浅谈校园网扩建工程之实名认证.pdfVIP

浅谈校园网扩建工程之实名认证 [摘 要]随着信息化的发展，各个高校的校园网发展越来越快，智能化的程度也越来越高， 以前的设备、技术、方法不能满足师生的需求，所以要加快校园网的智能化发展是未来的趋 势，本文探讨的是校园的实名认证方案，并着重介绍了方案实施的过程、网络和设备情况以 及效果，并介绍了认证服务器（Dell PowerEdge R410 服务器）的特点。 湖北省咸宁职业技术学院网络中心——刘坚强 方案背景 我校在没有实施实名认证前，校园网的用户（包括单位用户、家庭用户和学生用户）上 网都是固定的IP 地址。但是也可以说是不固定的IP 地址，因为我们学院是把每个部门和每 栋家属楼细化了VLAN ，在这个VLAN 中一般IP 地址都多划分给这个VLAN 的，所以有的 用户知道这种情况后，如果是科室、家庭、寝室多了一台电脑，那么他就自己可以猜到 IP 地址，如果和别人的发生了冲突，那么会造成强网的事件，而且不便于我们网络中心的工作 人员管理网络。对于网络安全来说也存在很大的隐患，某个用户中了毒或者在网上发布影响 学校或者国家安全的帖子，找不到本人，正是由于这些不利的因素，后来学校准备实施校园 网扩建工程之实名认证。 方案介绍 “学院校园网项目”是校园网工程的一部分，包括教师宿舍、教学区、综合楼和老教学 区的楼栋汇聚、楼层接入网络交换设备与集成、管理系统和认证计费系统。项目完成后将为 整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面， 主干双链路千兆到楼宇汇聚，并保证子网的每个信息点有802.1X 认证的交换机端口同时要 保证在接入层实现安全控制接入。 1.实施要求 软件上需要能够提供对学生上网的管理，如用户合法性的验证，IP 、MAC 的绑定，帐 号的分配及管理；日常运营所需要的收费、计费服务；学生自助服务系统和设备管理。交换 机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务，汇聚 交换机能够提供VLAN 划分和三层交换，接入需要支持802..1x 以保证运营的实施。 2.网络拓扑图 3.网络拓扑说明 出口使用锐捷网络RSR50-40 路由器作为出口设备与移动网和教育网相连，内网接天融 信防火墙。核心层采用两台 RG-S8606 核心交换机，负责整个网络的数据交换。汇聚层位 于楼栋，采用全千兆交换机S3760-12SFP/GT ，千兆光纤连接核心交换机及每层楼的接入交 换机。每个楼栋的小汇聚使用的是S2126G ，同时也可提供接入服务，使用双绞线与接入交 换机S2026F 互联。 方案实施 首先需要安装SAM 服务器，学院选用的是RG-SAM 2.x 企业版,2000 用户。安全管理规 划，作系统使用的是Windows 2003 Server+SP1 ，并在相应网站下载补丁程序升级，并建 议客户预装杀毒程序以保障机器的安全。同时在交换机上通过ACL 做服务器网段和用户网 段的隔离，并进行端口过滤，只允许服务器进行所需端口通过。 a) 8080.TCP 端口.http 访问端口 b) 8443.TCP 端口,https 访问端口 c) 1812.UDP 端口.默认的认证报文接收端口 d) 1813.UDP 端口.默认的记帐报文接收端口 e) 1433.TCP 端口.SQL SERVER 的默认监听端口 f) 1434.UDP 端口.SQL SERVER 的默认监听端口. g) 8009.TCP 端口.ajp 端口 h) 1099.TCP 端口.jnp 端口 i) 1098.TCP 端口.rmi 端口 j) 8090.TCP 端口.JBossMQ OIL service 端口 k) 8092.TCP 端口.JBossMQ OIL2 service 端口 l) 8093.TCP 端口.JBossMQ UIL service 端口 m 4444.TCP 端口.RMIOBJECTPort n) 4445.TCP 端口.ServerBindPort o) 1162.UDP 端口.JBoss snmp agent 端口. 数据库系统规划 安全管理规划：数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4