實名認證解IP地址沖突和網絡安全之困

文/劉堅強

實名認證解IP地址沖突和網絡安全之困

文/劉堅強

隨著數字校園不斷深入發展，各高校的校園網發展越來越快，智能化的程度也越來越高，以前的設備、技術、方法不能滿足師生的需求，所以加快校園網的智能化發展是未來的趨勢，校園網的實名認證又是校園網擴建工程中的重要部分，它能有效支撐校園網的智能化發展。

背景

在沒實施實名認證之前，校園網的用戶（包括單位用戶和家庭用戶）上網都是固定的IP地址。但是也可以說是不固定的，因為我們學院把每個部門和每棟家屬樓細化了VLAN，在這個VLAN中一般IP地址劃分給這個VLAN。

所以有的用戶知道這種情況后，科室或者家里增加了電腦，就能猜到IP地址，如果和別人的發生了沖突，那么會造成搶網的事件，而且不便于網絡中心的工作人員管理網絡。對于網絡安全也存在很大的隱患，如果用戶中毒或者在網上發布影響學校或者國家的帖子，可能找不到本人。正是由于這些不利的因素，學校準備實施校園網擴建工程的實名認證。

方案介紹

“學院校園網項目”是校園網工程的一部分，包括教師宿舍、教學區、綜合樓和老教學區的樓棟匯聚、樓層接入網絡交換設備與集成、管理系統和認證計費系統。

項目完成后將為整個校園提供一個高效、穩定的網絡通信平臺。對校園網的整體設計要求實現百兆到桌面，主干雙鏈路千兆到樓宇匯聚，并保證子網的每個信息點有802.1X認證的交換機端口。同時，還要保證在接入層實現安全控制接入。

實施要求

軟件上需要能夠提供對學生上網的管理，如用戶合法性的驗證，IP、MAC的綁定，帳號的分配及管理；日常運營所需要的收費、計費服務；學生自助服務系統和設備管理。交換機方面需要能夠為教師宿舍、教學區、綜合樓和老教學區提供穩定、快速的接入服務，匯聚交換機能夠提供VLAN劃分和三層交換，接入需要支持802.1X以保證運營的實施。

學院校園網拓撲圖如圖1。

網絡拓撲說明

圖1 學院校園網拓撲

出口使用某廠商的RSR50-40路由器作為出口設備與移動網和教育網相連。

核心層采用兩臺RG-S8606核心交換機，負責整個網絡的數據交換。匯聚層是千兆交換機S3760-12SFP/GT，千兆光纖連接核心交換機及每層樓的接入交換機。每棟樓的小匯聚使用的是S2126G，同時也可提供接入服務，使用雙絞線與接入交換機S2026F互聯。

方案實施

首先需要安裝SAM服務器，學院選用的是RG-SAM 2.x企業版,擁有2000用戶。

其次是安全管理規劃，系統使用Windows2003 Server+SP2，并在相應網站下載補丁程序升級，并建議客戶預裝殺毒程序以保障機器的安全。

同時在交換機上通過ACL做服務器網段和用戶網段的隔離，并進行端口過濾，只允許服務器進行所需端口通過。

a)8080.TCP端口.http訪問端口

b)8443.TCP端口,https訪問端口

c)1812.UDP端口.默認的認證報文接收端口

d)1813.UDP端口.默認的記帳報文接收端口

e)1433.TCP端口.SQL SERVER的默認監聽端口

f)1434.UDP端口.SQL SERVER的默認監聽端口.

g)8009.TCP端口.ajp端口

h)1099.TCP端口.jnp端口

i)1098.TCP端口.rmi端口

j)8090.TCP端口.JBossMQ OIL service端口

k)8092.TCP端口.JBossMQ OIL2 service端口

l)8093.TCP端口.JBossMQ UIL service端口

m 4444.TCP端口.RMIOBJECTPort

n)4445.TCP端口.ServerBindPort

o)1162.UDP端口.JBoss snmp agent端口.

