文/劉堅(jiān)強(qiáng)

實(shí)名認(rèn)證解IP地址沖突和網(wǎng)絡(luò)安全之困

文/劉堅(jiān)強(qiáng)

隨著數(shù)字校園不斷深入發(fā)展，各高校的校園網(wǎng)發(fā)展越來(lái)越快，智能化的程度也越來(lái)越高，以前的設(shè)備、技術(shù)、方法不能滿足師生的需求，所以加快校園網(wǎng)的智能化發(fā)展是未來(lái)的趨勢(shì)，校園網(wǎng)的實(shí)名認(rèn)證又是校園網(wǎng)擴(kuò)建工程中的重要部分，它能有效支撐校園網(wǎng)的智能化發(fā)展。

背景

在沒(méi)實(shí)施實(shí)名認(rèn)證之前，校園網(wǎng)的用戶（包括單位用戶和家庭用戶）上網(wǎng)都是固定的IP地址。但是也可以說(shuō)是不固定的，因?yàn)槲覀儗W(xué)院把每個(gè)部門和每棟家屬樓細(xì)化了VLAN，在這個(gè)VLAN中一般IP地址劃分給這個(gè)VLAN。

所以有的用戶知道這種情況后，科室或者家里增加了電腦，就能猜到IP地址，如果和別人的發(fā)生了沖突，那么會(huì)造成搶網(wǎng)的事件，而且不便于網(wǎng)絡(luò)中心的工作人員管理網(wǎng)絡(luò)。對(duì)于網(wǎng)絡(luò)安全也存在很大的隱患，如果用戶中毒或者在網(wǎng)上發(fā)布影響學(xué)校或者國(guó)家的帖子，可能找不到本人。正是由于這些不利的因素，學(xué)校準(zhǔn)備實(shí)施校園網(wǎng)擴(kuò)建工程的實(shí)名認(rèn)證。

方案介紹

“學(xué)院校園網(wǎng)項(xiàng)目”是校園網(wǎng)工程的一部分，包括教師宿舍、教學(xué)區(qū)、綜合樓和老教學(xué)區(qū)的樓棟匯聚、樓層接入網(wǎng)絡(luò)交換設(shè)備與集成、管理系統(tǒng)和認(rèn)證計(jì)費(fèi)系統(tǒng)。

項(xiàng)目完成后將為整個(gè)校園提供一個(gè)高效、穩(wěn)定的網(wǎng)絡(luò)通信平臺(tái)。對(duì)校園網(wǎng)的整體設(shè)計(jì)要求實(shí)現(xiàn)百兆到桌面，主干雙鏈路千兆到樓宇匯聚，并保證子網(wǎng)的每個(gè)信息點(diǎn)有802.1X認(rèn)證的交換機(jī)端口。同時(shí)，還要保證在接入層實(shí)現(xiàn)安全控制接入。

實(shí)施要求

軟件上需要能夠提供對(duì)學(xué)生上網(wǎng)的管理，如用戶合法性的驗(yàn)證，IP、MAC的綁定，帳號(hào)的分配及管理；日常運(yùn)營(yíng)所需要的收費(fèi)、計(jì)費(fèi)服務(wù)；學(xué)生自助服務(wù)系統(tǒng)和設(shè)備管理。交換機(jī)方面需要能夠?yàn)榻處熕奚帷⒔虒W(xué)區(qū)、綜合樓和老教學(xué)區(qū)提供穩(wěn)定、快速的接入服務(wù)，匯聚交換機(jī)能夠提供VLAN劃分和三層交換，接入需要支持802.1X以保證運(yùn)營(yíng)的實(shí)施。

學(xué)院校園網(wǎng)拓?fù)鋱D如圖1。

網(wǎng)絡(luò)拓?fù)湔f(shuō)明

圖1 學(xué)院校園網(wǎng)拓?fù)?/p>

出口使用某廠商的RSR50-40路由器作為出口設(shè)備與移動(dòng)網(wǎng)和教育網(wǎng)相連。

核心層采用兩臺(tái)RG-S8606核心交換機(jī)，負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換。匯聚層是千兆交換機(jī)S3760-12SFP/GT，千兆光纖連接核心交換機(jī)及每層樓的接入交換機(jī)。每棟樓的小匯聚使用的是S2126G，同時(shí)也可提供接入服務(wù)，使用雙絞線與接入交換機(jī)S2026F互聯(lián)。

