Access Control Lists 於校園網路管理之應用
楊國棟
趙志宏
國立高雄大學圖書資訊館
E-mail:{kdyang, wilson}@nuk.edu.tw
摘要
在網路服務日益普及的校園中,校園宿舍網 路的濫用,導致網路頻寬的壅塞 ,常是網路管理 人員最為頭痛的問題。本文介紹以 PHP、Perl 為系 統開發工具, MySql 為資料庫,利用 Cisco 的 Access Control Lists (ACLs) 功能為管理媒介,建 置一套節省管理人力、有效遏阻非法使用者濫用 網路資源之宿舍網路管理系統,落實校園網路資 源能公平合理的被有效利 用。本文中以圖文描述 系統之原理架構、系統特 色、功能及後續可應用 之範圍,作為網管人員開發及建置相關系統之參 考。 關鍵詞:PHP,Perl,MySql,Cisco,ACLs1.前言
由於資訊科技的進步,電腦設備的普及與網 路頻寬的提升。國內大專院校學生使用網路的比 率,近年來皆以十分驚人的速度成長。更有數據 顯示,超過九成的學生擁有個人的電腦 ,以本校 的統計數字 ,一千零六十四床的宿舍中 ,每學期 平均有九百六十八部個人電腦登錄上網。 宿舍網路最常出現的問題有下列幾項 : 1. 使用續傳軟體大量下載資料,嚴重違反 學術研究之目的。 2. 被植入後門程式或遭受病毒感染而不 自知,不斷送出大量封包,塞爆宿舍網 路頻寬,影響宿網甚至校園骨幹網路的 正常運作。 3. 合法使用者 IP Address 遭非法使用者盜 用,導致合法使用者無法正常上網,破 壞網路使用規則。 如何有效的管理與分配校園網路資源,使有 限的網路資源能獲得公平而合理的運用 ,是身為 網路管理者責無旁貸的責任。若能經由簡便的管 理系統,達到有效的管理 ,想必是網路管理者最 期望達到的目標。2.系統簡介
我們以 Cisco IOS 中提供的 Access control lists(ACLs )功能為管理工具。將宿網的 IP Address 與使用者的 MAC Address 相互搭配,達成 IP 與 MAC 需同時對應方能上網之目標,有效遏阻盜用 IP 之違法行徑。同時,利用排程的機制,每日定 期將違反流量之 IP 及應複權之 IP 給予 deny 或 permit,對於時常超量使用網路的使用者或遭電腦 病毒感染的電腦防制具有十分良好的管理功效。
3.系統特色
3.1 建置成本低
n 硬體的建置視現況調整或添購,不需增 加太多之硬體。 n 伺服器作業系統與資料庫的選擇,採用 免費軟體的方式,不需額外付費。3.2 維護成本低
n 因所有軟體採非 Windows 相關產品, 減少病毒破壞之機會,相對的所需維護 之成本就降低。3.3 程式碼簡單易懂
開發程式採用 PHP 程式語言,與 ASP 程式語 法相似。略具程式基礎者皆可輕易上手維護。4.架構及原理
宿網管理系統之架構採用單一伺服主機控 制宿舍 Router(一台或以上)之 ACLs 設定為基本 架構,其架構圖如圖 1 所示。伺服主機以 FreeBSD+ Apache 為系統工作環境,PHP+MySql 為管理開發 工具,Perl 為控制 Router 的關鍵介面。 每學期初,管理者需將申請核准之住宿名單 資料轉入系統中,作為使用者認證登錄之依據。 使用者於登錄系統後,輸入基本資料 、IP 資料及 MAC 資料。系統先經過 IP 及 MAC 資料之初步認 證後儲存。同時,呼叫 Perl 的程式 ,將剛登錄之 IP 及 MAC 資料寫到 Router 上,即可達到立即開 通之功能。 每日系統會定時執行停 、複權的 Perl 程式。 該程式將管理者所輸入違規停權之資料 ,依據先 複權後停權之順序,分別對 Router 進行 Permit 及 Deny 的動作,達到自動停、複權的管理功能。程 式流程如圖 2 所示。 登陸宿網管裡系統 Internet 新使用者 停權使用者 一般使用者 選擇IP,輸入MAC 停權IP輸入 住宿資料轉入 每日定時 Deny、Permit IP 立即 Permit IP 管理者 IP 被 deny 圖1 宿網架構示意圖 宿網管理系統之基本原理是利用 Router上之 ACLs 功能加以應用 ,其動作示意圖如圖 3 所示。 Router 針對每一個流入的封包,先行檢測欲流出之 Interface , 是 否 有 設 定 Access List? 沒 設 定 的 Interface 則直接將封包送到 Outbound。反之,根 據所設定 Access List 規則,對該封包進行 Permit或 Deny 的動作。 開始 連結資料庫 選取欲 Permit記錄的 IP 與MAC 連結 Router Permit IP 與MAC 關閉連結 結束 開始 複權處理 選取欲複權記錄的IP 連結 Router Permit IP 關閉連結 結束 停權處理 結束 複權處理 連結資料庫 選取欲停權記錄的IP 連 結Router Deny IP 關閉連結 結束 停權處理 連結資料庫 Permit IP 流程圖 停、複權流程圖 圖2 流程圖 Inbound Interface Packets Routing Table Entry ? Choose Outbound Interface Access List ? T e s t Access List Statements Permit ? N Y N N Y Y Packet Discard Bucket Outbound Interface Discard Packet
