系統模組開發

本系統是一套能滿足國中小網管人員管理校園 IP 位址業務需求的結合身分認證之 校園 IP 管理系統，所以在模組開發上，我們採用 Web-Based 作為系統的介面，以方便 使用者與管理者操作。使用者在申請 IP 位址進行網路使用權開通時，認證後只需填入 使用單位和選擇使用期限即可，IP 位址和 MAC 位址則由系統自動抓取，不增加申請的 難度，如圖 5-2 為使用者 IP 位址申請畫面。而管理者在系統基本設定完成後，可隨時 線上查詢 IP 位址使用資訊，不必時時擔心 IP 位址資訊是否有問題，如圖 5-3 為管理者 操作畫面。

圖 5 - 2 使用者 IP 位址申請畫面

圖 5 - 3 管理者操作畫面

下面我們就針對各模組的開發逐一的介紹：

1、網頁認證模組(Captive Portal Module, CPM)：

由於本系統要阻斷未申請 IP 位址的使用者之網路使用權，並將其網頁強 制導向認證網頁，所以必須在防火牆的設定著手，使未申請者的網路封包通通 導向認證伺服器主機中。如圖 5-4 為 IPFW 將未認證的封包通通導向認證主機 設定。

${fwcmd} 5700 fwd 192.168.3.1 tcp from 192.168.3.0/24 to any

${fwcmd} 5800 skipto 6000 udp from 192.168.3.0/24 to any 53 out

${fwcmd} 5900 fwd 192.168.3.1 udp from 192.168.3.0/24 to any

${fwcmd} 6000 divert natd all from any to any in via ${oif}

圖 5 - 4 IPFW 將未認證的封包通通導向認證伺服器主機設定

本系統網頁認證模組能夠將未申請 IP 位址的使用者之任可網頁導向認證 網頁，如圖 5-5 所示，這是因為透過 Apache Server 本身功能來設定直接重導 向，除了能導向網址為網域名稱(Fully Qualified Domain Name, FQDN)或 IP 位址，也能正確的導向前述網址中含有參數的，改良「HTTP 302 重導向」的 HTTP 狀態 302 可能被瀏覽器誤認為非法連線的問題，如圖 5-6 為 Apache 重導 向設定。

圖 5 - 5 未申請者的網頁自動導向認證網頁

# 設定本機管理 ip，此 ip 不會強迫導向 dhcp4ez 認證

<VirtualHost 192.168.3.1:80>

DocumentRoot /usr/local/www/apache22/data

</VirtualHost>

# 連往其他 ip 則通通強迫導向 dhcp4ez 認證

<VirtualHost *:80>

DocumentRoot /usr/local/www/apache22/data/dhcp4ez

</VirtualHost>

# 網址有誤時，導向根目錄 ErrorDocument 404 "/"

圖 5 - 6 Apache 重導向設定

"mail.abc.edu.tw" => "192.168.3.2:pop3:110",

"mail.cdf.edu.tw" => "192.168.4.1:pop3:110",

"home" => "192.168.3.2:pop3:110"

); // "EMail host" => " Auth IP:pop3:110", (pop3:110, imap:143) 圖 5 - 7 跨校 Email 認證機制陣列設定

2、IP 位址註冊模組(IP Register Module, IPRM)：

本模組為了能讓使用者方便的進行 IP 位址註冊程序，系統透過伺服器網 頁資訊($_SERVER['REMOTE_ADDR'])和 arp 指令自動化查詢使用者的 IP 位址和 MAC 位址，如圖 5-8 為使用者申請 IP 位址畫面，使用者只要簡單的輸入使用 單位即可註冊完成，在有效期限內網路使用權為一直開通不須再註冊，不會造 成太多的使用負擔，而使用單位那項是屬於使用者自行管理的項目，如果遇到 問題時，網管人員得依據認證的帳號進行詢問，並會同使用者前往處理有問題 的電腦。

圖 5 - 8 使用者申請 IP 位址畫面

註冊完成後，在三秒內系統會自動化將網路使用權開通，大大減少使用者 等待開通時間和網管人員作業負擔，如圖 5-9 為 IP 位址申請後畫面。開通後，

本模組會依據使用者未認證前原本的網址進行自動轉址，此技術為透過伺服器 網頁資訊抓取 $_SERVER["SERVER_NAME"] 與 $_SERVER["REQUEST_URI"] 達成 自動化轉址服務。

