国内高等院校的校园网建设飞速发展,多数学校已基本完成教学、科研、图书馆等部门的网络建设。校园网建设的下一个重点是学生宿舍网。目前学生宿舍联网已成为迫切的需求,是校园网不可缺少的组成部分,更是高等院校信息化水平的一个重要标志。
但是学生宿舍网作为校园网重要组成部分,与校园网其他部分相比,具有非常多的要求,也是校园网建设和管理中比较难的部分,是值得探讨和研究的问题。
与校园网其他部分相比,宿舍网的主要特点有:
(1)信息点多,网络规模大。一所高校的学生公寓宿舍往往要容纳七八千甚至数万学生,学生公寓宿舍网络建设中需对上万个节点进行管理,这是园区网其他部分不会出现的。 (2)网络流量峰值流量非常明显,应用丰富,网络负载重,容易造成网络阻塞。
(3)网络安全问题非常突出。由于学生对于计算机的维护情况差别比较大,往往病毒比较猖獗;对于校园网重要网段和外网的攻击屡见不鲜,我们校园网曾经由于学生对外发起攻击,两次被外网用户向中国教育科研网投诉,十分被动。
(4)可网管性要求较高。为了给学生提供高质量的网络服务,满足广大学生学习和生活需要,同时避免滥用网络带来的危害,网络管理的功能要求非常突出。
(5)网络交换设备运行环境差,接人设备端口密度高,用户设备质量良莠不齐。
(6)由于传统的以太网没有提供相应的安全防范机制,任何用户都能够不受控制地进入网络访问网络资源,而且对于假冒IP地址和MAC地址的手段,没有提供有效的控制和解决办法,使得宿舍网的管理难度非常大。
对于网络管理者来说,校园网内部学生宿舍网是最难管理的,也是管理成本最高的。有一些学校干脆把学生宿舍网直接转给了一些社会ISP经营,但是这样实际上学生宿舍网完全不在学校的控制掌握之中,对于学生面对信息化大潮正确使用网络,消除网络的负面影响是有百害而无一利的,是完全不可取的,而且在学生宿舍区建设计算机网络的目的实际上是要把基于校园网的数字校园延伸到学生宿舍,如果学生宿舍网外包经营,那么就不能够建设真正的数字校园,即使在学生宿舍网和校园网之间互连,也很难保证学生宿舍网对城域网、甚至中国教育科研网的完全访问,那么就很难做到基于城域网或者中国教育科研网的资源共享。因此,笔者认为,学生宿舍网的建设和管理,必须在校园网的统筹之下进行,必须作为校园网的一部分建设,必须保证学生宿舍网可以成为数字校园的基础网络设施平台的一部分。
我们在考察、调研天津商学院校园网学生宿舍网解决方案的时候,也评测了不少的网络产品,甚至放到实际应用环境中测试,本着先保证高可靠性,再考虑高性能的基本原则,最终选择了国产港湾交换机作为学生宿舍网的网络交换设备,主要原因是:
(1)港湾交换机有良好的网络管理功能,能够满足校园网对于学生宿舍网的网络管理功能。
(2)港湾交换机是为小区宽带设计的以太网交换机,学生宿舍区不同于校园网的其他节点,有一些特性与小区类似,可以充分发挥港湾交换机的网络管理功能。
(3)港湾交换机性价比比较高,在国产交换机属于高档产品,性能优秀,运行稳定性好。
(4)独有的H.Link命令集,使得网络安全系数比较高。
这批设备替换原有学生宿舍网中使用的非网管交换机后,经过实际运行近一年以来,取得良好的效果。我们现在学生宿舍网的连接环境如图1所示。
其中CISCO Catalyst 6509交换机为校园网的核心交换机,学生宿舍区的主交换机选择港湾的Flex24三层交换机,接人交换机选择可以简单网管的港湾U1016交换机。
在使用的过程中,我们不断总结经验教训,对于校园网学生宿舍网络管理模式有一些理解,供大家参考,我们认为校园网学生宿舍网的网络管理模式可以用图2表示。
图2所示的网络管理基本模式包含以下内容:
(1)学生宿舍网使用自己单独的核心交换机,采用路由方式与校园网的核心交换机连接,学生宿舍网成为自成体系的一个网络,再与校园网连接,最大程度地保障了校园网关键应用和关键用户的正常使用。
(2)使用防火墙来保护校园网的主干和重要用户:校园网与传统的企业网最大的不同就是大量的网络安全隐患来自内部,最大量的、最危险的攻击都来自内部,尤其是学生宿舍网,因此使用防火墙来解决这个问题,首先是使用防火墙防护来自校园网以外的攻击,其次是将学生宿舍区也作为外网加以防护,这样在合理的安全策略的配置下,可以尽可能减少甚至消除学生宿舍区对于校园网重要网段和外部网络的攻击,提高网络安全性能。
(3)对于目前使用的港湾交换机采用MAC地址和IP地址的绑定策略;港湾的U1016交换机不支持端口绑定MAC地址,所以只在Flex24的相应端口做MAC地址和IP地址的绑定。这样,一个非法的地址,最多只能在15台计算机的小网络内部兴风作浪了(即一台U1016交换机上)。当然,MAC地址和IP地址的绑定还是有很多局限性的,还需要更多的安全策略。