數據庫系統規劃

安全管理規劃：數據庫軟件選用的是MS SQL Server 2000 標準版或企業版+SP4。

數據的備份：

1.SQL Server Agent服務啟動，建數據庫維護計劃實現數據庫備份，計劃的名字為sambackup。

2.SQL數據的備份采用完全備份方式，備份目錄為k:/backup，備份時間為每天凌晨三點，保留一個月內的完全備份數據。

3.由于RG-SAM的后臺數據信息非常重要，需要經常性質地將數據進行備份。

數據的恢復：

在原服務器上完全備份數據到指定的文件（假定為SAMdata060526）

1.手動備份數據庫。

2.將上一步備份的文件SAMdata060526復制到新的機器上并執行還原操作。

3.刪除原數據庫中的sam關聯。

4.在后臺數據庫中創建和sam帳號的關聯。成功完成后，移到新服務器上，便可在新服務器上啟動SAM，注意啟動前要將服務器的IP改為原服務器的IP。

SAM系統規劃及設置

用戶開戶的方式

采用批量導入的方式進行用戶開戶。

將要開戶的用戶按一定的格式編輯成相應的文本文件，在管理界面中批量導入進行開戶。

1.在開戶之前先要定義組，比如說辦公的用戶就劃分為office組，家庭的劃分為home組，學生的劃分為student組等等，然后把個人的姓名拼音當做用戶名，綁定IP地址，最后選擇組（請個人賬戶的格式是用戶名+IP地址+組）。此外，我們為什么沒有綁定MAC地址，是因為如果用戶電腦換了或者網卡換了就不能上網了，考慮到這原因，我們就沒有綁定MAC地址，也是為了便于管理。

2.接入交換機sam系統配置

Switch#config t 進入全局配置層以后,配置以下:

3.所有用戶需要安裝客戶端，設置在網絡中心注冊的合法IP地址。打開認證軟件就可以看到認證軟件的界面。根據在網絡中心簽的入網協議上的用戶名和密碼，選擇網卡類型（為什么要選擇網卡類型，因為有些電腦是二個網卡，軟件自己是識別不出來的，所以要選擇填了正確IP地址的網卡），點擊鏈接，那么你的電腦就會自動和SAM服務器“握手”，匹配是否合法，如果信息匹配成功，那么就可以正常上網了（這個匹配的時間就1-2秒鐘）。

4.部分用戶可能覺得這樣上網麻煩，那可以在這個用戶參數設置里面把“保存密碼”，“啟動軟件后自動認證”，“開機自動運行”這三項前面打勾，那么啟動電腦，這個認證的軟件就自動認證。

方案實施后的效果

自從校園網實施實名認證升級后，再也沒有發生過IP地址沖突之類的事件，而且還限制了用戶在辦公室或者家里私自接內網，防止破壞校園網整體結構。

在實施實名后，通過每個用戶名和IP地址綁定，如果用戶中毒或者是在網上發影響學校或者國家的帖子，可以找到他的IP地址，從而可以找到他本人。這樣很大程度上解決了網絡中心的安全隱患，也為網管人員減輕了不少工作負擔！

(作者單位為湖北省咸寧職業技術學院網絡中心)

經緯中天直播錄播系統充分滿足用戶需求

本刊訊 近日，由新疆自治區教育廳、自治區文明辦、自治區廣電局聯合主辦的自治區“第一屆大學生雙語能力大賽”成功落下帷幕。經緯中天作為本次活動的唯一指定直播錄播技術支持廠商，用其高端的直播錄播系統為此次活動提供了全面的實時在線直播錄播支持。

活動現場的直播錄播系統是北京經緯中天信息技術有限公司基于流媒體技術、互動通訊、多媒體內容管理等技術完全自主開發而成的。相比傳統的直播錄播系統，經緯中天的直播錄播系統功能更加完善，不僅僅有視頻直播，還增加了圖文、圖片、互動、VGA屏幕等內容的在線直播錄播。同時，設計也更加人性化，提供了完善的后臺審核功能，真正地從用戶角度出發，充分滿足了用戶的需求。