創(chuàng)新型統(tǒng)一認證校園網(wǎng)的設計與實現(xiàn)

劉勁松 王進 賀秋雨

【摘要】? ? 滄州交通學院在校園網(wǎng)升級改造之前，學校僅僅部署了基于有線網(wǎng)絡的網(wǎng)絡基礎設施，實行核心層、匯聚層、接入層三層網(wǎng)絡架構設計，為了落實《網(wǎng)絡安全法》上網(wǎng)實名制的要求，教工和學生的計算機都是通過安裝基于802.1x 認證的客戶端實現(xiàn)準入認證，隨著信息技術及移動互聯(lián)技術的發(fā)展和廣泛應用，廣大師生對無線接入的需求越來越迫切，但是需要解決網(wǎng)絡接入方面實名制的落地問題，面對復雜的網(wǎng)絡環(huán)境，需要進行技術突破及合理設計。公安網(wǎng)安部門和學院網(wǎng)絡管理部門立足實際，開展技術公關，梳理當前的實際網(wǎng)絡情況，結合《網(wǎng)絡安全法》的具體要求，最終確定學校通過和運營商合作共建的方式實現(xiàn)有線無線一體化統(tǒng)一認證，建設一套校園網(wǎng)有線無線網(wǎng)統(tǒng)一認證的架構方式，其中學生用戶通過運營商融合寬帶pppoe認證線路訪問互聯(lián)網(wǎng)，教學辦公通過運營商專線訪問互聯(lián)網(wǎng)，所有用戶通過統(tǒng)一web認證之后，無區(qū)別訪問校園網(wǎng)資源。本文重點介紹該有線無線多類型統(tǒng)一認證接入一體化實現(xiàn)的技術實踐。

【關鍵詞】? ? 校園網(wǎng)? ? 一體化

隨著移動互聯(lián)技術的發(fā)展，越來越多的師生開始使用移動設備投入到教學活動中。滄州交通學院校園網(wǎng)升級之前，無線網(wǎng)網(wǎng)絡基礎設施欠完善，廣大師生只能通過有線的方式接入校園網(wǎng)，校園網(wǎng)實行核心層、匯聚層、接入層三層架構，骨干之間千兆互聯(lián)，通過在外網(wǎng)防火墻以NAT網(wǎng)絡地址轉換的方式與運營商專線互聯(lián)，為了保證上網(wǎng)實名制，每臺接入校園網(wǎng)的終端必須安裝學校專用的802.1x客戶端才能上網(wǎng)。

隨著無線需求的不斷擴大，由于沒有有效無線網(wǎng)接入，越來越多的老師和學生只能尋求通過購買普通路由器的方式來尋求無線上網(wǎng)，但是大多數(shù)無線路由器不支持802.1x認證，同時給校園網(wǎng)的管理帶來諸多不便，安全問題頻繁發(fā)生，造成重大網(wǎng)絡安全隱患，學校無線校園網(wǎng)和有線無線一體化認證的建設勢在必行。

針對當前的情況，公安網(wǎng)安部門和學校管理部門針對校園升級改造梳理以下需求：

1.建立覆蓋全校的無線網(wǎng)。

2.升級改造核心骨干設備至萬兆互聯(lián)。

3.實現(xiàn)全校有線無線一體化認證。

4.升級改造后的校園網(wǎng)滿足《網(wǎng)絡安全法》中對實名制和上網(wǎng)日志留存的要求。

5.校內認證系統(tǒng)計費和一卡通系統(tǒng)進行聯(lián)動，通過一卡通系統(tǒng)可以繳納網(wǎng)費。

6.增加萬兆上網(wǎng)行為審計設備，同時要求認證系統(tǒng)和日志審計設備聯(lián)動，在日志審計設備中顯示的用戶在認證系統(tǒng)的賬號信息。

7.內網(wǎng)用戶和服務器之間通過白名單策略對非必要服務器ip地址和網(wǎng)絡端口進行有效過濾。

最終學校尋求和運營商合作的方式來建設學校的校園網(wǎng)，運營商投資建設覆蓋全校的無線網(wǎng)，并對原來有線網(wǎng)絡設備進行升級，核心升級至萬兆。其中學校教學、辦公的有線無線訪問互聯(lián)網(wǎng)均使用運營商專線接入的方式訪問，學生生活區(qū)的有線接入和校園網(wǎng)內學生用戶的無線接入均通過運營商的融合寬帶以PPPoE方式認證的線路來實現(xiàn)，校園網(wǎng)所有用戶都通過DHCP服務器獲取相應的IP上網(wǎng)參數(shù)。這樣整個學校的校園網(wǎng)既有有線接入，又有無線接入，既有教學辦公的傳統(tǒng)校園網(wǎng)上網(wǎng)方式，又有基于PPPoE的融合寬帶式訪問互聯(lián)網(wǎng)。

