高校宿舍区安全运营解决方案计划.pdfVIP

高校宿舍区 安全运营解决方案 DIGTIAL CHINA DIGITAL CAMPUS 神州数码网络有限公司 2008-07 一、 前言 如何建设一个高度可运营、易管理的学生宿舍网，来提供高质量的网络服务；并通过合 理的运营计费策略，实现以网养网的目的，对于高校来说仍然是一个很重要的课题。 根据 CNNIC在 2008 年1月的《第 21次中国互联网络发展状况统计报告》中指出，中国 网民总数已经达到 2.1 亿，而上网用户中的学生比例占到了 28.8%，基本上站到了 1/3，这 些用户都集中在校园网内部或者学校外面的网吧。由于学校上网用户密度大，已经越来越成 为学校或者运营商关注的一个热点。 早在 2002 年前后，国内高校的校园网建设开始从办公区、图书馆区延伸到教学楼、学 生宿舍以及教师家属区。尤其在 2003-2005 年间，宿舍网的建设达到了一个顶峰。除了高校 自主建设外，包括中国电信、中国网通等在内的运营商都已经开展了学生宿舍区的上网业务。 学生宿舍网经过 6 年多的建设经验，到目前为止还会出现安全运营情况和效果并不理想 的现象，对高校来讲这不仅仅是一个重要的课题，而且是面临的一个挑战。 二、 神州数码宿舍网安全运营解决方案 神州数码根据多年教育行业的建设经验，推荐以下三种方案选择以解决现在学生宿舍网 安全运营中遇到的问题。 （一）DCBA 网关型接入认证计费方案 组网说明 出口部署DCBA 系列接入管理器，负责用户 Internet 访问时的认证计费；内网 部署一台 DCBI-3000 作为 AAA 统一管理中心，进行统一开户、配置计费策略、 用户帐号的绑定控制等。 DCBI-3000 接收来自 DCBA 的认证和计费数据，可采用两台DCBI-3000 以主 备方式组网；如果网络规模较大，可部署多台 DCBA 接入管理器用于分担不 同内网区域用户。 方案特点 接入控制安全可靠： 支持用户帐号与 IP 地址、MAC 地址、VLAN 号（需要起 Trunk ）等多元素的 绑定 。绑定可手功配置，也可通过自学习获取数据来自动实现；支持公共机房等 环境下主机 IP 与该主机的绑定，这个绑定与用户帐号无关。 灵活的认证计费 可实现内网某些源 IP 地址段内主机免认证也可通过 DCBA 访问外网。即：不 认证、不计费的方式访问外网。可实现内网某些源 IP 地址段内主机上网需要认证、 但不计费的方式通过 DCBA 访问外网；预付费业务（功能强大，强调费用用光后 的实时强制断线功能），后付费业务（很少人用）。精确的流量计费，精确的时长计 费。包天、包月计费；支持用户上网的时段控制，可在某些时间段内禁止用户上网。 轻松的网络管理 支持对用户的强制下线管理。防代理，防上网后IP 地址篡改，防启用非法DHCP Server；基于用户组的用户管理。支持开户模板方式；用户web 自注册开户功能， 节省管理员输入大量用户信息的工作量。用户 web 自修改计费策略功能，用户可 通过 web 自服务来自己修改管理允许的计费策略 （二）802.1X 接入交换机认证计费方案 组网说明 需要部署支持 802.1x 的接入交换机，负责用户的接入认证数据；内网部署 DCBI-3000 作为 AAA 统一管理中心，进行统一开户、配置计费策略、用户帐 号的绑定控制等； DCBI-3000 接收来自 802.1x 的接入交换机的认证和计费数据，用户的流量不 经过 DCBI-3000 ；可采用两台DCBI-3000 ，以主备方式组网，保证整个网络的 核心稳定运行。 方案特点 接入控制安全可靠： 功能强大的安全接入管理功能：不仅可实现认证的绑定、防代理上网，更可以 实现基于安全交换机的 ACL 转发