加强网络接入管理促进网络管理精细化.docVIP

加强网络接入管理促进网络管理精细化摘要：校园网络接入管理方案和综合布线系统、网络设备等有密切关系，针对校园的不同功能区可根据综合布线的情况实施不同网络接入方案，加强网络接入管理可以让网络管理向网络用户接入端口延伸，使得网络管理更加精细化 关键词：校园网络 网络接入 网络管理精细化 中图分类号：G718.5 文献标识码：A 文章编号：1007-9416(2011)12-0200-02 网络接入管理是校园网络管理中重要内容，网络接入管理的方案受到网络综合布线方案、网络设备功能等多方因素影响，同时网络接入方案又将对网络运行管理和网络安全管理产生决定性的影响，网络接入管理要能有效定位网络用户，防止非法用户的接入，保证接入的用户以正确的身份访问网络资源。本文内容以笔者在无锡工艺职业技术学院校园网的网络接入管理的实践为基础，探讨如何通过加强校园网络接入管理对网络管理的精细化所起到的促进作用 目前无锡工艺职业技术学院的校园网总体情况为采用星形以太网结构，在现有的31幢建筑中布设了网络点一万一千多个，其中用于教学及管理11幢、学生宿舍14幢，整个综合布线系统以计算机楼为中心，楼宇间采用光纤布线系统，教学和办公区域采用六类UTP综合布线，学生宿舍区采用超五类UTP布线系统，网络设备为华为和H3C系列交换系统，核心为Quidway S8512，汇聚交换机有Quidway S8508、Quidway S5624、H3C7506、H3C S5500，接入交换机主要有H3C E152、S3126C等，所有接入交换机都具有较强的端口管理和控制功能。学生宿舍区的有线网络为每人配备独立网络接入端口；办公区域按面积测算布置适量的信息点；每个教室布置四个信息点，其中两个为教室无线网络接入预留。整个校区全面布置了无线网络，建筑内有中国电信和中国移动的无线网络覆盖，室外公共区域由学院进行无线网络覆盖。所有的机房和电子阅览室均通过光纤接入校园网 可供网络接入管理用的资源有：综合布线工程的资料即综合布线工程竣工图、房间端口和配线架对照表、设备间接入交换机信息表等；用户联网申请登记表（含用户填写的用户信息、计算机MAC地址等）。根据以上综合布线情况和网络设备情况，为了加强网络管理，在不同功能区实施了不同的网络接入管理方案 1、学院办公区域的网络接入管理 办公区域的网络接入主要面向学院教职员工办公用电脑的网络接入，人员、位置和接入计算机相对固定，接入定位可从房间端口号――配线架表――交换机端口号进行定位，管理的难点在于由于办公区域的信息点的数量是按房间面积测算后进行布置的，可能在实际运行时不能满足实际需求而采用布置小型交换机扩充的办法，甚至布置室内无线路由器以满足手提电脑移动办公需求。根据以上的情况，我们采用接入交换机端口和接入计算机MAC地址、IP地址绑定的办法确定网络接入管理方案。具体工作有收集联网计算机MAC地址，分配固定的IP地址，接入交换机端口VLAN划分、MAC地址绑定、IP地址绑定，网关交换机上对用户IP地址和MAC地址实施绑定。如果在室内布置无线路由器，设置无线接入密钥，绑定IP地址和用户的MAC地址 2、学生宿舍区域的有线网络接入管理 学生宿舍的网络接入的特点是数量大，分布广，虽然要求填写入网申请登记表，但所收集的信息可信度相对较差，从网络安全上考虑要防止布置“网中网”，尤其要防止布置无线路由器。根据学生宿舍的综合布线方案，由于学生宿舍的布线为每人配置独享网络接入端口，所以采用基于802.1X技术的网络接入认证的办法。由于学院接入交换机为H3C系列交换机，因此配套布置H3C的CAMS系统进行基于认证网络接入管理方案 IEEE 802.1x称为基于端口的访问控制协议（Port based network access control protocol）。IEEE 802.1x协议的体系结构包括三个重要的部分：客户端、认证系统（设备端）、认证服务器（RADIUS）。客户端系统是一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程；认证系统通常为支持IEEE 802.1x协议的网络设备，可以允许通过EAPOL（Extensible Authentication Protocol over LAN）协议帧，保证客户端始终可以发出或接受认证。在认证通过的状态下端口打开，用于传递网络资源和服务。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。认证服务器存储有关用户的信息，网络接入设备信息等。整个认证过程如图1所示： CAMS可进行对用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等进行绑定认证，增强用