沈　衛(wèi)

項(xiàng)目背景

一、流量控制

流量控制是控制用于防止在端口阻塞的情況下丟幀,這種方法是當(dāng)發(fā)送或接收緩沖區(qū)開始溢出時(shí),通過(guò)將阻塞信號(hào)發(fā)送回源地址實(shí)現(xiàn)的。流控軟件可以有效地防止由于網(wǎng)絡(luò)中瞬間的大量數(shù)據(jù)對(duì)網(wǎng)絡(luò)帶來(lái)的沖擊,保證用戶網(wǎng)絡(luò)高效而穩(wěn)定地運(yùn)行。

一般有兩種控制流量的方式:一種是在半雙工方式下,流量控制是通過(guò)反向壓力,即我們通常說(shuō)的背壓計(jì)數(shù)實(shí)現(xiàn)的,這種計(jì)數(shù)是通過(guò)向發(fā)送源發(fā)送jamming信號(hào)使得信息源降低發(fā)送速度;另一種是在全雙工方式下,流量控制一般遵循IEEE 802.3X標(biāo)準(zhǔn),是由交換機(jī)向信息源發(fā)送“pause”幀,令其暫停發(fā)送。

有的交換機(jī)的流量控制會(huì)阻塞整個(gè)lan的輸入,這樣大大降低了網(wǎng)絡(luò)性能;高性能的交換機(jī)僅僅阻塞向交換機(jī)擁塞端口輸入幀的端口。采用流量控制,使傳送和接受節(jié)點(diǎn)間數(shù)據(jù)流量得到控制,可以防止數(shù)據(jù)包丟失。

二、硬件流控和軟件流控

硬件流控可簡(jiǎn)稱硬流控,一般是由企業(yè)設(shè)計(jì)生產(chǎn)的完整硬件和獨(dú)立開發(fā)軟件構(gòu)成的網(wǎng)絡(luò)設(shè)備。例如:Ascenflow、packeteer、Ace net、金御、sungate、深信服等。軟流控是一種軟件,是基于某種操作系統(tǒng)下的流控軟件,有時(shí)也會(huì)集成網(wǎng)關(guān)、vpn等功能。例如:Windows下的p2p終結(jié)者、p2pover、skiller等;linux下ros、panabit、monowall、海蜘蛛、Coyote、SmoothWall等。

三、“軟路由軟流控硬件化”

考慮到價(jià)格因素,硬流控逐步被“軟路由軟流控硬件”所取代。拋開硬流控的軟件、穩(wěn)定性和服務(wù)性,其實(shí),硬流控的硬件構(gòu)成是比較簡(jiǎn)陋的。就像思科一樣,它的每個(gè)路由價(jià)格昂貴,但是賣的不是硬件的錢,而是協(xié)議和軟件。所以,就出現(xiàn)了硬件自制、軟件自制的“軟路由軟流控硬件”。即用pc、server或者類似專業(yè)設(shè)備做流控的硬件,用自制的軟件做流控的系統(tǒng),從而達(dá)到用很少的價(jià)格,實(shí)現(xiàn)價(jià)值數(shù)十萬(wàn)的設(shè)備的相似功能。

項(xiàng)目?jī)?nèi)因

類似monowall等都是基于開放源代碼的免費(fèi)防火墻軟件,技術(shù)成熟,性能卓越,功能完善,堪比3萬(wàn)以下的硬件防火墻,在實(shí)驗(yàn)學(xué)校的使用中取得了良好的應(yīng)用效果。

項(xiàng)目外因

目前,南京市中小學(xué)校園網(wǎng)大多采用普通路由器下接普通交換機(jī)的網(wǎng)絡(luò)模式,路由器僅僅實(shí)現(xiàn)了網(wǎng)絡(luò)接入功能,這無(wú)疑增大了校園網(wǎng)的管理人員的工作量,一方面為了保證網(wǎng)絡(luò)通暢要對(duì)網(wǎng)內(nèi)的計(jì)算機(jī)進(jìn)行殺毒,另一方面又要督促各校園網(wǎng)接入用戶進(jìn)行上網(wǎng)登記,功能不完善。

