1、学生机房网络管理方法浅析蒋丰学生机房如何很好的控制网络使用一直是众多信息技术教师探索和需要解决的问题。在来到石化一中半年来的教学经历和与各位资深教师学习交流中,我学到了不少实践东西,加上查看各种资料文献,总结出一些机房网络管理控制的方法,以与大家交流学习:一、物理法:拨网线控制学生上网如果有些机房没有任何服务器或者代理设置,学生机只是简单的通过交换机与外网相连的话,不想让学生在教师讲课的时候上网,最简单的方法当然是:将连结 Internet 的网线拨出。当然任何配置的机房都可以通过拔掉网线阻止上网,但是这种方法毫无技术性可言,且久而久之,就容易导致接口接触不良,造成硬件故障,因此只能在不得已时
2、才可为之。二、服务器法:使用 Windows 2000/2003 server“路由和远程访问“ 共享控制学生上网使用这种方法,当然需要一台安装了 Windows 2000/2003 server 的服务器,可以是单独的一台电脑作为服务器,也可以用教师机兼职服务器(建议用单独一台电脑做服务器) 。服务器设置:1、在服务器上安装双网卡,一个连接内网(与学生机在同一网段),一个连接外网并且都配置好ip 地址、网关及 DNS。下图是我机房设置:(供参考)2、在进行路由和远程访问设置之前,首先单击开始管理工具-服务,找到“internet 防火墙和internet 链接服务 ”,将其停用,并把启动类型
3、设置为禁用(如下图):3、找到管理工具里的“路由和远程访问”然后打开它。按下列操作步骤设置:(1)在“路由和远程访问”控制台中,用鼠标右键单击服务器,从弹出的快捷菜单中选择“配置并启用路由和远程访问”选项,打开“路由和远程访问服务器安装向导”对话框。(2)在路由和远程访问服务器安装向导中,选择用于“网络地址转换(NAT)”的选项,然后单击下一步,在使用此公共接口连接到 internet 选项下选择“外连接”,下一步直到完成配置。(3)接下来我们在“路由和远程访问”控制台中鼠标单击服务器前面加号,展开选项,在展开“IP 路由选择”选项,右击 “NAT/基本防火墙”选择属性,再选择“名称解析”标签
4、,选中“使用域名系统(DNS)的客户端”然后单击确定,至此服务器端所有配置完成,如果学生机已经配置好,那么学生机就可以通过服务器上网了。学生机器配置:将所有学生机器 IP 地址设置和服务器内网 IP 地址在同一网段,网关和 DNS 都设为服务器内网 IP 地址即可。此种方法,当需要学生机器上网时,在服务器上对管理工具里的“路由和远程访问”进行如上设置即可。当需要断开网络时,只需要在以上第三步第 1 小步选择禁止“路由和远程访问”即可。此时服务器任然可以上网,因为它还属于另一个网段。不过此种方法,在学生机联网时,会影响部分电子教室软件使用功能。例如,对极域电子教室的广播教学就有影响。三、交换机、
5、路由器管理法:如果所使用的交换机是可管理的,那么就可以通过控制交换机的连接端口,实时打开或关闭网络连接来控制学生的上网行为。目前的交换机一般都支持 Web 方式管理,只要在 IE 地址栏输入交换机的 IP 地址,就登录到交换机,验证身份后会出现管理界面,再点击学生机房的级联端口以进入该端口的信息界面,把“state”状态设置为“Disable”即可。为了能使教师机在学生机被关闭上网功能后能继续上网,必须将网络连接的方式改造成如下图的形式。这样,只要交换机 1 和交换机 2 有一个是可管理的,就可以把它们的级联端口关掉,限制整个教室的上网。如果需要个别控制的话,则需交换机 1 必须是可管理的。通
6、过路由器来控制的方法与此相似。通过交换机或路由器能够在不增加软件的情况下实现对机房内学生上网的灵活控制:可以对网络教室中的学生机进行整体控制,也可以单独控制教室里的每一台计算机的连接状态。缺点是:(1)交换机必须是可管理的,这就需要增加一笔费用;(2)控制端口会影响学生机的相互访问;(3)这种管理方法的权限只有网络中心的管理教师才有,绝大部分任课教师不具有这种权限。因此管理还是无法落到实处。四、DNS 法:大家知道,当我们向 IE 浏览器输入类似 http:/ 的网址(域名)时,IE 必须首先在网络上找到一台可以把这个地址解析成 IP 地址的计算机,即 DNS 服务器,如果没有找到,则无法通过
