DCSM-A 解决方案-神州数码交换机Portal准入认证-20101008.docVIP

神州数码校园网交换机WEB准入认证解决方案 神州数码网络 2010-8-7 概述 校园网作为为学校教学、科研、管理提供资源共享、信息交流、协同工作、信息服务的信息网络，从基础网络建设和管理层面来看，有着鲜明独立的特点： 师生用户数多，发展速度快 随着高校扩招和合并，老师和学生的数量越来越多，动辄就达到万人以上。并且随着社会、经济、生活方式的变化，越来越多的师生不仅拥有个人电脑，更离不开校园网络。 功能区域多，功能及管理需求不一样 校园网从功能区域来分，一般会分为学生宿舍区域网络、办公区域网络、公共区域网络、家属区网络等等，各功能区域服务对象、应用内容、管理需求均不一样。 安全隐患多 当前网络上各种病毒泛滥、木马网站层出不穷、钓鱼手段越来越难以防范，加之高校师生这一思维活跃、易接受新事物、喜欢尝试和挑战、追求成就、易冲动的群体中的个别人会利用当前随处可见的各种网络、系统攻击工具、相当透明的各种技术指导，对网络和系统造成相当的安全威胁。 不易管理和维护 高校庞大的网络和人员基数、无处不在的安全隐患、师生IT水平的参差不齐等等造成基础网络管理和维护工作的繁重，例如IP地址冲突、IP地址盗用、私设DHCP Server、ARP病毒等等成网络管理和维护人员最为烦恼的问题。 针对上述各种特点及学校自身管理的需求，绝大部分高校都希望采取身份认证的方式来管理校园网络。 校园网接入控制的需求 安全校园网络的基础是网络准入控制，实施网络准入控制的方法就是交换机接入身份认证管理，只有实施身份认证才能实现可管理的接入、可信任的接入、可信的IP地址管理、可信的行为审计。在校园网络中实施接入控制成为各大高校的共识，但实际并未得到全面的部署和实施。 当前校园网接入控制技术主要有Dot1x和PPPoE，其中PPPoE由于不支持组播应用、低端产品性能限制高端产品价格昂贵、管控粒度粗、与IP宽带网络建设思路不一致等原因在校园网中应用很少。交换机Dot1x接入认证由于其高安全性、高可控性在高校校园网得到长足发展，但Dot1x认证方式也有如下限制或不足： 需要分发部署客户端 Dot1x认证方式基本都需要客户端认证，就多了一件客户端分发、部署的工作，虽然从传统的U盘、光盘拷贝已发展至当前的自主下载，但对于接入网络来说毕竟多了下载、安装的操作，对于非理工科学生来说还是不方便。 易用性 Dot1x认证客户端从下载、安装、配置到最终能够认证上网，要求用户具备基础的计算机使用、配置、管理能力，多一个动作就会降低用户对网络易用性的感受。 操作系统兼容性 虽然当前个人桌面操作系统仍然是Windows家族的天下，但高校教学要求、个人兴趣爱好等原因也存在非Windows操作系统的现实情况，例如苹果MAC、Red Hat、Ubantu、Unix等操作系统，手持设备、手机的等最新的网络终端需要接入校园网络更加剧了这一问题的严重性。 即便使用Windows，微软近年来也加快了产品升级换代的步伐，对应客户端相对都会滞后一段时期才能推出，导致不能及时响应出现的新操作系统。 所有实施校园网接入控制一定要满足如下需求，不能让维护和管理成为部署安全接入控制的拦路虎： 安全、可控 校园网络维护和管理的复杂性因为校园网的特点、服务对象、开放性等因素非一般企业园区网、接入运营网络所比拟，所以接入控制技术首先要保证安全、可控，接入网络的用户必须经过身份认证，而且根据需要可以扩充至对用户接入方式、接入地点、接入终端的检查和限制。 易用 要保证接入控制能够有效实施，必须解决易用性问题，高可控性的Dot1x认证方式没有得到全面普及的现象已经说明了这个问题的严重性和普遍性。只有最终用户认为简单易用，这样的技术才能得到认可和推广。 与现有网络兼容 接入控制技术应该与当前高校TCP/IP网络的整体建设思路兼容；必须与当前用户多种多样的终端操作系统兼容；必须与现有校园网的应用系统身份认证系统兼容。 神州数码在与高校行业用户多年合作和交流的基础之上推出的交换机WEB准入认证技术和解决方案保留了Dot1x认证的安全性，实现了易部署、易使用、易维护、完美兼容性等需求，在实现高校安全接入的同时，满足易管理、易维护的需求，能够进一步提升学校网络服务质量、提高师生满意度、降低维护成本。 交换机WEB准入认证技术和解决方案 交换机WEB接入认证技术机制 接入交换机将未认证用户的HTTP请求重定向至Portal Server 用户得到认证界面，提交用户名和密码进行认证， Portal Server获得用户提交的用户名和密码，连同用户的其它接入特征信息（包括接入交换机IP、接入交换机端口、接入交换机Vlan、用户IP地址、用户MAC）等送给DCSM服务器校验 DCSM根据接入审查策略、计费策略等一系列判断后通知Portal Serve