通過(guò)軟路由軟流控硬件實(shí)現(xiàn)nat,保障學(xué)校網(wǎng)站及網(wǎng)絡(luò)的安全,限制上網(wǎng)用戶的下載流量,綁定上網(wǎng)用戶的mac地址,防止arp病毒,以保證網(wǎng)絡(luò)通暢,同時(shí)在軟路由軟流控硬件上開通入網(wǎng)認(rèn)證功能,給所有上網(wǎng)人員分配入網(wǎng)賬號(hào)和密碼,進(jìn)行實(shí)名制上網(wǎng)。另外,在安裝網(wǎng)絡(luò)監(jiān)控軟件的計(jì)算機(jī)上安裝日志接收軟件,記錄軟路由軟流控硬件上的入網(wǎng)賬號(hào)情況,代替上網(wǎng)登記冊(cè),作為上網(wǎng)登記憑證。

項(xiàng)目成本

企業(yè)已經(jīng)定制好硬流控(普教)的價(jià)位,一般低端1萬(wàn)多,中端3萬(wàn)多,高端5萬(wàn)多。

在網(wǎng)絡(luò)應(yīng)用達(dá)到一定高度后,必然產(chǎn)生流控需求,需要流控硬件的采購(gòu)。要想在全市配齊流控設(shè)備,需求的資金量就相當(dāng)高。而軟路由軟流控硬件成本為網(wǎng)上采購(gòu)硬件、軟件二次開發(fā)成本,以及軟件培訓(xùn)、硬件安裝、質(zhì)保、維護(hù)成本之和,每臺(tái)小于1 500元。

項(xiàng)目解析

一、軟路由軟流控軟件

軟路由軟流控是目前比較流行的基于FreeBSD下開放性架構(gòu)的自由軟件體系。例如海蜘蛛、smoothwall、minifw、m0n0wall、panabit、ROS等免費(fèi)軟件基礎(chǔ)上再漢化、二次開發(fā)、模塊插件開發(fā)使其符合南京普教網(wǎng)絡(luò)應(yīng)用的需求。

在項(xiàng)目過(guò)程中,我們發(fā)現(xiàn)monowall最適宜開發(fā)和推廣應(yīng)用。目前,南京市軟件工作室一直在從事培訓(xùn)、漢化、二次開發(fā)、模塊插件開發(fā)等項(xiàng)目推進(jìn)工作。monowall是一個(gè)完整的、嵌入式的防火墻軟件包計(jì)劃,該軟件包可以安裝于一臺(tái)嵌入式PC,提供具備商業(yè)防火墻所有重要特性(包括易用性),但價(jià)格只有商業(yè)防火墻的幾分之一(自由軟件)。monowall基于FreeBSD的精簡(jiǎn)版本,包括一個(gè)Web服務(wù)器(mini_httpd),PHP以及其他一些工具。整個(gè)系統(tǒng)配置被存放在一個(gè)XML文件中,條理清晰。

我們推測(cè),monowall在啟動(dòng)的時(shí)候使用PHP配置的第一個(gè)UNIX系統(tǒng),這種結(jié)構(gòu)勝于shell腳本,并且整個(gè)系統(tǒng)配置被存放在XML格式中。

二、“軟路由軟流控硬件”種類介紹

“軟路由軟流控硬件”一般分為基于普通PC架構(gòu)、基于服務(wù)器架構(gòu)、基于低廉流控改制三種架構(gòu)方式。其中普通PC價(jià)格低廉,如果采用老舊PC,成本更低。但是,其性能不強(qiáng)、穩(wěn)定性較差、空間占用和耗電量較大;服務(wù)器建議采用機(jī)架式,這樣性能比較好,穩(wěn)定性較強(qiáng),但是性價(jià)比不高、能耗較大;低廉流控改制能耗低、穩(wěn)定性高,改制卻較困難。此外,還有一種全新定制的工控機(jī)箱構(gòu)建,價(jià)格略高,能耗較差、性價(jià)比較低、但是DIY方便、性能較強(qiáng)。