7、网站的域名来访问互联网。而对某个网站访问,就是通过输入网站域名来实现的。因此,只要控制了网络中的 DNS 服务器,就相当于控制了通向互联网之门的道路。分析一下网络机房的结构,通常的做法是:在每个网络机房设置一台教师机,接上大屏幕投影仪,或安上网络教学软件,作为教师的指导用机,同时存放教学所用的素材及学生作业等文件。其实,就象教师的职责是“既教书又育人”一样,教师机也完全可以承担起管理学生机的职责,不妨让它来承担 DNS 转发的功能。这时如果教师机上安装的是 Windows98 的话,就需要安装如WinRout 之类的具有 DNS 转发功能的软件,还需要在每一台学生机中设置 DNS 为教师机的
8、IP 地址。如果是教师机上安装的是 WIN2000,则需要安装设置其“DNS client”服务。这种方法操作比较简单,不需要专门的网络管理知识,也不会影响到整个网络,各个网络教室之间可以完全分开,进行独立管理。当教师需要学生上网的时候,可以方便地“打开”互联网;当教师不希望学生上网的时候,又可以方便地”关掉”互联网。这种方法的优点是:简便、灵活、易行,效果较好。此方法的缺点是:对网络较为精通的学生可以通过改变学生机的 DNS 服务器地址,绕过教师机的控制;并且很快就会在学生中一传十,十传百,而造成“地球人都知道”的结果,因而也就失去了应有的效果。不过,此种方法如果再配上硬盘保护卡,那么对中小
9、学的机房来讲,还是比较适用的。五、网关法:网关是局域网内外结合的必经之路,只要切断学生机和网关的通信,就能关闭学生上网的大门。“网络剪刀手(NetCut)”就是这样一款功能强大的软件,它可以切断局域网内任何一台主机与网关之间的通信,不论是在交换环境还是普通环境。在教师机上运行 Netcut,NetCut 会自动检测出局域网内正在使用的 IP 地址,以及所对应的用户名和 MAC 地址;教师可选中想断开的学生机 IP(如果要进行多选,请按住 shift 键);点击“剪断”后,相应的学生机就不能上网了,如果想恢复该连接,选中学生机后点击”恢复”即可。如果只要求对学生机是否能上网进行控制的话,网络剪刀
10、手(NetCut)是个非常简单有效的软件:哪台机器可以上网,哪台机器不能上网,一目了然;教师对学生机既可以全部控制,也可以单独控制;在学生无法逃避管理的同时也不会影响在网上邻居中的操作。缺点是:网络剪刀手其实就是调用了比 TCP/IP 协议更低层的 ARP 协议,采用类似欺骗的方法制造虚假信息攻击网关,从而控制网络。网上有很多破解方法,学生一旦知道也可以很快破解。更可怕的是,由于教师机与学生机的地位是对等的,一旦学生机上也安装了这样的软件,那么反过来学生也可以控制教师机是否能上网了。六、代理服务器软件法这种代理服务器软件很多,例如常用的有:SyGate、WinGate、Proxy 等等,这种方
11、法也是众多中学机房理想的网络控制采用的方法。其中本人认为 SyGate 比较好用,效果很好,SyGate 可以对网络机房进行灵活、高效的管理方法,能够基本实现:1) 封杀不良信息。封杀色情、邪教、暴力、毒品、反动言论等对学生危害性极大的信息。2) 限制敏感信息。教师可根据学生具体情况,通过有选择设定安全策略的方式,限制学生对聊天、游戏、交友、虚拟社区等网站的访问。3) 畅通“绿色”信息 。可以让学生自由访问网上的教学、艺术、音乐等内容健康的信息。4) 高级访问控制。教师可以控制对 FTP、ICQ/OICQ、NEWGROUP 的访问。5) 对不同用户的灵活管理。教师可以根据具体情况,针对不同的学