圖 5 - 9 IP 位址申請後畫面

3、來賓帳號管理模組(Guest Account Management Module, GAMM)：

本系統提供跨校 EMail 伺服器認證服務，管理者可以設定許多組 POP3 Server 來同時進行認證，使用者只要在帳號欄位輸入完整的 EMail 信箱，系統 就會自動判斷去設定好的 POP3 Server 認證，雖然可以方便的進行設定，但有

時候其他學校不提供 POP3 Server 時，就無法進行註冊打開網路使用權了，所 以本模組提供臨時的來賓帳號服務，讓認證方式更彈性化，服務更周全。圖 5-10 為建立來賓帳號畫面，可以選擇一次建立多少組來賓帳號和開通後有效時間，

而在系統內部管理者可調整來賓帳號要用什麼字串為開頭、流水帳號為幾位 數、密碼共幾位數和密碼開頭英文字母等設定，如圖 5-11 為來賓帳號系統設定 細項。

圖 5 - 10 建立來賓帳號畫面

$GuestAcc = "guest"; // 來賓帳號開頭

$GuestMaxNum = "4"; // 流水帳號最大位數(最大為 7)

$GuestMaxPwd = "5"; // 來賓密碼個數

$GuestDelDay = "7"; // guest 有效天數

$GuestAddNum = "10"; // 預設建立幾組 guest 帳號

$PwdStart = "a c d e f h j k m p s t u w x y"; // 密碼以什麼開頭 圖 5 - 11 來賓帳號系統設定細項

圖 5-12 為來賓帳號建立完成畫面，可以看見帳號以 guest 開頭並加上 4 位數的流水號，如果建立到 9999 時則會從 0001 開始重新使用，使用過或未使 用而到期的帳號，將會被系統自動刪除，減少資源的浪費，在密碼部分考慮到 方便性和安全性，則以單一字母為開頭，後面接 4 個數字作為簡易型拋棄密碼 使用。

圖 5 - 12 來賓帳號建立完成畫面

4、IP 位址使用列表模組(IP Using List Module, IPULM)：

此模組可以列出目前已註冊的 IP 位址資訊，包含 IP 位址、MAC 位址、

使用者、使用單位、開通時間和重新認證時間等項目，如圖 5-13 為已申請 IP 位址的使用列表，在此列表中，網管人員可以清楚了解目前校園 IP 位址被使用 的情形，隨時掌握 IP 位址使用量。

圖 5 - 13 已申請 IP 位址的使用列表

5、IP 位址控管模組(IP Control Module, IPCM)：

在 IP 位址使用列表模組中，如果想對某個 IP 位址進行管控時，只要點選 該 IP 位址即可進入 IP 位址控管模組，如圖 5-14 為單一 IP 位址的網路使用權 設定。對於使用者濫用網路資源經勸導無效時，此模組中可以設定此 IP 位址禁 用和限速的天數，讓校園網路隨時保持通暢。

圖 5 - 14 單一 IP 位址的網路使用權設定

6、IP 位址歷史紀錄模組(IP Log Module, IPLM)：

當使用者認證進行 IP 位址註冊後，系統即會將相關資料即時的存入資料 庫中，如果未來有資安問題時可以隨時查詢 IP 位址歷史紀錄，如圖 5-15 為查 詢 IP 位址紀錄畫面。

圖 5 - 15 查詢 IP 位址紀錄畫面

在此模組中，可以輸入要查詢的關鍵字進行篩選，或是不輸入任何文字進 行全部輸出，假定我們以「科任」為關鍵字進行查詢，如圖 5-16 為查詢 IP 位 址紀錄結果畫面，我們可以清楚看到欄位中含有「科任」的 IP 位址會被篩選出 來，在這 IP 位址歷史紀錄中，包含了使用者、IP 位址、MAC 位址、使用單位、

申請時間和結束時間等資訊供查詢使用。

圖 5 - 16 查詢 IP 位址紀錄結果畫面