2011-03-24 20:44:21 来源:中国教育网络
随着数字校园不断深入发展,各高校的校园网发展越来越快,智能化的程度也越来越高,以前的设备、技术、方法不能满足师生的需求,所以加快校园网的智能化发展是未来的趋势,校园网的实名认证又是校园网扩建工程中的重要部分,它能有效支撑校园网的智能化发展。
背景
在没实施实名认证之前,校园网的用户(包括单位用户和家庭用户)上网都是固定的IP地址。但是也可以说是不固定的,因为我们学院把每个部门和每栋家属楼细化了VLAN,在这个VLAN 中一般IP 地址划分给这个VLAN。
所以有的用户知道这种情况后,科室或者家里增加了电脑,就能猜到IP地址,如果和别人的发生了冲突,那么会造成抢网的事件,而且不便于网络中心的工作人员管理网络。对于网络安全也存在很大的隐患,如果用户中毒或者在网上发布影响学校或者国家的帖子,可能找不到本人。
正是由于这些不利的因素,学校准备实施校园网扩建工程的实名认证。
方案介绍
“学院校园网项目”是校园网工程的一部分,包括教师宿舍、教学区、综合楼和老教学区的楼栋汇聚、楼层接入网络交换设备与集成、管理系统和认证计费系统。
项目完成后将为整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面,主干双链路千兆到楼宇汇聚,并保证子网的每个信息点有802.1X认证的交换机端口。同时,还要保证在接入层实现安全控制接入。
实施要求
软件上需要能够提供对学生上网的管理,如用户合法性的验证,IP、MAC的绑定,帐号的分配及管理;日常运营所需要的收费、计费服务;学生自助服务系统和设备管理。
交换机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务,汇聚交换机能够提供VLAN划分和三层交换,接入需要支持802.1X以保证运营的实施。
学院校园网拓扑图如图1。
图1 学院校园网拓扑
网络拓扑说明
出口使用某厂商的RSR50-40路由器作为出口设备与移动网和教育网相连。
核心层采用两台RG-S8606核心交换机,负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT,千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G,同时也可提供接入服务,使用双绞线与接入交换机S2026F互联。
方案实施
首先需要安装SAM 服务器,学院选用的是RG-SAM 2.x企业版,拥有2000用户。
其次是安全管理规划,系统使用W i n d o w s 2 0 0 3 Server+SP2,并在相应网站下载补丁程序升级,并建议客户
预装杀毒程序以保障机器的安全。
同时在交换机上通过ACL做服务器网段和用户网段的隔离,并进行端口过滤,只允许服务器进行所需端口通过。
a) 8080.TCP端口.http访问端口
b) 8443.TCP端口,https访问端口
c) 1812.UDP端口.默认的认证报文接收端口
d) 1813.UDP端口.默认的记帐报文接收端口
e) 1433.TCP端口.SQL SERVER的默认监听端口
f) 1434.UDP端口.SQL SERVER的默认监听端口.
g) 8009.TCP端口.ajp端口
h) 1099.TCP端口.jnp端口
i) 1098.TCP端口.rmi端口
j) 8090.TCP端口.JBossMQ OIL service端口
k) 8092.TCP端口.JBossMQ OIL2 service端口
l) 8093.TCP端口.JBossMQ UIL service端口
m 4444.TCP端口.RMIOBJECTPort
n) 4445.TCP端口.ServerBindPort
o) 1162.UDP端口.JBoss snmp agent端口.
数据库系统规划
安全管理规划:数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4。
数据的备份:
1.SQL Server Agent服务启动,建数据库维护计划实现数据库备份,计划的名字为sambackup。
2.SQL数据的备份采用完全备份方式,备份目录为k:/ backup,备份时间为每天凌晨三点,保留一个月内的完全备份数据。
3.由于RG-SAM的后台数据信息非常重要,需要经常性质地将数据进行备份。
数据的恢复:
在原服务器上完全备份数据到指定的文件(假定为SAMdata060526)
1.手动备份数据库。
2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。
3.删除原数据库中的sam关联。
4.在后台数据库中创建和sam帐号的关联。成功完成后,移到新服务器上,便可在新服务器上启动SAM,注意启动前要将服务器的IP改为原服务器的IP。
SAM 系统规划及设置
用户开户的方式
采用批量导入的方式进行用户开户。
将要开户的用户按一定的格式编辑成相应的文本文件,在管理界面中批量导入进行开户。
1.在开户之前先要定义组,比如说办公的用户就划分为office组,家庭的划分为home组,学生的划分为student组等等,然后把个人的姓名拼音当做用户名,绑定IP地址,最后选择组(请个人账户的格式是用户名+IP地址+组)。
此外,我们为什么没有绑定MAC地址,是因为如果用户电脑换了或者网卡换了就不能上网了,考虑到这原因,我们就没有绑定MAC地址,也是为了便于管理。
2.接入交换机sam系统配置
Switch#config t 进入全局配置层以后,配置以下:
radius-server host 10.6.0.67----------配置认证服务器地址
aaa authentication dot1x-------------开启认证
aaa accounting server 10.6.0.67--------配置记账服务器
aaa accounting--------开启记账
dot1x client-probe enable-------开启户端探测
dot1x probe-timer interval 30--------客户端与服务器交互时间
dot1x probe-timer alive 90---------在线探测时间,即上面时间的三倍,交换机连续三次没收到客户端的交互报文,则认为客户端已下线
dot1x timeout quiet-period 2---------服务器端报文重传间隔
dot1x timeout tx-period 3----------报文重传间隔
no dot1x re-authentication-------关掉重认证
radius-server key znufesam--------配置认证KEY
snmp-server community znufero rw------配置SNMP管理字
interface fastEthernet 0/1 ----------进入端口模式
dot1x port-control auto-------开启端口认证
3.所有用户需要安装客户端,设置在网络中心注册的合法IP地址。打开认证软件就可以看到认证软件的界面。根据在网络中心签的入网协议上的用户名和密码,选择网卡类型(为什么要选择网卡类型,因为有些电脑是二个网卡,软件自己是识别不出来的,所以要选择填了正确IP地址的网卡),点击链接,那么你的电脑就会自动和SAM服务器“握手”,匹配是否合法,如果信息匹配成功,那么就可以正常上网了(这个匹配的时间就1-2秒钟)。
4.部分用户可能觉得这样上网麻烦,那可以在这个用户参数设置里面把“保存密码”,“启动软件后自动认证”,“开机自动运行”这三项前面打勾,那么启动电脑,这个认证的软件就自动认证。
方案实施后的效果
自从校园网实施实名认证升级后,再也没有发生过IP地址冲突之类的事件,而且还限制了用户在办公室或者家里私自接内网,防止破坏校园网整体结构。
在实施实名后,通过每个用户名和IP地址绑定,如果用户中毒或者是在网上发影响学校或者国家的帖子,可以找到他的IP地址,从而可以找到他本人。这样很大程度上解决了网络中心的安全隐患,也为网管人员减轻了不少工作负担!
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。