三、“軟路由軟流控硬件”三種模式

教育系統(tǒng)資金緊缺,而他們對(duì)于流量控制、行為管理需求卻日益增大的情況,定制了一些“軟路由軟流控硬件”,價(jià)格低廉、性能穩(wěn)定。這些“軟路由軟流控硬件”都是利用一些舊設(shè)備或者定制工控機(jī)箱加一些較成熟軟流控構(gòu)成。主要有以下三種模式:

1.服務(wù)器模式(二手1U 服務(wù)器的改制):硬件是1U的機(jī)架式短款服務(wù)器更換電子硬盤,系統(tǒng)可定制。(圖1)

2.專業(yè)級(jí)模式(二手1U流控的改制):硬件是專業(yè)級(jí)別二手1U流控、防火設(shè)備,系統(tǒng)可定制為Routeros、monowall、Panabit。(圖2)

3.工控機(jī)模式(全新定制工控機(jī)箱):硬件可全新定制,可使用全套服務(wù)器硬件,系統(tǒng)可定制。(圖3)

四、建議

硬件選擇需要考慮的因素主要有:價(jià)格(工控機(jī)模式最貴、服務(wù)器模式最便宜);尺寸(都是1U上架);性能(工控機(jī)模式最強(qiáng)、專業(yè)級(jí)模式最弱);穩(wěn)定(專業(yè)級(jí)模式最穩(wěn)定、工控機(jī)模式最差);易用(服務(wù)器模式最好、專業(yè)級(jí)模式最難);能耗(專業(yè)級(jí)模式最小、工控機(jī)模式最大)。

軟件方面則有多種流控軟件可供選擇,如海蜘蛛、monowall、Ros、smoothwall是軟路由加流控加防火的整合;panabit更多側(cè)重流控。海蜘蛛易用性最高、monowall和Ros功能最強(qiáng)可玩性最多、smoothwall成名很早國(guó)外用戶很多、panabit免費(fèi)且不斷更新,其中,monowall有很多插件和模塊可以組合,例如panabit。Ros有便捷的工作時(shí)間設(shè)定。Panabit可視性很好,有很好的監(jiān)控統(tǒng)計(jì)功能。

主要功能和特色

以monowall功能舉例:monowall的主要功能和特色

monowall軟路由軟流控硬件主要功能如下:

● WEB 界面(支持 SSL)

● 用于恢復(fù)系統(tǒng)的串口界面

○ 設(shè)置 LAN IP 地址

○ 重置密碼

○ 恢復(fù)初始默認(rèn)設(shè)置

○ 重啟系統(tǒng)

● 無(wú)線支持(access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)

● 上網(wǎng)認(rèn)證(captive portal)

● 支持 802.1Q VLAN

● 基于狀態(tài)的包過(guò)濾

○ block/pass 規(guī)則

○ 日志

● NAT/PAT(包括 1:1)

● 在WAN口上支持 DHCP 客戶、PPPoE、PPTP 和 Telstra BigPond Cable

● IPsec VPN 隧道(IKE; 支持硬件加密卡,移動(dòng)客戶和證書)

● PPTP VPN (支持 RADIUS 服務(wù)器)

● 靜態(tài)路由

● DHCP 服務(wù)器與中繼

● 緩存DNS轉(zhuǎn)發(fā)器

● 動(dòng)態(tài) DNS 客戶端與RFC 2136 DNS更新器

● SNMP代理

● 流量整形(帶寬限制)

● 基于SVG的流量圖

● 可以通過(guò)WEB界面進(jìn)行固件升級(jí)