(4)802.1X认证。使用802.1X认证,与其他的网络安全策略结合,是实现学生宿舍网网络管理基本模式的核心,下面我们还要详细探讨。
(5)学生宿舍网的认证管理与校园网的统一身份认证相整合。校园网的统一身份认证一般会使用目录服务,将学生宿舍网的认证管理与目录进行整合,就可以通过目录的管理,赋予学生应当享有的网络服务权限。这是保证学生宿舍网可以成为数字校园的基础网络设施平台的一部分的关键,但不是本文主要讨论的问题,因此不做过多探讨。
下面我们主要讨论一下我们学生宿舍网管理模式的核心-1EEE802.1X协议:
IEEE802.1X协议是标准化的符合IEEE802协议集的局域网接人控制协议,其全称为基于端口的访问控制协议(Port Base Network Access Control Protoc01),能够在利用IEEE802局域网优势的基础上提供一种对连接到局域网用户的认证和授权手段,达到接受合法用户接人,保护网络安全的目的。在802.1X协议中,必备的3个元素是Supplicant(客户端)、Authenticator(认证系统)、Authentication Server(认证服务器)。
802.1X认证的基本过程包括以下6个步骤,
(1)用户上网时,打开802.1X客户端程序,输入用户名和口令,发起连接。此时,客户端程序(Supplicant)将发出"请求认证"的报文给交换机(Authenticator),启动认证过程。
(2)交换机收到"请求认证"的数据帧后,将发出一个请求帧,要求用户的客户端程序将用户名传送上来。 (3)客户端程序响应交换机的请求,将"用户名"信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包(1P数据包)处理后送给认证服务器。
(4)认证服务器收到交换机转发上来的"用户名"信息后,将该信息与数据库中的"用户名"表项相比对,找到该"用户名"对应的"口令"。用随机生成一个加密字对他进行加密处理(MD5加密算法),同时也将此加密字传送给交换机,由交换机转传给客户端程序。
(5)客户端程序收到由交换机转传来的加密字后,用该加密字对"口令"部分进行加密处理,并通过交换机转传给认证服务器。 (6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则反馈认证失败的消息,并保持交换机的端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
IEEE802.1X协议是非常可靠的:
(1)在客户端与认证服务器交换口令信息的时候,没有将口令明文直接送到网络上进行传输,使在网络上传输的敏感信息有了更高的安全保障。
(2)802.1X协议中,规定了对于已经通过认证进入网络系统的用户进行重新认证的一个机制,从策略上进一步保证了接人用户的合法性,也避免了由于用户的终端设备死机,长期占用一个开放的端口而导致的一些安全上的漏洞。
(3)对于可能发生的其他一些异常情况,802.1X协议也进行了相应的定义。如与端口相对应的MAC地址出现故障,用户终端设备故障而未响应交换机发出的重认证信息,用户终端设备与交换机之间的物理连接断开等,都将导致用户在此后对网络资源进行召问时需要用户自己发起重新进行认证、授权操作。从而保证网络系统的安全,可靠。 我们使用港湾交换机作为学生宿舍网的交换茜备,港湾交换机的802.1X解决方案中,采用的是基3MAC地址的端口访问控制模式。因为接人级交换期U1016仍然是港湾公司的产品,实现MAC地址+端口+IP地址的绑定。通过港湾网络认证交换机Flex21与港湾网络接人交换机U1016之间H.Link协议的交互,对接人用户所使用的接人交换机的端口信息进行交换和控制,达到将端口作为绑定元素的目的。从而实现更为严格的安全保证和安全控制。
在使用802.1X认证协议的系统中,用户口令失窃和口令扩散的情况非常多,我们通过在认证服务器上限定同时接人具有同一用户名和口令的认证信息的用户的数量来达到控制用户非法接入网络的目的。 我们是根据使用港湾交换机的体会来讨论学生宿舍网的基本管理模式的,实际上这个结论并不仅限于港湾交换机,对于业界主流的网管型交换机,一般都可以按照这个模式实施。
我们结合本职工作,仅仅从技术层面讨论了学生宿舍网的基本管理模式,疏漏与管见之处在所难免,敬请大家指正!同时只有多项技术和相关的管理规定有机结合,才能构建一个真正安全、可靠的网络环境,才能够真正管理好学生宿舍网。