摘 要：隨著高校校園網(wǎng)不斷向?qū)W生宿舍延伸，學(xué)生宿舍網(wǎng)的建設(shè)與管理問(wèn)題也越來(lái)越突出，本文討論了學(xué)生宿舍網(wǎng)的特點(diǎn)，從網(wǎng)絡(luò)建設(shè)與管理的角度對(duì)學(xué)生宿舍網(wǎng)進(jìn)行了探討與研究。

關(guān)鍵詞：高校 宿舍網(wǎng) 網(wǎng)絡(luò)管理 802.1x

中圖分類(lèi)號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：B 文章編號(hào)：1673-8454（2008）05-0027-03

學(xué)生宿舍網(wǎng)是校園網(wǎng)的重要組成部分，近年來(lái)學(xué)生宿舍網(wǎng)的建設(shè)已成為校園網(wǎng)絡(luò)建設(shè)的重要內(nèi)容。為了能提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)，滿(mǎn)足廣大學(xué)生學(xué)習(xí)和生活的需要，同時(shí)避免濫用網(wǎng)絡(luò)帶來(lái)的危害，許多高校對(duì)學(xué)生宿舍網(wǎng)的建設(shè)與管理提出了更高的要求。

一、高校學(xué)生宿舍網(wǎng)的特點(diǎn)

1.用戶(hù)數(shù)多，網(wǎng)絡(luò)規(guī)模較大

在校學(xué)生集中住宿在學(xué)生宿舍區(qū)，由于每所高校往往有幾十棟學(xué)生宿舍樓，而每棟樓學(xué)生住宿的密度又較高，造成學(xué)生宿舍網(wǎng)的用戶(hù)數(shù)較多，網(wǎng)絡(luò)規(guī)模較大。

2.應(yīng)用多樣、復(fù)雜

高校學(xué)生處于求知階段，求知欲望高，探索能力強(qiáng)?；ヂ?lián)網(wǎng)上大量的信息，對(duì)大學(xué)生有著巨大的吸引力，他們從自身新掌握的知識(shí)與技能出發(fā)，嘗試各種各樣的網(wǎng)絡(luò)應(yīng)用：從網(wǎng)上信息檢索、QQ聊天、電子郵件的收發(fā)，到網(wǎng)絡(luò)游戲、下載網(wǎng)絡(luò)視頻等；從在線(xiàn)選課、在線(xiàn)學(xué)習(xí)、在線(xiàn)考試到個(gè)人主頁(yè)的制作、個(gè)人博客的建立、各種服務(wù)器的架設(shè)應(yīng)用等，各種網(wǎng)絡(luò)應(yīng)用復(fù)雜多樣。

3.上網(wǎng)時(shí)間集中，網(wǎng)絡(luò)流量大，占用帶寬高

由于絕大部分學(xué)生是在下課以后或雙休日在宿舍上網(wǎng)，同時(shí)有許多學(xué)生有著相同的喜好與需求（如網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)影視、BT下載等），這就造成學(xué)生上網(wǎng)時(shí)間集中、網(wǎng)絡(luò)流量峰值明顯、網(wǎng)絡(luò)負(fù)載重、容易造成網(wǎng)絡(luò)擁塞等問(wèn)題。

4.不安全因素多，用戶(hù)安全防范意識(shí)差

在校學(xué)生中的部分“高手”，喜歡嘗試破解網(wǎng)絡(luò)服務(wù)器的密碼，進(jìn)行網(wǎng)絡(luò)掃描，進(jìn)行網(wǎng)絡(luò)攻擊等行為。而普通學(xué)生用戶(hù)，往往對(duì)計(jì)算機(jī)的維護(hù)與安全不夠重視，造成網(wǎng)絡(luò)病毒猖獗，對(duì)網(wǎng)絡(luò)性能造成較嚴(yán)重的影響，甚至造成網(wǎng)絡(luò)的癱瘓。同時(shí)，劣質(zhì)的網(wǎng)絡(luò)連接設(shè)備也會(huì)造成學(xué)生宿舍網(wǎng)不安全因素的增多。