方案實(shí)施

首先需要安裝SAM服務(wù)器，學(xué)院選用的是RG-SAM 2.x企業(yè)版,擁有2000用戶。

其次是安全管理規(guī)劃，系統(tǒng)使用Windows2003 Server+SP2，并在相應(yīng)網(wǎng)站下載補(bǔ)丁程序升級(jí)，并建議客戶預(yù)裝殺毒程序以保障機(jī)器的安全。

同時(shí)在交換機(jī)上通過(guò)ACL做服務(wù)器網(wǎng)段和用戶網(wǎng)段的隔離，并進(jìn)行端口過(guò)濾，只允許服務(wù)器進(jìn)行所需端口通過(guò)。

a)8080.TCP端口.http訪問(wèn)端口

b)8443.TCP端口,https訪問(wèn)端口

c)1812.UDP端口.默認(rèn)的認(rèn)證報(bào)文接收端口

d)1813.UDP端口.默認(rèn)的記帳報(bào)文接收端口

e)1433.TCP端口.SQL SERVER的默認(rèn)監(jiān)聽(tīng)端口

f)1434.UDP端口.SQL SERVER的默認(rèn)監(jiān)聽(tīng)端口.

g)8009.TCP端口.ajp端口

h)1099.TCP端口.jnp端口

i)1098.TCP端口.rmi端口

j)8090.TCP端口.JBossMQ OIL service端口

k)8092.TCP端口.JBossMQ OIL2 service端口

l)8093.TCP端口.JBossMQ UIL service端口

m 4444.TCP端口.RMIOBJECTPort

n)4445.TCP端口.ServerBindPort

o)1162.UDP端口.JBoss snmp agent端口.

數(shù)據(jù)庫(kù)系統(tǒng)規(guī)劃

安全管理規(guī)劃：數(shù)據(jù)庫(kù)軟件選用的是MS SQL Server 2000 標(biāo)準(zhǔn)版或企業(yè)版+SP4。

數(shù)據(jù)的備份：

1.SQL Server Agent服務(wù)啟動(dòng)，建數(shù)據(jù)庫(kù)維護(hù)計(jì)劃實(shí)現(xiàn)數(shù)據(jù)庫(kù)備份，計(jì)劃的名字為sambackup。

2.SQL數(shù)據(jù)的備份采用完全備份方式，備份目錄為k:/backup，備份時(shí)間為每天凌晨三點(diǎn)，保留一個(gè)月內(nèi)的完全備份數(shù)據(jù)。

3.由于RG-SAM的后臺(tái)數(shù)據(jù)信息非常重要，需要經(jīng)常性質(zhì)地將數(shù)據(jù)進(jìn)行備份。

數(shù)據(jù)的恢復(fù)：

在原服務(wù)器上完全備份數(shù)據(jù)到指定的文件（假定為SAMdata060526）

1.手動(dòng)備份數(shù)據(jù)庫(kù)。

2.將上一步備份的文件SAMdata060526復(fù)制到新的機(jī)器上并執(zhí)行還原操作。

3.刪除原數(shù)據(jù)庫(kù)中的sam關(guān)聯(lián)。

4.在后臺(tái)數(shù)據(jù)庫(kù)中創(chuàng)建和sam帳號(hào)的關(guān)聯(lián)。成功完成后，移到新服務(wù)器上，便可在新服務(wù)器上啟動(dòng)SAM，注意啟動(dòng)前要將服務(wù)器的IP改為原服務(wù)器的IP。

SAM系統(tǒng)規(guī)劃及設(shè)置

用戶開(kāi)戶的方式

采用批量導(dǎo)入的方式進(jìn)行用戶開(kāi)戶。

將要開(kāi)戶的用戶按一定的格式編輯成相應(yīng)的文本文件，在管理界面中批量導(dǎo)入進(jìn)行開(kāi)戶。

1.在開(kāi)戶之前先要定義組，比如說(shuō)辦公的用戶就劃分為office組，家庭的劃分為home組，學(xué)生的劃分為student組等等，然后把個(gè)人的姓名拼音當(dāng)做用戶名，綁定IP地址，最后選擇組（請(qǐng)個(gè)人賬戶的格式是用戶名+IP地址+組）。此外，我們?yōu)槭裁礇](méi)有綁定MAC地址，是因?yàn)槿绻脩綦娔X換了或者網(wǎng)卡換了就不能上網(wǎng)了，考慮到這原因，我們就沒(méi)有綁定MAC地址，也是為了便于管理。