12、生设定多种不同的安全策略。如:对于某个网站,教师可以控制让 A 学生可以访问,而 B 学生则不能访问。6) 上网时段的控制。教师可以通过设置限定电脑上网时间,保证学生正常学习时间。以下 SyGate 的实现的步骤:(一)设置代理服务器与学生机工作站1 服务器(教师机)的设置让教师机充当代理服务器,需要给教师机一个静态的 IP 地址;然后,在教师机上运行 SyGate的安装文件,选择 server 方式进行安装,默认教师机 IP 为 192.168.0.1(可更改);输入软件注册码;其它则选择默认的安装方式。2工作站(学生机)的设置设定作为客户端的学生机的 IP 地址与教师机的 IP 地址同一子
13、网,为方便管理逐一设定学生机的 IP 地址为:192.168.0.x(如:x 从 2 开始每台依次有序地增加 1)的形式;设置学生机中网关 IP地址为教师机 IP 地址,同时把学生机的 DNS 值其中之一设为教师机的 IP 地址 192.168.0.1。3上网测试使用 Ping 命令来测试学生机是否已连入 Internet 或直接打开浏览器查看网页即可测试是否连通。(二)SyGate 对学生机的管理应用启动了 SyGate 后,一般将出现如图 4 的管理界面,如果单击“高级”按钮,则将打开高级管理界面。教师可以设置自已的 SyGate 网络,控制网络安全,管理对 Internet 的访问。1
14、对学生上网进行简单管理只要控制教师机中 SyGate 的“开始/停止”,即可实现对全体学生机进行“能”、“否”上网的简单管理。2 指定“允许/不允许”上网的学生机对“允许/不允许”上网的学生机的管理可以利用 SyGate 的“黑/白名单”来进行的。在Sygate 的高级管理界面中,单击工具栏中的“权限”,弹出的“权限编辑器”对话框,即所谓的“Black List (黑名单)”与“White List(白名单)”。“黑名单(Black List)”与“白名单(White List)”的设置界面是一样的,只不过作用是相反的。“黑/白名单”中的“内在的 IP(Internal IP)”是用来规定“禁
15、止/允许”局域网内的某些计算机对互联网访问。把允许上网的学生机的内部 IP 地址逐一地添加到“白名单”中,并激活“白名单”,即可让所有在“白名单”中的所有学生机上网,而其它的机器则一律被禁止。同样,当激活“黑名单”时,局域网内的所有添加到“黑名单”中的学生机都被限制了对互联网的访问权限。3 限定学生“允许/禁止”访问的网站“黑/白名单”设置栏中的“外部的 IP(External IP)”是用来设置局域网内的学生机“允许/禁止”访问的互联网网站的 IP 地址的。“外部的 IP 地址”在如图 7 所示的内网 IP 地址部分输入。4SyGate 对聊天软件的管理对学生机聊天功能的控制也是通过设置 S
16、yGate 的“黑/白名单”进行的。在图 7 中我们可以看到,SyGate 还包括对协议的控制,我们可以在“黑名单”中加入“UDP”协议,并激活“黑名单”,则相应的学生机就不能聊天了;如果把“UDP”协议加入到“白名单”中并激活,则在相应的学生机上就可以上 QQ 了。写在最后:无论管理的技术多么先进,总会有它的漏洞和不足之处,总会有破解它的方法,也总会有过时的时候。期望用一种技术来一劳永逸地管理,那是一种愚蠢的想法。作为一名信息技术教师,要把管理和教学工作做好,唯一的方法只有不断地学习,虚心学习他人的长处,肯于钻研。现在的书刊杂志上提供了许多高水平的文章,能及时了解计算机发展的信息,新产品的更新情况与新增功能,从中我们可分析他人解决问题的思路和一般性的技术原理及问题解答,只有注意平时的积累,才可以做到举一反三、化繁为简、触类旁通。此外,只有加强对学生的思想政治工作,全面提高学生的素质,使他们自觉筑起思想、灵魂上的“钢铁长城”,才能从根本上抵御各种有害信息的侵蚀。这才是我们每一个教育工作者需要花大力气去做的事,需要我们不懈的努力。
