加要管控的应用协议,如网络游戏、股票证券等,设置上班时间为禁用时间段,这样可以让网络资源充分应用于教育教学工作。

④设置基于协议的智能流控。在“流控分流”“智能流控”中勾选“智能流控”,设定相应协议的优先级,数字越小优先级越高,这样可以有效防止“一人下载,全网卡瘫”的现象。

⑤设置日志审计。在“行为管控”“行为记录设置”中勾选需要进行审计的项目,如“网址浏览记录”“IM记录”等。行为记录可以在“行为管控”“行为记录查看”中查询,日志保存的时间由硬盘空间大小来决定。

⑥除了在“行为管控”“网址浏览控制”中设置网址黑白名单外,我们还可以在路由中绑定爱快云,开启云安全,可以自动调用“腾讯安全”危险网址库,将库中的网站列为黑名单,这样可以避开恶意网站的访问,有效保护内网设备安全。

除此之外,爱快软路由系统中还有很多非常强大的功能,如双机热备、虚拟机、跨三层应用等,感兴趣的教师可以开展进一步研究。

乡村学校网管教师最深的感触就是硬件条件跟不上、设备更新慢,但经过我们自己动手动脑,在硬件上稍做改变,同样可以用极低的成本实现高级设备的功能,为学校教育教学提供稳定的网络保障服务。本文仅以其中一种软路由软件为例做介绍,希望起到抛砖引玉的作用,为广大教师提供参考和借鉴。

参考文献

张民生. 上海市中小学校园网建设指南[M]. 上海:上海科技教育出版社,2002.

刘涛,李佩铎.浅谈软路由和硬路由[J]. 电脑知识与技术,2010(2).

杨正东. 软路由的应用探索[J]. 金融科技时代,2011(5).

左文涛. 基于Panabit的网络管控教学设计[J]. 电脑与电信,2018(10).

猜你喜欢
U盘网卡路由
在DDS 中间件上实现双冗余网卡切换的方法
采用U盘文件冗余方案实现TSP系统的可靠装载
Server 2016网卡组合模式
探究路由与环路的问题
挑战Killer网卡Realtek网游专用Dragon网卡
使用Cryptsetup加密U盘
PRIME和G3-PLC路由机制对比
读编往来
WSN中基于等高度路由的源位置隐私保护
eNSP在路由交换课程教学改革中的应用