二、宿舍網(wǎng)絡(luò)性能設(shè)計(jì)目標(biāo)

學(xué)生宿舍網(wǎng)既有一般網(wǎng)絡(luò)設(shè)計(jì)的特點(diǎn)又有其特殊性，除了一般網(wǎng)絡(luò)所必需的可靠性、穩(wěn)定性和安全性等條件外，還應(yīng)根據(jù)學(xué)生宿舍網(wǎng)絡(luò)的自身特點(diǎn)，確定學(xué)生宿舍網(wǎng)的建設(shè)目標(biāo)。

1.高性能

學(xué)生宿舍網(wǎng)的自身特點(diǎn)決定必須建設(shè)一個(gè)高性能的網(wǎng)絡(luò)。構(gòu)建宿舍網(wǎng)絡(luò)的組網(wǎng)技術(shù)，必須是高帶寬的組網(wǎng)技術(shù)。骨干交換設(shè)備必須支持線(xiàn)速交換，以保證無(wú)阻塞的數(shù)據(jù)通訊，同時(shí)在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上需要考慮到大流量多媒體應(yīng)用的需求，力求降低核心交換機(jī)的壓力，提高整體的網(wǎng)絡(luò)性能。

2.保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量

宿舍網(wǎng)中存在各種各樣的應(yīng)用業(yè)務(wù)數(shù)據(jù)流，當(dāng)網(wǎng)絡(luò)流量處于高峰時(shí)期，必然影響關(guān)鍵業(yè)務(wù)數(shù)據(jù)流的傳輸，網(wǎng)絡(luò)建設(shè)中必須考慮到如何保證關(guān)鍵業(yè)務(wù)數(shù)據(jù)流的帶寬。在網(wǎng)絡(luò)設(shè)計(jì)中要重視帶寬分配的問(wèn)題，對(duì)帶寬的使用要能夠加以控制，從而保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。

3.保證網(wǎng)絡(luò)的可控性、可管性

宿舍網(wǎng)的信息點(diǎn)分布密集，宿舍網(wǎng)用戶(hù)的流動(dòng)性大，比較難以控制與管理，對(duì)各上網(wǎng)信息點(diǎn)的可管性與可控性的要求是必需的。必須落實(shí)基于用戶(hù)的接入認(rèn)證、授權(quán)和計(jì)費(fèi)等控制手段。

4.先進(jìn)性

所選的設(shè)備必須有很好的可擴(kuò)展性，能夠以最小的代價(jià)滿(mǎn)足新增業(yè)務(wù)的擴(kuò)容需求。

5.可靠穩(wěn)定性

學(xué)生宿舍網(wǎng)絡(luò)的設(shè)計(jì)必須從設(shè)備、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用的技術(shù)等方面，保證網(wǎng)絡(luò)的可靠穩(wěn)定性。

6.高安全性

除了要保障宿舍網(wǎng)網(wǎng)絡(luò)平臺(tái)的安全外，還需要保障應(yīng)用業(yè)務(wù)系統(tǒng)和賬號(hào)密碼的安全。

三、宿舍網(wǎng)絡(luò)建設(shè)的解決方案

針對(duì)學(xué)生宿舍的需求，我們應(yīng)用千兆以太網(wǎng)/高速以太網(wǎng)技術(shù)，采用了千兆核心、千兆匯聚、百兆至桌面的設(shè)計(jì)方案，本方案具有高寬帶和良好的可擴(kuò)展、可管理性，具體網(wǎng)絡(luò)設(shè)計(jì)如下。