● 喚醒 LAN客戶

● 配置文件備份/恢復(fù)

● 主機(jī)/網(wǎng)絡(luò)別名

項(xiàng)目范圍

軟路由軟流控硬件適用于任何中小學(xué)校園網(wǎng)的入口防火墻部署和橋接流控的部署及網(wǎng)段(如機(jī)房)的部署。

軟路由軟流控軟件發(fā)布時(shí)只包含產(chǎn)品、產(chǎn)品配置說(shuō)明書、產(chǎn)品使用說(shuō)明書,不包括硬件設(shè)備。軟路由軟流控硬件需要學(xué)校自己網(wǎng)上采購(gòu)或市區(qū)縣技裝部門集中委托集成商網(wǎng)上采購(gòu),確保質(zhì)量、售后、維護(hù)、培訓(xùn)等后續(xù)事宜。

軟路由軟流控硬件主要面向中小學(xué)、大中專院校等教育行業(yè)客戶。針對(duì)教育行業(yè)專業(yè)網(wǎng)管人員素質(zhì)不齊、經(jīng)費(fèi)緊張等問(wèn)題,軟路由軟流控硬件可以快速部署、災(zāi)難恢復(fù)、低費(fèi)用維護(hù),使用管理非常方便。用戶只要會(huì)上網(wǎng),就能夠通過(guò)webgui管理軟路由軟流控硬件。

項(xiàng)目規(guī)模與發(fā)展趨勢(shì)

市面上有類似m0n0wall的防火墻軟件,但大多安裝麻煩,穩(wěn)定性不足,或者需要高昂的收費(fèi),或者沒有中文版本。

本次項(xiàng)目所使用的產(chǎn)品,所有版本針對(duì)南京教育市場(chǎng)免費(fèi),且終身免費(fèi)升級(jí)。1.235版本已經(jīng)發(fā)布,經(jīng)過(guò)試驗(yàn)學(xué)校的使用,受到用戶好評(píng)。

目前,在該項(xiàng)目實(shí)施過(guò)程中已經(jīng)開辦過(guò)的培訓(xùn)班共計(jì)有12個(gè)班次(白下區(qū)班、市綜合班、高淳縣班、溧水縣班、沿江區(qū)班、鼓樓區(qū)班、玄武區(qū)班、建鄴秦淮區(qū)班、江寧區(qū)班、省級(jí)南京市班、省級(jí)省館班、省級(jí)蘇州班),累計(jì)培訓(xùn)網(wǎng)絡(luò)管理人員人數(shù)達(dá)600多人。即將開辦的培訓(xùn)班,南京市初級(jí)網(wǎng)管培訓(xùn)班還有5個(gè)區(qū)級(jí)班,全省普通高中省級(jí)網(wǎng)管培訓(xùn)班預(yù)計(jì)300多人,全省初中省級(jí)網(wǎng)管培訓(xùn)班預(yù)計(jì)達(dá)2 000人。

南京市教育IT聯(lián)盟網(wǎng)站(http://www.njeit.cn)培訓(xùn)教程欄目提供了大量的軟路由軟流控軟件的培訓(xùn)資料和硬件化搭建方案,技術(shù)知道欄目提供了技術(shù)答疑空間;建立南京教育IT聯(lián)盟超級(jí)QQ群,提供在線技術(shù)交流。

該項(xiàng)目在南京市各試點(diǎn)學(xué)校使用狀況良好,如經(jīng)過(guò)南京市初級(jí)網(wǎng)管培訓(xùn)后,對(duì)學(xué)員進(jìn)行到校評(píng)估考核,“南京市校園網(wǎng)絡(luò)管理基礎(chǔ)性評(píng)估”檢查項(xiàng)目中“主網(wǎng)關(guān)設(shè)備故障時(shí),有備用網(wǎng)關(guān),保證全校外網(wǎng)訪問(wèn)”占一定分值,經(jīng)過(guò)檢查的幾百所學(xué)校都已掌握用學(xué)校舊電腦搭建了軟路由軟流控硬件設(shè)備,確保教學(xué)和實(shí)踐的落實(shí),也保證了項(xiàng)目的推進(jìn)。

