新世紀宿舍網路管理系統

(1)

新世紀宿舍網路管理系統

張安平黃世銘

中原大學電算中心

[email protected] [email protected]

摘要

隨著時代的變遷，網路的使用者與使用量大量的增加，校園內網路中的使用者與連線設備日益激增，使得管理的複雜度也越來越高，以傳統的 IP 位址分配及管理方式，所花費在管理上的人力將越來越多，管理功能也越無成效，排除異常的時間也將越長。本校因新建宿舍，計劃導入網路管理及全校 IP 位址管理系統，測試了許多目前 TANET 各連線學校常用的 IP 位址管理及宿網管理系統，其中包含軟體及硬體設備。本研究除了評估管理系統之功能外，也評估系統之架構、效能表現及穩定度。本校目前所採之宿舍網路管理系統，可以有效管理 IP 位址發放、驗證使用者身份、管理使用者流量，此一新系統除應用在本校的宿舍網路管理上，並計劃推廣至全校的行政單位及教學單位。關鍵字：網路管理、DHCP、宿網管理、流量管理、 ACL

1. 前言

隨著時代的變遷，網路的使用者與使用量大量的增加，全國的人上網人口、普及率及成長率， T A N E T 連網的用戶數也突破 3 0 0 萬人 (資策會，2002)。校園內網路中的使用者與連線設備日益激增，使得管理的複雜度也越來越高，如何有效的分配 IP 位址及確認使用者身份、管理使用者流量、迅速排除異常使用者等網路管理工作，也變得越來越困難。以中原大學為例，全校擁有一個 Class B 等級的網路 IP 位址， IP 位址的分配依教學單位、行政單位及宿舍採用不同的分配方式：每一教學單位分配兩個 Class C 的 IP 位址，交由該單位管理人自行分配管理 IP 位址；行政單位採用 DHCP 方式自動取得 IP；而宿舍網路則以學生網路卡的 MAC 位址來申請 IP 位址。IP 位址管理的方式及界面無法整合，要查詢異常使用者時亦十分困難。其中學生宿網的 IP 位址使用量最高，異動量也最頻繁，成長率也是最快的。早期宿舍的電腦使用量從約為一間宿舍一台電腦到目前每一間寢室有四台電腦，宿舍的 IP 位址使用量從三年前的四個 Class C 變成目前的十六個 Class C，再加上校外宿網的 IP 位址使用量，當 IP 位址使用量越來越多後，依照過去 IP 位址分配管理的方式，所花費在管理上的人力將越來越多，管理功能也越無成效，排除異常的時間也將越長。目前 TANET 各校常用的 IP 位址管理方法，大都是要求學生提供網路卡卡號後，依照網路卡 MAC 位址分配 IP 位址，管理人員將得到的網路卡卡號寫入至第二層網路交換器(Layer 2 switch)，再將 IP-MAC 位址對應表寫入第三層網路交換器(Layer 3 switch)的靜態 ARP 表裡。若不使用程式處理，將 MAC 位址及 IP 位址寫入網路設備時必須要花費很大的人力，尤其是在開學時，工讀生必須將幾千組 MAC 位址進行輸入的工作。這類的 IP-MAC 位址管理方式，近年已有許多自動化相關研究(包，2002)，以減少大量的人力負荷，而此種管理系統最大的問題點在於與第二層交換器之依賴性太大，若第二層網路交換器發生固障需更換時，必需將網路卡 MAC 位址或 IP 位址依房號及埠號的對應表，重新寫入網路設備內，而當第二層網路設備更換廠牌或是型號時，原有的管理系統程式需重新修改，才能夠配合新的網路設備。本校因新建宿舍，計劃導宿舍入網路管理及全

(2)

校 IP 位址管理系統，測試了許多目前 TANET 各連線學校常用的 IP 位址管理及宿網管理系統，其中包含軟體及硬體設備。本研究除了評估管理系統之功能外，也評估系統之架構、效能表現及穩定度。本校目前採用一個與傳統方式截然不同之網路管理架構。此一新架構可以有效管理 IP 位址發放、驗證使用者身份、管理使用者流量，並在發生網路異常時迅速找出問題發生點，自動排除或通知網路管理者排除。此一新的 IP 位址管理系統，除應用在本校的宿舍網路管理上，並計劃推廣至全校的行政單位及教學單位。

2. 傳統的校園網路管理類形

過去使用在校園內的管理方式基本上分成二類，第一類是以網路交換器本身提供的網管功能，以 IP-MAC binding 的方式來控制，第二類則是將網路的管理功能置入某特殊硬體中，所有的網路連線必須經過此硬體設備而受到控制，這類的設備如 Bandkeeper、Vernier、FortiGate 等。