2.接入交換機(jī)sam系統(tǒng)配置

Switch#config t 進(jìn)入全局配置層以后,配置以下:

3.所有用戶需要安裝客戶端，設(shè)置在網(wǎng)絡(luò)中心注冊(cè)的合法IP地址。打開(kāi)認(rèn)證軟件就可以看到認(rèn)證軟件的界面。根據(jù)在網(wǎng)絡(luò)中心簽的入網(wǎng)協(xié)議上的用戶名和密碼，選擇網(wǎng)卡類型（為什么要選擇網(wǎng)卡類型，因?yàn)橛行╇娔X是二個(gè)網(wǎng)卡，軟件自己是識(shí)別不出來(lái)的，所以要選擇填了正確IP地址的網(wǎng)卡），點(diǎn)擊鏈接，那么你的電腦就會(huì)自動(dòng)和SAM服務(wù)器“握手”，匹配是否合法，如果信息匹配成功，那么就可以正常上網(wǎng)了（這個(gè)匹配的時(shí)間就1-2秒鐘）。

4.部分用戶可能覺(jué)得這樣上網(wǎng)麻煩，那可以在這個(gè)用戶參數(shù)設(shè)置里面把“保存密碼”，“啟動(dòng)軟件后自動(dòng)認(rèn)證”，“開(kāi)機(jī)自動(dòng)運(yùn)行”這三項(xiàng)前面打勾，那么啟動(dòng)電腦，這個(gè)認(rèn)證的軟件就自動(dòng)認(rèn)證。

方案實(shí)施后的效果

自從校園網(wǎng)實(shí)施實(shí)名認(rèn)證升級(jí)后，再也沒(méi)有發(fā)生過(guò)IP地址沖突之類的事件，而且還限制了用戶在辦公室或者家里私自接內(nèi)網(wǎng)，防止破壞校園網(wǎng)整體結(jié)構(gòu)。

在實(shí)施實(shí)名后，通過(guò)每個(gè)用戶名和IP地址綁定，如果用戶中毒或者是在網(wǎng)上發(fā)影響學(xué)?；蛘邍?guó)家的帖子，可以找到他的IP地址，從而可以找到他本人。這樣很大程度上解決了網(wǎng)絡(luò)中心的安全隱患，也為網(wǎng)管人員減輕了不少工作負(fù)擔(dān)！

(作者單位為湖北省咸寧職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)中心)

經(jīng)緯中天直播錄播系統(tǒng)充分滿足用戶需求

本刊訊 近日，由新疆自治區(qū)教育廳、自治區(qū)文明辦、自治區(qū)廣電局聯(lián)合主辦的自治區(qū)“第一屆大學(xué)生雙語(yǔ)能力大賽”成功落下帷幕。經(jīng)緯中天作為本次活動(dòng)的唯一指定直播錄播技術(shù)支持廠商，用其高端的直播錄播系統(tǒng)為此次活動(dòng)提供了全面的實(shí)時(shí)在線直播錄播支持。

活動(dòng)現(xiàn)場(chǎng)的直播錄播系統(tǒng)是北京經(jīng)緯中天信息技術(shù)有限公司基于流媒體技術(shù)、互動(dòng)通訊、多媒體內(nèi)容管理等技術(shù)完全自主開(kāi)發(fā)而成的。相比傳統(tǒng)的直播錄播系統(tǒng)，經(jīng)緯中天的直播錄播系統(tǒng)功能更加完善，不僅僅有視頻直播，還增加了圖文、圖片、互動(dòng)、VGA屏幕等內(nèi)容的在線直播錄播。同時(shí)，設(shè)計(jì)也更加人性化，提供了完善的后臺(tái)審核功能，真正地從用戶角度出發(fā)，充分滿足了用戶的需求。