下關(guān)區(qū)教師進(jìn)修學(xué)校、下關(guān)區(qū)建寧小學(xué)早在三年前就部署,下關(guān)區(qū)已陸續(xù)部署十幾所學(xué)校。白下區(qū)三中三校區(qū)部署,然后向本區(qū)6所初中校贈(zèng)送6臺(tái)專業(yè)級(jí)軟路由軟流控硬件設(shè)備;白下區(qū)在9月份全面部署剩余學(xué)校,覆蓋面100%。南京市第一中學(xué)、玄武外國(guó)語(yǔ)學(xué)校、南京外國(guó)語(yǔ)學(xué)校、南京市第13中學(xué)等南京市重點(diǎn)學(xué)校也已開始部署軟路由軟流控硬件設(shè)備。另外玄武、高淳、沿江等區(qū)縣也對(duì)此項(xiàng)目給予高度關(guān)注,有條件情況下積極支持項(xiàng)目發(fā)展。

同時(shí)該項(xiàng)目得到南京市技裝和南京市電教館的大力支持,領(lǐng)導(dǎo)們多次到培訓(xùn)現(xiàn)場(chǎng)和參與項(xiàng)目推廣會(huì)議,為該項(xiàng)目良好發(fā)展奠定基礎(chǔ)。

項(xiàng)目發(fā)展目標(biāo)

● M0n0wall v1.235簡(jiǎn)體中文:中文化工作基本完成,可定制插件,主要功能全面實(shí)現(xiàn)

● M0n0wall v1.3b16:中文化工作尚未展開、2009年下半年完成

● 軟路由軟流控軟件能在南京市、江蘇省網(wǎng)管培訓(xùn)中得以推廣

● 軟路由軟流控硬件在南京普教得以快速、高效部署

項(xiàng)目總結(jié)

中小學(xué)校一般資金有限,教師和學(xué)生技術(shù)水平也不高,所以中小學(xué)校沒有能力付出很高的代價(jià)來(lái)建設(shè)、維護(hù)網(wǎng)絡(luò)。軟路由軟流控硬件從功能適度、價(jià)格低廉、穩(wěn)定性、防病毒、防網(wǎng)絡(luò)癱瘓災(zāi)難等方面綜合考慮。同時(shí)提供路由、防火墻、流量管理、網(wǎng)站過(guò)濾、上網(wǎng)行為管理等諸多功能,一機(jī)多用,可靠性更高,投資更節(jié)省。

軟路由軟流控硬件采用全中文圖形操作界面,每個(gè)操作均有說(shuō)明,即使網(wǎng)絡(luò)技術(shù)水平不高的網(wǎng)管也順利操作,并且系統(tǒng)能從各個(gè)方面顯示網(wǎng)絡(luò)運(yùn)行信息,并配有多種網(wǎng)絡(luò)工具,幫助網(wǎng)管人員快速診斷網(wǎng)絡(luò)和排除網(wǎng)路故障。從投資保障看,采用軟件方式,使用期限不會(huì)因硬件損害而停用,只需更換硬件,軟件可以永久使用,長(zhǎng)期免費(fèi)升級(jí),確保用戶路由功能不會(huì)過(guò)時(shí)。

推廣、使用軟路由軟流控硬件可以提高目前中小學(xué)校園網(wǎng)的使用效率,保障網(wǎng)絡(luò)通暢、安全、穩(wěn)定地運(yùn)行?！?/p>

參考網(wǎng)站:

南京教育IT聯(lián)盟http://www.njeit.cn

M0n0wall中國(guó)社區(qū)http://www.m0n0china.org

(作者單位:南京市第三高級(jí)中學(xué)/南京教育軟件工作室)