文/荊雪蕾

802.1X實名認證上網(wǎng)策略實踐

文/荊雪蕾

聊城大學802.1X認證管理系統(tǒng)的實施，使曾經(jīng)常發(fā)生的IP地址盜用、非法設備接入等問題，得到了有效解決。

聊城大學校園網(wǎng)現(xiàn)狀

聊城大學校園網(wǎng)經(jīng)過16年的發(fā)展,校園網(wǎng)出口總帶寬為公網(wǎng)5000M（聯(lián)通3G和移動2G）和教育網(wǎng)155M，校園網(wǎng)覆蓋了兩個校區(qū)的100多座樓宇,聯(lián)網(wǎng)計算機用戶接近10000臺,并且已成為學校一卡通、郵件系統(tǒng)、圖書館、電子檔案管理、安保系統(tǒng)、數(shù)字化考場和節(jié)能管理系統(tǒng)等應用的“中流砥柱”。如此龐大的校園網(wǎng)應用，而校園網(wǎng)管理部門的人員是有限的(具體負責此項工作的僅5個人),面對開放的網(wǎng)絡應用、紛雜的操作系統(tǒng)和軟件、參差不齊的用戶操作水平、還有惡意或者善意的冒險用戶等,如何保障校園網(wǎng)的高可用性、高穩(wěn)定性和高安全性?為了使工作順利進行，作為網(wǎng)絡運行與維護組的人員，我們進行了大量的實踐探索，終于找出了適合學校的一些方式，希望可以為其他高校提供參考方案。聊城大學校園網(wǎng)絡拓撲圖如圖1所示。

802.1X認證管理的實施

聊城大學目前在全校范圍內(nèi)實行了802.1X認證上網(wǎng)。采用802.1X認證計費系統(tǒng)后，對接入用戶進行用戶賬號與IP、MAC、端口等多元素綁定，以惟一確定用戶；網(wǎng)絡中的非法用戶由于無法通過認證，支持802.1X的交換機此端口在物理上將此用戶隔離在網(wǎng)絡之外。一些煩惱的問題都不存在，如經(jīng)常發(fā)生的IP地址盜用、非法設備接入等。用戶不啟動客戶端，其上連端口是禁止狀態(tài)，與外界的網(wǎng)絡是隔離狀態(tài)，避免了原有網(wǎng)絡實時在線，經(jīng)常被掃描的情況。日志服務器記錄有用戶完整的訪問記錄，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、訪問開始時間、訪問結(jié)束時間、發(fā)送流量、接受流量等，通過日志管理查詢系統(tǒng)，可以對日志進行管理和查詢?，F(xiàn)在在辦公區(qū)和家屬區(qū)用的是SAM認證計費管理系統(tǒng)，在學生宿舍區(qū)是DCSM認證計費管理系統(tǒng)。

網(wǎng)絡實名制概念引入

圖1 聊城大學校園網(wǎng)絡拓撲

官方、網(wǎng)絡管理者、業(yè)內(nèi)專家大多支持網(wǎng)絡實名制，認為必須通過實名制維護整個社會信息系統(tǒng)的安全與穩(wěn)定，而互聯(lián)網(wǎng)在自由的同時放任無度，其消極影響不容忽視。對于網(wǎng)絡實名制的定義，目前在業(yè)內(nèi)尚未形成一致和統(tǒng)一的論斷。但普遍認可的陳述是：網(wǎng)民們使用網(wǎng)絡服務如博客、BBS討論、電子購物、網(wǎng)絡游戲等時，要進行真實姓名和身份證號登記與驗證，以加強網(wǎng)絡管理。

聊城大學校園網(wǎng)管理引入網(wǎng)絡實名制

1.辦公區(qū)和家屬區(qū)用戶建立規(guī)則

辦公區(qū)和家屬區(qū)用戶上網(wǎng)賬號建立規(guī)則是將所在地點作為命名的依據(jù)?？梢云鸬揭娒獾淖饔?，名字組成就涵蓋了具體上網(wǎng)地點，如wo2051代表西校區(qū)辦公樓205室第1個用戶，ets031056代表東校區(qū)3號實驗樓105室第6個用戶。通過用戶名在802.1X認證管理系統(tǒng)中可以查詢用戶的基本上網(wǎng)信息。

2.學生宿舍區(qū)用戶命名規(guī)則

學生宿舍用戶命名以學生學號直接作為用戶名，通過用戶名在802.1X認證管理系統(tǒng)中可以查詢用戶的基本上網(wǎng)信息。如圖2所示。

網(wǎng)絡用戶上網(wǎng)手續(xù)的辦理方式

1.辦公區(qū)和家屬區(qū)上網(wǎng)手續(xù)辦理

圖2 802.1X認證管理系統(tǒng)

在辦公區(qū)和家屬區(qū)的網(wǎng)絡用戶首先在網(wǎng)絡信息中心辦理手續(xù)，分發(fā)給其上網(wǎng)賬號，密碼和個人信息按照用戶實際信息錄入，確保網(wǎng)絡實名制的進行；之后網(wǎng)絡信息中心人員負責將線路調(diào)通，并指導用戶下載802.1X認證客戶端，最后讓用戶能夠正常上網(wǎng)。

