一種基于課表的無線網(wǎng)絡(luò)訪問控制策略設(shè)計

龔文濤， 郎穎瑩

(中國石油大學(華東) 信息化建設(shè)處1,教育發(fā)展中心2, 青島 266580)

0 引言

隨著學校信息化建設(shè)步伐的不斷深入，校園網(wǎng)建設(shè)從規(guī)模和深度均有加強，從單一的有線網(wǎng)變成了無線網(wǎng)和有線網(wǎng)融合的園區(qū)網(wǎng)，接入設(shè)備從單一的臺式電腦和筆記本逐步發(fā)展為手機和各種移動終端，如何將校園網(wǎng)中的無線網(wǎng)和有線網(wǎng)做到認證的融合，如何有效管理校園網(wǎng)中的學生網(wǎng)賬號，在教學區(qū)和辦公區(qū)及學生區(qū)實現(xiàn)差異化的網(wǎng)絡(luò)計費控制策略變成一個研究熱點和難點[1、2]。

有線網(wǎng)絡(luò)區(qū)域的認證計費主要是通過有線網(wǎng)中的認證設(shè)備檢測學生用戶上網(wǎng)請求包，依據(jù)認證的賬號和密碼信息對其能否上網(wǎng)做出判決，最基本的認證模式是基于按月計費的認證模式，有的高校開啟了認證依托流量來計費，隨著有線網(wǎng)和無線網(wǎng)的不斷深入建設(shè)[3、4]，有線網(wǎng)和無線網(wǎng)的架構(gòu)如何融合，認證如何有效聯(lián)動，如何對學生上網(wǎng)賬號做好精細化的認證計費管理變成一個研究難點，高校網(wǎng)絡(luò)管理人員和建設(shè)人員面對日益龐大無序的賬號管理任務(wù)，如何協(xié)調(diào)好網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)管理的關(guān)系變得必要和重要[5]。

本文分析和總結(jié)了校園網(wǎng)中有線網(wǎng)和無線網(wǎng)的架構(gòu)及相互關(guān)系，提出了一種基于課表聯(lián)動的認證計費控制策略，為靈活和精細化管理學生賬號在教學區(qū)的上網(wǎng)認證計費提供了思路。

1 學生網(wǎng)絡(luò)架構(gòu)及認證流程需求設(shè)計

1.1 學生有線網(wǎng)架構(gòu)

學生網(wǎng)絡(luò)架構(gòu)介紹：單就學生網(wǎng)絡(luò)內(nèi)部來說，是典型的3層架構(gòu)，核心、匯聚及接入等3個層次，具體來說在學校的學生宿舍有線網(wǎng)絡(luò)里，有一臺學生核心、4臺學生匯聚、分布近50個學生接入機房，所有接入機房的接入交換機達到近300臺，每個學生宿舍有的住6人，有的住4人，需要通過小型的交換機接入到學校的交換機端口上。

校園網(wǎng)絡(luò)架構(gòu)，如圖1所示。

學生匯聚中將所有的接入Vlan的網(wǎng)關(guān)設(shè)置在匯聚層面，核心和匯聚層走路由，而接入交換機通過配置靜態(tài)默認路由指向匯聚的管理接口地址，實現(xiàn)了學生網(wǎng)絡(luò)的內(nèi)部互聯(lián)互通。

為進一步豐富學生宿舍網(wǎng)絡(luò)資源，學校還特意引入了運營商的資源，包括聯(lián)通的出口資源及移動公司的無線硬件資源等，通過校企合作，豐富了學校網(wǎng)絡(luò)資源，擴展了學校網(wǎng)絡(luò)規(guī)模，豐富了廣大學生的學習和生活網(wǎng)絡(luò)資源，減少了學校建網(wǎng)成本，然而，多種用戶組下的統(tǒng)一管理變得日益復(fù)雜，需求也更加迫切，從學校管理層面，要求能夠?qū)W校的每一個在網(wǎng)注冊的學生的信息和賬號做到精確的管理，避免社會上非學校人員進入學校網(wǎng)絡(luò)，將學校網(wǎng)絡(luò)整體打造為一個相對內(nèi)部放開，對外封閉的利于學生學習和生活的網(wǎng)絡(luò)平臺。需要對學生在網(wǎng)用戶的認證計費提出更加高的要求和更加嚴格的標準。

圖1 學生網(wǎng)絡(luò)架構(gòu)圖

1.2 無線網(wǎng)絡(luò)架構(gòu)

隨著學校無線網(wǎng)絡(luò)的不斷深入建設(shè)，在學校教學區(qū)的每一個教室，已經(jīng)布設(shè)了無線網(wǎng)絡(luò)，依據(jù)教室大小和人數(shù)多少來規(guī)劃布設(shè)的AP的數(shù)量。