1.核心層

核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)與骨干網(wǎng)之間，骨干網(wǎng)與外網(wǎng)之間的信息通訊。核心層設(shè)計(jì)任務(wù)的重點(diǎn)是冗余能力、可靠性、安全性和高線(xiàn)速傳輸。核心層是網(wǎng)絡(luò)流量的最終承受者與匯聚者，因此核心層對(duì)網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心路由交換機(jī)需要具備高可靠性、高性能、高端口密度、高安全性、可管理性等要求，并具有網(wǎng)絡(luò)可擴(kuò)容升級(jí)能力和多種業(yè)務(wù)支持能力。在完成高速交換的基礎(chǔ)上，能夠提供穩(wěn)定可靠的網(wǎng)絡(luò)基礎(chǔ)服務(wù)功能并能夠支持下層的基礎(chǔ)功能、分布服務(wù)以及QoS保證。為了實(shí)現(xiàn)核心交換機(jī)設(shè)計(jì)要求，我們采用CISCO6509作為核心交換機(jī)，它以高穩(wěn)定性、高可靠性及其高品質(zhì)的性能，能夠滿(mǎn)足當(dāng)前網(wǎng)絡(luò)的需求，也能夠滿(mǎn)足今后新增業(yè)務(wù)擴(kuò)容的要求。

2.匯聚層

宿舍網(wǎng)的網(wǎng)絡(luò)應(yīng)用中，多數(shù)是基于多媒體、文件傳輸、視頻點(diǎn)播等大流量的應(yīng)用，這些應(yīng)用對(duì)寬帶的要求較高。匯聚層的設(shè)備除了滿(mǎn)足本樓接入交換機(jī)上聯(lián)的需求，還承擔(dān)著路由、匯聚、訪(fǎng)問(wèn)控制等功能，因此對(duì)匯聚層的設(shè)備要求有較高的三層處理能力、穩(wěn)定性和可擴(kuò)展性。因此，在樓層匯聚層我們?cè)诿織潣鞘褂靡慌_(tái)聯(lián)創(chuàng)FS3725M作為樓層匯聚交換機(jī)，使用單模1000Mbps光纖上聯(lián)到CISCO6509。聯(lián)創(chuàng)FS3752M是智能三層交換機(jī)，通過(guò)在本地做分布式三層交換，大大減輕核心層的負(fù)擔(dān)。

3.接入層

接入層使用聯(lián)創(chuàng)LS2024M二層交換機(jī)，在樓道匯聚使用聯(lián)創(chuàng)LS2024M+二層交換機(jī)，這兩款交換機(jī)是高可靠性的接入設(shè)備，無(wú)論低負(fù)荷還是滿(mǎn)負(fù)荷，設(shè)備始終保持穩(wěn)定、高速的性能。

接入層交換機(jī)結(jié)合802.1x認(rèn)證技術(shù)，可以對(duì)學(xué)生接入進(jìn)行管理?？梢詫?shí)現(xiàn)非法站點(diǎn)訪(fǎng)問(wèn)過(guò)濾、非法言論的準(zhǔn)確追蹤、惡意攻擊的實(shí)時(shí)處理、記錄訪(fǎng)問(wèn)日志提供完整審計(jì)等功能。接入交換機(jī)支持完整ACL（Access Control Lists，接入控制列表），可以對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾，可以限制網(wǎng)絡(luò)中的通訊數(shù)據(jù)類(lèi)型及限制網(wǎng)絡(luò)的使用者或使用設(shè)備。在數(shù)據(jù)流通過(guò)交換機(jī)時(shí)對(duì)其進(jìn)行分類(lèi)過(guò)濾，并對(duì)從指定接口輸入的數(shù)據(jù)流進(jìn)行檢查，根據(jù)匹配條件決定是允許其通過(guò)還是丟棄。可以基于MAC、IP、TCP/UDP端口進(jìn)行流量控制，有效保證關(guān)鍵業(yè)務(wù)數(shù)據(jù)流的帶寬，防范和控制網(wǎng)絡(luò)病毒的傳播和危害。