整個校園網(wǎng)的上網(wǎng)環(huán)境變得相對復雜，學校網(wǎng)絡管理部門的老師從用戶體驗角度考慮，需要設計一套行之有效的認證計費方案，能夠讓全校的師生使用一種統(tǒng)一的認證方式來訪問互聯(lián)網(wǎng)和校內的服務器，使內外網(wǎng)的訪問既能滿足《網(wǎng)絡安全法》上網(wǎng)實名制的需求，又能使用戶的上網(wǎng)體驗良好，如何設計行之有效的認證方案，成了一道難題。

經(jīng)過長時間和運營商、廠商技術人員的溝通，滿足公安部門有關校園網(wǎng)監(jiān)管的要求下，反復的論證，最終網(wǎng)絡管理部門老師在兼顧以上問題的基礎上設計如下的統(tǒng)一認證方案。

為了使用戶有較好的認證體驗，全網(wǎng)使用基于portal的認證方式，即用戶不管何種用戶類型使用何種方式以何種設備上網(wǎng)，打開瀏覽器訪問任何網(wǎng)站的時候都會重定向到認證系統(tǒng)設定的統(tǒng)一認證界面，實現(xiàn)了有線無線認證的統(tǒng)一。

為了使學生和教師認證后上網(wǎng)線路能夠正確選擇，校園網(wǎng)無線網(wǎng)建立了兩個不同的SSID，每個SSID對應不同網(wǎng)段的地址池，在核心通過策略路由的方式把所有的認證的流量引導至Web轉PPPoe網(wǎng)關，該設備和校內計費認證系統(tǒng)聯(lián)動，通過系統(tǒng)賬戶類型來判斷最終的訪問流量是走家庭寬帶式線路，還是走互聯(lián)網(wǎng)專線，在Web轉PPPOE網(wǎng)關、校內計費認證系統(tǒng)和運營商Bras進行對接，實現(xiàn)學生走家庭寬帶線路上網(wǎng)的一次性認證。

同時在核心旁路部署上網(wǎng)審計設備，對上行的流量做端口鏡像，滿足《網(wǎng)絡安全法》中保存上網(wǎng)日志的要求，一卡通系統(tǒng)和校內認證計費系統(tǒng)對接，實現(xiàn)一卡通設備繳納網(wǎng)費，審計設備和認證系統(tǒng)對接，實現(xiàn)日志審計設備能夠顯示認證系統(tǒng)上網(wǎng)賬號的日志。

在該網(wǎng)絡架構設計下，無論是校園網(wǎng)的專線用戶還是家庭寬帶用戶訪問互聯(lián)網(wǎng)和校內服務器之前必須通過校內認證系統(tǒng)的認證授權，完美實現(xiàn)上網(wǎng)實名制的要求，有效實現(xiàn)上網(wǎng)行為的準入和準出，通過出口防火墻和數(shù)據(jù)中心邊界防火墻分別對來自互聯(lián)網(wǎng)和內網(wǎng)用戶的安全威脅進行了有效隔離。

升級改造完成后，整個校園網(wǎng)運行平穩(wěn)，達到了預期的目的，實現(xiàn)了平穩(wěn)的過渡。但由于涉及了多個系統(tǒng)之間進行對接，造成了整個校園網(wǎng)管理比原來單純的有線網(wǎng)要復雜了很多，對設備運維人員提出了更高的要求，在判斷故障時候需要更加專業(yè)的知識。

同時在運行過程中也暴露出來了一些新問題，如運營商前期規(guī)劃時對訪問融合接入網(wǎng)絡流量的用戶直接和校區(qū)所在城市的普通家寬用戶共用一個地址池，造成運營商無法給學校提供準確的上網(wǎng)IP地址段，對服務器日志缺少統(tǒng)一的采集等等。

通過這次升級改造，核心骨干設備均升級至萬兆，系統(tǒng)的升級涉及方方面面，只有前期規(guī)劃、測試的充分，實施過程中才會順利。改造后，校園網(wǎng)架構和傳統(tǒng)的校園網(wǎng)差異較大，可借鑒的成功案例很少，在方案設計中實現(xiàn)的較大的創(chuàng)新，滿足了各方面的需求。

隨著《網(wǎng)絡安全法》和《等級保護標準2.0》的推進，相關監(jiān)管部門對校園網(wǎng)絡安全性的要求也會越來越高，校園網(wǎng)的整個架構升級改造，無線有線一體化的推進為后續(xù)等保工作的開展奠定了基礎，安全是一個動態(tài)的過程，隨著時間的推進，校園網(wǎng)的針對性防護也要隨后根據(jù)《網(wǎng)絡安全等級保護標準2.0》的新要求進行進步一步的改造和升級。

作者單位：劉勁松? ? 黃驊市公安局網(wǎng)安大隊

王進? ? 滄州市公安局網(wǎng)絡安全保衛(wèi)支隊

賀秋雨? ? 滄州交通學院