2.1 利用可網管網路交換器本身的功能

2.1.1 以 IP-MAC binding 方式管理

此種方式以具有網管功能來進行自動化的管理設備，管理者提供使用者申請網路使用的介面，使用者提供自己的 MAC 位址及資料去申請 IP 位址 (圖 1)，系統會將申請後的資料依使用者之房號對應到交換器的埠號，以程式寫入至第三層交換器中，做出 MAC 位址表及 IP 對應之靜態 ARP 表 (static ARP table)。

使用者上網時，先在第二層交換器上驗証 MAC 位址，並在第三層交換器上驗証靜態 ARP 表中之 IP-MAC 位址對應是否正確(圖 2)。有些系統可將 MAC 位址、學號、取得 IP 位址及使用的埠號做出身份對應表，針對每個機器做出流量統計圖，當設備或網路有異常時會寄信告訴管理者發生問題，可節省不少的人力。(中山大學網推會；豪勉科技) 此方式的最大缺點為，當更換不同廠牌或型號的設備時，必須修改原始程式，才能夠延續使用此系統。校園中因網路設備有眾多的廠牌，此系統也不易推廣至全校使用，而使用此一系統之前提，須有一份維護良好之房號及埠號對應表，才能將使用者 MAC 位址正確的寫入對應的第二層網路交換器中，對於大部份的網路管理者而言，亦不易達成此要求。圖 1、IP-MAC binding 申請流程圖 2、IP-MAC binding 上網流程

2.1.2 以具有 IP 位址控管功能的第二層網路

交換器設備進行管理

(3)

之管理方式，是以設定第二層交換器上，每個連接埠可連線之 IP 位址(圖 3)，並直接於第二層交換器的每個連接埠上進行 IP-MAC binding 動作(圖 4)，此種做法的優點是僅須在第二層交換器上固定 IP 位址即可，減少每學期 MAC 位址之輸入，但缺點仍是：一、埠號及房間號碼的對應，需要有良好的維護記錄。二、若是有更換連接埠或是更換網路交換器時必須重新輸入過一次。三、只能確定使用者的 IP 位址來源，不易確認使用者身份。四、不可能將全校全面更換成此設備，故無法推廣至全校使用。五、 IP 位址記錄於第二層交換器，非 SNMP MIB 標準，不易以程式自動化。圖 3、依交換器功能之申請及上網流程

2.2 以額外的硬體設備進行管理

此類設備將管理功能交由硬體設備，所有的網路連線必須經過此設備。本研究測試了三種硬體設備，Bandkeeper、Veriner、FortiGate。

2.2.1 Bandkeeper

Bandkeeper(威播科技)的管理方式是管理者將管理規則寫入策略伺服器，策略伺服器寫入到頻寬管理器，可以針對來源至目的端及目的至來源端圖 4、設定畫面的兩個方向進行頻寬管理(圖 5)，管理時可依 IP 位址、子網路、通訊協定等做出優先權的順序，它所能提供的管理有保證頻寬、限制傳輸量、限制總線時間、可提供流量統計分析、過濾 IP 及 MAC 位址等功能，當統計分析做完成後，頻寬管理器會將資料，回傳到策略伺服器製做出報表給管理者。圖 5、Bandkeeper 架構圖

2.2.2 Vernier 認證伺服器

Vernier (Vernier Networks, Inc.)主要是配合認證伺服使用，使用第二層的 MAC 位址來進行管理(圖 6)，可限制某些特定的服務必需經過身份確認後才可以出去，並且具有 NAT 及 DHCP 等功能，可提供 IP 位址不足的學校使用，本校用於無線網路之使用者認證上。

2.2.3 FortiGate

FortiGate(FortiNet Inc.)的管理方式是管理者透過策略伺服器，將服務寫入硬體內(圖 7)，

(4)

圖 6、Vernier 架構圖它結合了病毒防治及內容過濾加上防火牆(NAT、 PAT、封包式檢查)、VPN、入侵偵測及頻寬流量管理能力，能夠將記錄回傳。此類以額外的硬體設備管理的優點為：一、架構簡單可以立即應用。二、管理功能強大。但缺點為：一、設備的穩定度與效能，是系統成敗的關鍵因素，設備異常時會導致所有連線中斷或連線品質不佳。二、要全面使用至校園網路中須使用多台設備。三、設備價格昂貴，不易推廣至全校使用。圖 7、FortiGate 架構圖