四、宿舍網(wǎng)絡(luò)認(rèn)證技術(shù)的選擇

常用的認(rèn)證方式有：Web認(rèn)證方式、802.1x認(rèn)證方式、PPPoE方式，這三種方式的特點(diǎn)如表1所示。

三種認(rèn)證方式都有各自的優(yōu)缺點(diǎn)，我校宿舍網(wǎng)采用的認(rèn)證模式是將802.1x認(rèn)證與Web認(rèn)證模式兩者的優(yōu)點(diǎn)結(jié)合起來(lái)，既保持802.1x的標(biāo)準(zhǔn)數(shù)據(jù)格式模式，以便將來(lái)與各種客戶(hù)端程序互通，又可以吸納Web認(rèn)證模式下用VLAN-MAC-IP的綁定來(lái)唯一標(biāo)識(shí)一個(gè)用戶(hù)，可以保證用戶(hù)不論在認(rèn)證前還是認(rèn)證通過(guò)以后都處于隔離狀態(tài)。我校采用的認(rèn)證模式將VLAN-MAC-IP的綁定機(jī)制帶來(lái)的優(yōu)點(diǎn)都繼承了下來(lái)，既可以節(jié)省IP地址，還可以針對(duì)每個(gè)不同的用戶(hù)限制其流量，這一點(diǎn)是傳統(tǒng)基于端口控制的802.1x所不具備的（它只能針對(duì)端口控制流量）。

具體的實(shí)施策略、方案與流程如下：

在Cisco 6509交換機(jī)上旁?huà)?臺(tái)FS5208－AC作為用戶(hù)802.1x認(rèn)證之用，F(xiàn)S5208－AC可以對(duì)用戶(hù)的業(yè)務(wù)流進(jìn)行流量限制，對(duì)用戶(hù)的訪(fǎng)問(wèn)目的地址進(jìn)行限制，并對(duì)用戶(hù)進(jìn)行二層的隔離和受控互訪(fǎng)，充分保證網(wǎng)絡(luò)的安全。將控制邏輯做在ZAN（FS5208交換機(jī)）上，在ZAN（Zone Area Network）內(nèi)置DHCP服務(wù)器、802.1x的認(rèn)證端、RADIUS客戶(hù)端。

（１）８０２．１ｘ客戶(hù)端程序發(fā)出Ｓｔａｒｔ幀；

（２）ＺＡＮ設(shè)備請(qǐng)求用戶(hù)輸入用戶(hù)名、密碼；

（３）８０２．１ｘ客戶(hù)端程序?qū)⒂脩?hù)名、密碼封裝在EAP－Response幀中返回；

（４）ＺＡＮ將ＥＡＰ－Ｒｅｓｐｏｎｓｅ幀翻譯成ＲＡＤＩＵＳ認(rèn)證請(qǐng)求包發(fā)往ＲＡＤＩＵＳ服務(wù)器；

（５）如果用戶(hù)認(rèn)證通過(guò)，則向客戶(hù)端發(fā)送Ｓｕｃｃｅｓｓ幀；

（６）客戶(hù)端發(fā)起ＤＨＣＰ地址請(qǐng)求；

（７）ＺＡＮ根據(jù)包中的ＭＡＣ發(fā)現(xiàn)該用戶(hù)已經(jīng)通過(guò)認(rèn)證，內(nèi)置ＤＨＣＰ服務(wù)器給用戶(hù)分配ＩＰ地址，并且建立ＶＬＡＮ－ＭＡＣ－ＩＰ的綁定條目；

（８）允許用戶(hù)上網(wǎng)；

（９）如果用戶(hù)下線(xiàn)，８０２．１ｘ客戶(hù)端程序發(fā)出ｌｏｇｏｆｆ幀；

（１０）ＺＡＮ收到ｌｏｇｏｆｆ幀后，通過(guò)ＲＡＤＩＵＳ客戶(hù)端程序向ＲＡＤＩＵＳ服務(wù)器發(fā)計(jì)費(fèi)結(jié)束包；

（１１）ＺＡＮ解除ＶＬＡＮ－ＭＡＣ－ＩＰ綁定條目；

（１２）ＤHCP服務(wù)器回收地址。

五、宿舍網(wǎng)特殊的安全策略

學(xué)生宿舍使用獨(dú)立的核心交換機(jī)，使其成為一個(gè)相對(duì)獨(dú)立的局域網(wǎng)，在連通電信城域網(wǎng)同時(shí)，再通過(guò)靜態(tài)路由方式與校園網(wǎng)的核心交換機(jī)連接。同時(shí)在與校園網(wǎng)核心交換機(jī)之間加裝防火墻，這樣就能最大程度地保障校園網(wǎng)關(guān)鍵設(shè)備及應(yīng)用的正常運(yùn)行，并減少甚至消除學(xué)生宿舍網(wǎng)對(duì)校園網(wǎng)絡(luò)段和外部網(wǎng)絡(luò)的攻擊，提高網(wǎng)絡(luò)的安全性能；并針對(duì)宿舍網(wǎng)設(shè)置了特殊安全策略——802.1x網(wǎng)絡(luò)安全策略。