目前學校針對不同需求布設(shè)了3種不同類型的無線AP，室外公共區(qū)域選擇了布設(shè)室外AP，其特點是性能優(yōu)越，通過天線將信號覆蓋到學校熱點區(qū)域。第一期建設(shè)布設(shè)了44個室外AP，主要覆蓋了學校的熱點步行街，包括學校北門、南門、講堂群等教學區(qū)域附近、逸夫樓、圖書館、體育館等重要的公共場所，覆蓋了圖文中心、文理樓、工科樓A座B座C座D座等4座學院樓宇等重要的科研區(qū)域、辦公區(qū)域，AP露天布置，外面有特制的小柜子作為防護，下接電源模塊到特制的交換機網(wǎng)口上。

教學區(qū)域布設(shè)了無線，其架構(gòu)主要是通過光纖將接入pppoe交換機下聯(lián)到無線AP中，廣大教工和學生通過無線AP實現(xiàn)上網(wǎng)。目前學校無線已經(jīng)涵蓋了所有教室，以講堂群為例，如拓撲圖2所示。

圖2 教學區(qū)無線架構(gòu)圖

大部分公共區(qū)域，諸如活動室和會議室均已經(jīng)有無線網(wǎng)絡(luò)覆蓋，這樣豐富廣大教工和學生的學習和生活的網(wǎng)絡(luò)資源的同時，也加大了網(wǎng)絡(luò)管理部門的認證管理難度。

1.3 基于有線鏈路的無線網(wǎng)

校園網(wǎng)歷經(jīng)數(shù)十年發(fā)展，有得今日規(guī)模，有線覆蓋全校園網(wǎng)的房間，無線網(wǎng)絡(luò)起步較晚，建設(shè)力度較大，目前覆蓋了校園網(wǎng)中所有教學區(qū)域，所有學校會議室和重點公共區(qū)域，諸如圖書館和逸夫樓會議室等，覆蓋了校園熱點街道。

無線網(wǎng)需要光纖解決鏈路問題，結(jié)合有線網(wǎng)絡(luò)豐富的鏈路資源，部分無線網(wǎng)絡(luò)需要和有線網(wǎng)絡(luò)融合，從核心層面說：無線網(wǎng)絡(luò)需要借助有線網(wǎng)的物理鏈路資源，需要借助有線網(wǎng)絡(luò)校園核心和重要匯聚。從接入層面說：因為無線網(wǎng)絡(luò)分布范圍廣，分布離散性，使得其光纖鏈路成本和交換機成本均居高不下，目前借助有線網(wǎng)絡(luò)，將無線網(wǎng)絡(luò)融合到有線網(wǎng)中，將無線網(wǎng)VLAN透傳到現(xiàn)有接入辦公網(wǎng)絡(luò)接入交換機和學生區(qū)域接入交換機中，無線網(wǎng)絡(luò)大部分流量通過有線鏈路將全校無線網(wǎng)絡(luò)互聯(lián)起來，有線網(wǎng)和無線網(wǎng)做到了融合統(tǒng)一，統(tǒng)一的身份計費和訪問權(quán)限控制，統(tǒng)一的賬號管理。

1.4 學生統(tǒng)一賬號認證流程

所有學生均能夠通過學生唯一指定合法賬號一卡通來實現(xiàn)網(wǎng)絡(luò)的開通和注銷工作，所有在校生有且僅有一個一卡通，有且僅有一個上網(wǎng)賬號。

通過唯一賬號來完成網(wǎng)絡(luò)上網(wǎng)權(quán)限管理，學生網(wǎng)分為校園網(wǎng)普通教育網(wǎng)、校園網(wǎng)聯(lián)通組和校園網(wǎng)移動組。為此，不同的組的學生制定不同的網(wǎng)絡(luò)訪問權(quán)限。訪問的對象包括有線網(wǎng)和無線網(wǎng)，而通常的上網(wǎng)計費流程，如圖3所示。

圖3 無線網(wǎng)管認證架構(gòu)

學生請求通過通道登錄無線，其認證計費信息要發(fā)送到無線計費服務(wù)器，計費服務(wù)器通過后，才允許其上網(wǎng)，而無線網(wǎng)管則是管理所有無線AP的核心設(shè)備。

默認的認證流程如下：認證計費通過互動方式，每個學生在上網(wǎng)的時候，主動彈出一個portal認證頁面，通過該頁面來輸入用戶名和密碼，授權(quán)服務(wù)器將認證后的信息反饋回學生，若是賬號或者密碼錯誤，則拒絕其上網(wǎng)，否則，允許其上網(wǎng)。

2 基于上課時間的無線網(wǎng)控制策略設(shè)計

2.1 認證控制策略思路

為做到學生上網(wǎng)賬號和上課時間的聯(lián)動綁定，需要將學生上網(wǎng)賬號和學生課表信息對接關(guān)聯(lián)起來，需要在課表數(shù)據(jù)庫里面抽取每一個在網(wǎng)注冊學生用戶，每隔一段很小時間，可以設(shè)定幾分鐘來讀取其是否有課，重點區(qū)域在每節(jié)課的上課前10分鐘，將所有有課學生的賬號踢下線，這樣能夠完成對學生賬號上課期間不能夠使用無線網(wǎng)的功能。