3. 系統架構

本研究所採用的 IP 位址及網路管理新架構，無須增添特殊硬體設備，與第二層網路交換器亦無關，管理系統直接控管 DHCP 伺服器及第三層網路交換器來進行網路管理工作。使用者未經認證身份時，可由 DHCP 伺服器取得動態 IP 位址，網路管理者可藉由系統設定第三層交換器之 ACL(Access Control Lists)，限定此動態 IP 位址之連線範圍，如 IP 位址申請網頁或部份開放的網站，當連線到 IP 位址申請網頁後，可用學校的 E-mail 的帳號密碼做身份確認，再填寫網路卡 MAC 位址，系統會將 MAC 位址寫入 DHCP 伺服器，保留 IP 位址(圖 8)，並將 IP 及 MAC 位址寫入第三層網路交換器中，並開放第三交換器之 ACL 控制。當使用者上網時，系統會檢查使用者之 MAC 住址是否已經註冊，並依照使用者之身份給予不同的流線權利，利用第三層交換器的 ACL 功能，依照不同使用者之身份權限，給予不同之網路連線範圍及流量配額(Quota)。(圖 9) 圖 8、本校採用的架構申請流程圖本校校園網路對外是透過 Foundry 連至 TANET 骨幹，校內則是由兩台第三層交換器 (Black Dimond)將校園內的網路分成兩部份，校內學生宿網是接在兩台 Cisco 3550 第三層交換器之下(圖 10)，裝設此系統時無須添購任何硬體設備及更動網路架構。

(5)

圖 9、本校架構上網流程圖圖 10、本校網路架構圖

4. 系統功能

此系統包含了過去兩大類產品的優點，不但架構簡單管理功能十分強大，也能夠解決大部份過去所難以克服的問題，當網路設備發生固障時只需要更換設備，也不須要因網路設備的廠牌或型號再去做額外的設定，當此系統應用在宿舍網路時，也不須再去建立房號與埠號的對應表，而當認證伺服器發生當機時，僅影響到尚未註冊的使用者的註冊功能，而不會去影響到已註冊的使用者所享有的權利，並針對網路流量有良好的處理方式。

4.1 身份認証及 IP 位址管理

系統認証方式可提供 E-mail、Radius 以及 Database 三種方式，系統會依使用者身份權限，由 DHCP 伺服器自動給予保留之 IP 位址，並給予不同網路連線範圖及流量配額，若未通過身份認証或無法通過認証，DHCP 伺服器發給一組動態 IP 位址，此 IP 位址連線範圍受到網路管理者控制(圖 11)。

4.2 流量配額管理

能夠依使用者身份(學生或教職員)、權限及用途給予不同的流量配額(Quota)限制或是不受流量限制，配額可依時段來計量，當使用者使用超過配額的流量時，系統以 Email 告知使用者，並且將該使用者的 IP 位址之連線範圍加以限制，同時記錄於資料庫中。(圖 12) 圖 11、申請畫面圖 12、流量配額設定畫面

4.3 網路異常防治

當網路發生異常時系統會依異常的狀況做出即時的回應，並對於目前已知攻擊型病毒(NIMDA、 Code red 等)進行偵測，當超出警示值時，系統能夠有效的做出即時的警告並以 Email 告知管理者，超出設定上限值時能夠做出即時的阻斷，避免影響到其它使用者。（圖 13）圖 13、設定病毒警示

(6)

5. 結論

本校所採用的系統，較傳統宿網管理系統在架構上更為簡單，且能在不更換原有網路設備的前提下，能夠將此系統擴充至全校各單位之網路管理，並可依不同使用者之身份權限，動態調整網路連線的範圍及流量限制。在使用此系統後可減少網路管理人員的工作負荷，並能有效的確認身份、迅速排除異常情形及即時阻斷已知病毒的攻擊，能更有效率的處理宿舍網路管理問題，此系統目前已應用在本校學生宿舍網路上，並計劃推展至行政單位及教學單位使用。

參考文獻

[1]CeLAN, http://www.celan.com [2]Fortinet,http://www.fortinet.com [3]Vernier Networks, Inc.

http://www.verniernetworks.com [4]資策會，2002，學術網路 TANET 用戶數成長情況, http://www.find.org.tw/0105/howmany/ima ges/2002051406.jpg [5]包蒼龍、胡中強、蔡懷中、黃郁娟。2002 即時自動化宿網管理系統。tanet2002。大同大學。 [6]楊志強、蘇俊憲、孫學智，2002，宿舍網路管理系統之建置，tanet2002，大葉大學。 [7]陳通福，2001，改善網路管理品質資訊系統之建構－以宿舍網路為例，元智大學資訊管理學系碩士論文。 [8]張來喜，2000，宿舍網路管理，tanet2000，中華電信 [9]承暘科技股份有限公司, http://www.beamtec.com.tw [10]中山大學網推會, http://www.cdpa.nsysu.edu.tw [11]豪勉科技,http://www.hauman.com.tw [12]威播科技股份有限公司, http://www.broadweb.com.tw

新世紀宿舍網路管理系統