１.用戶(hù)ｖｌａｎ（虛擬局域網(wǎng)）隔離

由于802.1x控制點(diǎn)在ZAN設(shè)備上，故接入層的vlan靈活劃分得以實(shí)現(xiàn)；接入層可以任意地劃分vlan，一個(gè)端口一個(gè)vlan或多個(gè)端口一個(gè)vlan 都不影響802.1x接入。ＢＡＮ（Ｂｕｉｌｄｉｎｇ Ａｒｅａ Ｎｅｔｗｏｒｋ）設(shè)備支持802.1q，因此多交換機(jī)多端口的vlan劃分也能夠?qū)崿F(xiàn)。因?yàn)楦魈摂M網(wǎng)之間不能直接進(jìn)行通訊，而必須通過(guò)智能三層交換機(jī)轉(zhuǎn)發(fā)，為高級(jí)的安全控制提供了可能，增強(qiáng)了網(wǎng)絡(luò)的安全性。

２.用戶(hù)身份認(rèn)證

認(rèn)證系統(tǒng)中每個(gè)用戶(hù)都實(shí)現(xiàn)vlan:ip:mac綁定，再加上802.1x的認(rèn)證，可以避免IP地址的盜用和MAC地址的偽造。即便用戶(hù)將MAC地址和IP地址都設(shè)置為相同，但由于VLAN號(hào)不同，偽造用戶(hù)還是不能訪(fǎng)問(wèn)網(wǎng)絡(luò)。

３.攻擊防護(hù)

交換機(jī)本身已具有防止廣播風(fēng)暴（Broadcast Storm）的功能。通過(guò)與防火墻軟件相結(jié)合，可以有效地防止ICMP/UDP Flood 、DDOS等常見(jiàn)攻擊。接入交換機(jī)可提供百兆全線(xiàn)速轉(zhuǎn)發(fā)能力，有效地保證在宿舍網(wǎng)環(huán)境下網(wǎng)絡(luò)運(yùn)行的穩(wěn)定、安全、可靠。

４.防止賬戶(hù)盜用

通過(guò)對(duì)vlan的設(shè)定，使用戶(hù)之間互相隔離，用戶(hù)不能通過(guò)網(wǎng)絡(luò)嗅探等方法，非法獲取其它用戶(hù)的賬號(hào)。系統(tǒng)能夠?qū)崿F(xiàn)在用戶(hù)認(rèn)證失敗的一段時(shí)間內(nèi)（時(shí)間可設(shè)定），拒絕該用戶(hù)再次訪(fǎng)問(wèn)，以達(dá)到防止通過(guò)窮舉密碼的方式盜取賬號(hào)密碼。通過(guò)ZAN和Radius Server 管理相結(jié)合，實(shí)現(xiàn)同一時(shí)間，同一賬號(hào)只能由一個(gè)人使用。

５.用戶(hù)特定端口的使用

系統(tǒng)設(shè)置vlan/port一一對(duì)應(yīng)，可以實(shí)現(xiàn)包月用戶(hù)只能在特定端口使用，實(shí)現(xiàn)賬號(hào)和物理端口的綁定。

六、宿舍網(wǎng)網(wǎng)管軟件的作用

宿舍網(wǎng)使用的FS5208設(shè)備專(zhuān)用于用戶(hù)接入控制，其中SpeedView是基于SNMP協(xié)議的網(wǎng)絡(luò)管理軟件，運(yùn)行在windows操作系統(tǒng)平臺(tái)上。