Outbound ACL Operation
圖3 ACLs 動作原理
5.系統功能
宿網管理系統之功能分為使用者與管理者 介面兩方面來說明:5.1 使用者功能介面
n 登錄說明 系 統 提 供 簡 易 之 操 作 說 明 及 如 何 取 得 MAC Address 的說明畫面於首頁,使用者於登 錄前瀏覽登錄說明有助於其完成登錄作業。 n 使用者身份辨認(系統登入) 系統會依據使用者所輸入之帳號、密碼先 判斷該帳號、密碼是否存在。接著判斷是否已 登錄過。通過上述兩項身份認證後方可進行登 錄。圖4 宿網登錄畫面 n 住宿查詢 使用者可於系統提供之住宿查詢選項,查 詢到當學年學期之住宿資料。 n IP 查詢 使用者可使用多條件式的查詢畫面輸入 查詢條件,系統會依使用者輸入之條件,將宿 舍房間所分配的 IP Address 及該 IP 其使用之狀 況資料顯示出來。 n 停權查詢 使用者可利用系統提供之查詢畫面,查詢 某停權 IP Address 之停權起始日期及複權日 期。。 n 宿網登錄 使用者通過認證後即進入宿網登錄的畫 面。使用者需鍵入 MAC、IP 等相關資料後 。 系統先經過初步的認證,確認使用者所輸入之 MAC 並沒有其他使用者使用。完成初步認證 之後,系統將使用者所輸入之 資料儲存於資料 庫。同時將該使用者輸入之 MAC 與 IP 利用 Perl 程式寫到 Router 上,並 Permit 該 IP 完成 宿網之登錄。 圖5 MAC 資料登錄畫面
5.2 管理者功能介面
n MAC 查詢 管理者可依據不同的查詢條件,例如姓 名、學號、IP、MAC、寢室等進行查詢,查詢 的結果顯示目前使用者的詳細登錄資料。若是 MAC 資料有異動時 ,例 如 換 電 腦 或 是 換 網 卡,亦可使用刪除功能將舊資料刪除,系統同 時將 Router 上所設定之資料刪除並更改 IP 狀 態。使用者即可另行登錄新資料。 圖6 MAC 資料查詢畫面 n IP 狀態查詢 可依照管理者所設定的查詢條件,查詢目 前所有 IP 的使用狀況 。 n 住宿資料維護 管理者可於管理者介面上異動住宿生資 資料。對於住宿生互換寢室、住宿生資料異動 可提供方便之管理介面。 圖7 住宿資料查詢畫面 n 住宿資料新增 管理者可隨時新增新的住宿生資料。對住 宿異動頻繁的開學初期是相當方便的作法。 n 停權作業管理者依據各 IP 每日進出校園流量,對 於流量違反規定者,設定停權起始日及停權天 數 。 目 前 本 校 是 以 當 日 進 出 本 校 流 量 超 過 2GBytes 停權三天,超過 5GBytes 停權七天 , 當月停權達三次者則停權一個月作為管理之 規範。 圖8 停權設定畫面 n 停權資料維護 管理者可依條件查詢停權資料並可針對 該資料加以修改。 n 數據分析 系統依據 IP 之使用狀況,圖形化的顯示 於畫面上。 圖9 數據分析畫面
6.應用
宿網管理系統之基本原理,是以資料庫之資 料狀態改變來控制網路設備之設定。由上述之基 本原理亦可進而發展出去控制更多網路設備或伺 服器設定之想法。因此,凡屬大量之資料維護、 每日、每週、每月例行性之定期設定等工作 ,皆 可考慮將其系統化、自動化。以本校為例,目前 上線測試中之系統有全校 IP 管理系統,已上線之 系統有教職員電子郵件帳號管理系統,皆是利用 資料庫搭配 Telnet 網路設備或伺服器之功能達到 管理之目的。7.效益
本校宿網建置完成至今已達第四年,使用宿 網管理系統亦已有兩年的時間。期間經過數次修 正改版後,方達到目前 IP 與 MAC 可同時設定的 基本目標。圖 9 表示使用宿網管理系統前後,對 於 宿 舍 網 路 所 投 入 之 維護 人力與工讀人力之分 析,可以明顯看出在使用宿舍網路管理系統之前 後,其人力降低之效益,主要歸功於自動化的管 理系統有效地遏止使用者濫用網路資源及盜用 IP 等之行為,減少時間在稽查上述破壞網路秩序之 行為。因此制定一套合時合宜的管理規範,並輔 以一套合用的管理系統,對於學 校在解決宿舍網 路所面臨的問題,有很大的幫助 。不止解決了管 理人力不足的問題 ,亦提升宿舍網路使用的公平 性。 0 1 2 3 4 5 維護人力 工讀人力 使用前 使用後 圖1 0 效益分析表參考文獻
[1] Cisco Systems,”Interconnecting Cisco Network Devices Version 2.1 Student Guide”,2003
[2] 吳 弘 凱 , 鄧 文 淵 ,“PHP4 網 頁 程 式 語 言 MySQL 資料庫快速入門 ”,2001