2.學生宿舍區(qū)上網(wǎng)手續(xù)辦理

在學生宿舍區(qū)上網(wǎng)的學生用戶是集中辦理上網(wǎng)手續(xù)，原則是一個學期辦理一次，開戶整個過程全部采用資訊通，通過它自助完成注冊和繳費,學生繳費后立即就可以回宿舍上網(wǎng)。上網(wǎng)用戶名就是學號，密碼為學生自己設定的。網(wǎng)絡信息中心將每個宿舍的上網(wǎng)信息接口預先已調(diào)通，全部學生宿舍區(qū)均使用DHCP動態(tài)獲取IP地址方式，簡化了用戶配置靜態(tài)IP地址的麻煩，也省去了網(wǎng)絡中心人員分發(fā)靜態(tài)IP地址的大量工作；為了使客戶端分發(fā)方便，在接入設備中做配置，允許未通過認證即可登錄聊城大學網(wǎng)站，并讓用戶可以從聊城大學網(wǎng)絡信息中心網(wǎng)站上下載客戶端，學生安裝好802.1X認證客戶端用自己的用戶名和賬號即可通過認證上外網(wǎng)。由于學生自己設定密碼，對網(wǎng)絡賬號的安全性有了重要保證；為了對學生用戶的網(wǎng)絡管理更安全，在接入設備中引入ip DHCP Snooping思想，第一次上網(wǎng)后就綁定了用戶上網(wǎng)位置和上網(wǎng)設備，避免了學生亂用賬號，有利于網(wǎng)絡管理。

資訊通注冊繳費具體流程如下：

（1）首先將個人一卡通插入“IC卡插口”，根據(jù)提示輸入資訊通密碼，成功之后進入個人資訊通界面。

提示：個人初始密碼為學號后六位或者000000或者666666；若個人密碼忘記，請與西校區(qū)一卡通管理中心聯(lián)系。

（2）通過觸摸屏選擇“項目收費”，會出現(xiàn)“上網(wǎng)繳費”和“上網(wǎng)注冊”兩個按鈕。

圖3 學生上網(wǎng)注冊界面

（3）通過觸摸屏選擇“上網(wǎng)注冊”，進入學生上網(wǎng)注冊頁面。通過觸摸屏移動到每個選項填寫完全，然后點擊“注冊”按鈕，進行注冊，如圖3所示。

提示：用戶上網(wǎng)DCSM客戶端需要輸入的用戶名和密碼分別就是注冊界面上的個人編碼（即一卡通號、個人學號）和用戶密碼，請牢記；涉及到網(wǎng)絡維護問題，校區(qū)、樓號、宿舍號請一定仔細填寫正確。

（4）注冊成功之后，請選擇 “上網(wǎng)繳費”按鈕進行繳費。涉及資金問題，望用戶謹慎選擇，一旦確定無法修改。

提示：本次上網(wǎng)繳費只有學年繳費選項，收費標準為175元/學年。

（5）提示繳費成功之后，相應金額會從卡中扣除，繳費工作完成。切記取回個人一卡通。

聊城大學通過對全校實現(xiàn)802.1X認證，網(wǎng)絡運行質(zhì)量得到了很大改善。通過對辦公區(qū)、家屬區(qū)同學生宿舍區(qū)的隔離，使用了不同的上網(wǎng)認證計費系統(tǒng)，使得網(wǎng)絡管理更清晰。通過花費巨大的時間和精力將學生宿舍區(qū)每個宿舍開通了一個上網(wǎng)信息接口，使得學生即使不繳費，亦可以免費瀏覽聊城大學網(wǎng)站，而且可以預先由聊城大學網(wǎng)絡信息中心網(wǎng)站下載認證客戶端；通過運用資訊通，使得學生可以自由的在辦理手續(xù)期間的任何時間在指定的六個放置資訊通設備的位置自助繳費，繳費成功后就可以回宿舍暢游網(wǎng)絡了。

在辦公和家屬區(qū)的上網(wǎng)用戶是基于上網(wǎng)地點來命名的，當有網(wǎng)絡安全問題出現(xiàn)時,可追尋性強；當有網(wǎng)絡故障問題出現(xiàn)時，對網(wǎng)絡地點的確定很容易，解決問題針對性更強。在學生宿舍區(qū)上網(wǎng)的學生用戶是基于學生學號命名的，對網(wǎng)絡安全問題的可追蹤性強；由于引入ip DHCP Snooping思想，通過學號在802.1X認證系統(tǒng)中查詢到學生上網(wǎng)所在的具體設備來解決網(wǎng)絡故障亦相對容易。

現(xiàn)在隨著掌上電腦、智能手機和其他無線終端等設備的出現(xiàn)，對無線網(wǎng)絡的需求日益增加，現(xiàn)在聊城大學在學生宿舍區(qū)已經(jīng)啟用了移動無線網(wǎng)絡，準備2014年前在教學辦公區(qū)也啟用無線網(wǎng)絡。

（作者單位為聊城大學網(wǎng)絡信息中心）