1.在網(wǎng)管系統(tǒng)中，管理員可以通過(guò)網(wǎng)管軟件（SpeedView）或者是命令行實(shí)現(xiàn)端口的定時(shí)開(kāi)放和關(guān)閉。另外，通過(guò)SpeedView軟件，管理員可以通過(guò)圖形界面方便快捷地對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行設(shè)置；可以形象地看到設(shè)備前面板中每一個(gè)模塊、每一個(gè)端口的顯示狀態(tài)和實(shí)際的運(yùn)行情況。在設(shè)備級(jí)網(wǎng)管中，可以看到每個(gè)端口的動(dòng)態(tài)流量，也可以對(duì)每個(gè)端口進(jìn)行配置。使用三層拓?fù)浜妥泳W(wǎng)自動(dòng)發(fā)現(xiàn)功能，即可自動(dòng)完成全網(wǎng)邏輯拓?fù)涞陌l(fā)現(xiàn)，了解整個(gè)網(wǎng)絡(luò)的設(shè)備及其運(yùn)行狀況。自動(dòng)檢測(cè)網(wǎng)絡(luò)活動(dòng)，采用不同的位圖標(biāo)識(shí)不同類(lèi)型的設(shè)備，不同顏色的位圖標(biāo)識(shí)設(shè)備的不同狀態(tài)，更好地描繪了網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)的狀態(tài)，為管理員提供了快速準(zhǔn)確的告警定位。通過(guò)與事件管理器的無(wú)縫連接，實(shí)現(xiàn)設(shè)備狀態(tài)在事件管理器中的實(shí)時(shí)通知與處理。

2.網(wǎng)管系統(tǒng)可以記錄設(shè)備上運(yùn)行的每一個(gè)用戶(hù)的詳細(xì)信息，如：用戶(hù)名、上線(xiàn)時(shí)間、上行流量、下行流量、IP地址、MAC地址、VLAN號(hào)等所有信息，這些用戶(hù)的上網(wǎng)信息記錄對(duì)加強(qiáng)網(wǎng)絡(luò)安全管理，減少網(wǎng)絡(luò)不安全因素都是十分重要的。網(wǎng)管系統(tǒng)提供豐富的事件分類(lèi)查看和存儲(chǔ)功能，使管理員可在大量的網(wǎng)絡(luò)事件中迅速查找并標(biāo)識(shí)重要事件，從而進(jìn)行有效處理。網(wǎng)管系統(tǒng)可根據(jù)管理員定義的搜索條件，檢索數(shù)據(jù)庫(kù)，并形成HTML報(bào)表供管理員匯總和分析；還可提供完美的組合式曲線(xiàn)統(tǒng)計(jì)方式，為網(wǎng)絡(luò)性能分析和故障分析提供直觀的分析視圖集。

網(wǎng)絡(luò)管理系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備進(jìn)行集中式的配置、監(jiān)視和控制，自動(dòng)檢測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，監(jiān)視和控制網(wǎng)段和端口，以及進(jìn)行網(wǎng)絡(luò)流量統(tǒng)計(jì)和錯(cuò)誤統(tǒng)計(jì)。通過(guò)對(duì)網(wǎng)絡(luò)的全面監(jiān)控，網(wǎng)絡(luò)管理員可以有效地管理控制網(wǎng)絡(luò)，使網(wǎng)絡(luò)達(dá)到最佳效果。

上述建設(shè)方案與管理措施的實(shí)施，基本滿(mǎn)足了宿舍網(wǎng)的特殊需求，實(shí)現(xiàn)了宿舍網(wǎng)的設(shè)計(jì)目標(biāo)，保證了宿舍網(wǎng)穩(wěn)定、安全、可靠運(yùn)行；基本實(shí)現(xiàn)宿舍網(wǎng)絡(luò)運(yùn)行的可控、可管，減少了用戶(hù)接入存在的安全隱患。

參考文獻(xiàn)：

[1]繆無(wú)照等.校園網(wǎng)宿舍網(wǎng)絡(luò)管理模式的探討[J].現(xiàn)代電子技術(shù)，2003(15):16-18.

[2]何可夫.寬帶網(wǎng)絡(luò)的管理與計(jì)費(fèi)模式研究[J].計(jì)算機(jī)工程，2002(4).