2.2 基于上課時間的默認控制策略

就學生賬號在上課期間內(nèi)，在無線網(wǎng)絡(luò)范圍下管理其上線或者下線的管理流程，其學生賬號的認證思路有如下兩種，第一種是基于默認上課期間關(guān)閉上網(wǎng)功能的認證思路，其流程如下：

第一步：學生在有無線覆蓋的地方，打開WLAN，選擇發(fā)布的SSID，比如學校的無線特定標示。

第二步：打開認證頁面，輸入用戶名和密碼，默認的用戶名和密碼是和有線網(wǎng)絡(luò)使用的同一個用戶名和密碼。

第三步：學生用戶輸入用戶名和密碼后，將其信息發(fā)送給認證服務(wù)器，認證服務(wù)器遍歷后臺數(shù)據(jù)庫中的數(shù)據(jù)表和相應(yīng)字段，找到該用戶名和密碼，若是錯誤，發(fā)送錯誤報，此次登陸認證被拒絕，其登陸行為結(jié)束，否則，跳到第四步。

第四步：依據(jù)特定的時間周期，檢查其課表是否有課，若有課，則提示其上課時間不能夠上網(wǎng)，否則，允許其登陸網(wǎng)絡(luò)。

第五步：依據(jù)時間檢測，若其在上課時間，則讓其下線。

第六步：基于課表的一種聯(lián)動，通過實時監(jiān)控和精細化管理，避免學生在課堂中沉迷無線網(wǎng)絡(luò)。

2.3 基于上課老師靈活授權(quán)的上網(wǎng)控制策略

這是在前面環(huán)節(jié)認證管理的思路的基礎(chǔ)上，結(jié)合新課程和網(wǎng)絡(luò)新技術(shù)的發(fā)展需求，有教師可以更加靈活授課方式的，有教師需要在上課期間利用網(wǎng)絡(luò)的，可以發(fā)展為更加靈活的，將上課時間能否上網(wǎng)的權(quán)限交送給上課的老師，由任課老師來決定其是否在上課時間上網(wǎng)的權(quán)限，具體的認證流程如下：

第一步：老師在申請教室和具體的課程時間的時候，有一個選擇是否“允許學生上課期間上網(wǎng)”的選項按鈕，默認該按鈕是關(guān)閉的，也即默認不讓學生上課上網(wǎng).轉(zhuǎn)到第二步。

第二步：若是老師認為學生上無線很必要，能夠較好完成課程知識的查詢及授課的互動，可以在網(wǎng)絡(luò)上更加靈活和便捷教授學生，則老師可以選擇學生上課，則學生在上課時間內(nèi)是可以上網(wǎng)的，跳到第第三步，如果老師認為開了網(wǎng)絡(luò)后，學生上網(wǎng)沉迷，比較難控制，或者不需要網(wǎng)絡(luò)了，則將其上網(wǎng)的按鈕關(guān)閉，跳到第四步。

第三步：學生可以在上課期間，憑借其賬號上網(wǎng)。

第四步：學生在老師點擊關(guān)閉上課上網(wǎng)網(wǎng)絡(luò)后，將指令發(fā)送給認證服務(wù)器，服務(wù)器依靠下線指令，將特定教室特定時間點的學生的在線或者上線的賬號剔除，讓其下線，則學生不可以上網(wǎng)。

依托該兩種課表管理機制結(jié)合后，可以靈活控制學生在無線區(qū)域的上課課程的聯(lián)動，可以讓其便捷地控制學生賬號上網(wǎng)的時間。

3 總結(jié)

本文分析和總結(jié)了高校網(wǎng)絡(luò)架構(gòu)和學生宿舍網(wǎng)絡(luò)賬號情況，針對復(fù)雜網(wǎng)絡(luò)環(huán)境下的多元組的賬號的精確管理需求，提出了一種基于課表的網(wǎng)絡(luò)訪問權(quán)限管理機制。

通過基于課表的網(wǎng)絡(luò)訪問權(quán)限管理機制，學校網(wǎng)絡(luò)管理者能精細化控制和管理學生上網(wǎng)賬號上無線網(wǎng)絡(luò)的權(quán)限，對基于安全的精細化網(wǎng)絡(luò)管理在訪問控制環(huán)節(jié)中夯實了基礎(chǔ)，能夠靈活控制學生上網(wǎng)的時間，能夠依據(jù)課程授課老師的需求來開放或者關(guān)閉學生上網(wǎng)的訪問權(quán)限，一定程度強化了對學校網(wǎng)絡(luò)管理的精細度，提升了網(wǎng)絡(luò)管理水平。