劉勁松 王進(jìn) 賀秋雨
【摘要】? ? 滄州交通學(xué)院在校園網(wǎng)升級(jí)改造之前,學(xué)校僅僅部署了基于有線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,實(shí)行核心層、匯聚層、接入層三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì),為了落實(shí)《網(wǎng)絡(luò)安全法》上網(wǎng)實(shí)名制的要求,教工和學(xué)生的計(jì)算機(jī)都是通過(guò)安裝基于802.1x 認(rèn)證的客戶(hù)端實(shí)現(xiàn)準(zhǔn)入認(rèn)證,隨著信息技術(shù)及移動(dòng)互聯(lián)技術(shù)的發(fā)展和廣泛應(yīng)用,廣大師生對(duì)無(wú)線(xiàn)接入的需求越來(lái)越迫切,但是需要解決網(wǎng)絡(luò)接入方面實(shí)名制的落地問(wèn)題,面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境,需要進(jìn)行技術(shù)突破及合理設(shè)計(jì)。公安網(wǎng)安部門(mén)和學(xué)院網(wǎng)絡(luò)管理部門(mén)立足實(shí)際,開(kāi)展技術(shù)公關(guān),梳理當(dāng)前的實(shí)際網(wǎng)絡(luò)情況,結(jié)合《網(wǎng)絡(luò)安全法》的具體要求,最終確定學(xué)校通過(guò)和運(yùn)營(yíng)商合作共建的方式實(shí)現(xiàn)有線(xiàn)無(wú)線(xiàn)一體化統(tǒng)一認(rèn)證,建設(shè)一套校園網(wǎng)有線(xiàn)無(wú)線(xiàn)網(wǎng)統(tǒng)一認(rèn)證的架構(gòu)方式,其中學(xué)生用戶(hù)通過(guò)運(yùn)營(yíng)商融合寬帶pppoe認(rèn)證線(xiàn)路訪(fǎng)問(wèn)互聯(lián)網(wǎng),教學(xué)辦公通過(guò)運(yùn)營(yíng)商專(zhuān)線(xiàn)訪(fǎng)問(wèn)互聯(lián)網(wǎng),所有用戶(hù)通過(guò)統(tǒng)一web認(rèn)證之后,無(wú)區(qū)別訪(fǎng)問(wèn)校園網(wǎng)資源。本文重點(diǎn)介紹該有線(xiàn)無(wú)線(xiàn)多類(lèi)型統(tǒng)一認(rèn)證接入一體化實(shí)現(xiàn)的技術(shù)實(shí)踐。
【關(guān)鍵詞】? ? 校園網(wǎng)? ? 一體化
隨著移動(dòng)互聯(lián)技術(shù)的發(fā)展,越來(lái)越多的師生開(kāi)始使用移動(dòng)設(shè)備投入到教學(xué)活動(dòng)中。滄州交通學(xué)院校園網(wǎng)升級(jí)之前,無(wú)線(xiàn)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施欠完善,廣大師生只能通過(guò)有線(xiàn)的方式接入校園網(wǎng),校園網(wǎng)實(shí)行核心層、匯聚層、接入層三層架構(gòu),骨干之間千兆互聯(lián),通過(guò)在外網(wǎng)防火墻以NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的方式與運(yùn)營(yíng)商專(zhuān)線(xiàn)互聯(lián),為了保證上網(wǎng)實(shí)名制,每臺(tái)接入校園網(wǎng)的終端必須安裝學(xué)校專(zhuān)用的802.1x客戶(hù)端才能上網(wǎng)。
隨著無(wú)線(xiàn)需求的不斷擴(kuò)大,由于沒(méi)有有效無(wú)線(xiàn)網(wǎng)接入,越來(lái)越多的老師和學(xué)生只能尋求通過(guò)購(gòu)買(mǎi)普通路由器的方式來(lái)尋求無(wú)線(xiàn)上網(wǎng),但是大多數(shù)無(wú)線(xiàn)路由器不支持802.1x認(rèn)證,同時(shí)給校園網(wǎng)的管理帶來(lái)諸多不便,安全問(wèn)題頻繁發(fā)生,造成重大網(wǎng)絡(luò)安全隱患,學(xué)校無(wú)線(xiàn)校園網(wǎng)和有線(xiàn)無(wú)線(xiàn)一體化認(rèn)證的建設(shè)勢(shì)在必行。
針對(duì)當(dāng)前的情況,公安網(wǎng)安部門(mén)和學(xué)校管理部門(mén)針對(duì)校園升級(jí)改造梳理以下需求:
1.建立覆蓋全校的無(wú)線(xiàn)網(wǎng)。
2.升級(jí)改造核心骨干設(shè)備至萬(wàn)兆互聯(lián)。
3.實(shí)現(xiàn)全校有線(xiàn)無(wú)線(xiàn)一體化認(rèn)證。
4.升級(jí)改造后的校園網(wǎng)滿(mǎn)足《網(wǎng)絡(luò)安全法》中對(duì)實(shí)名制和上網(wǎng)日志留存的要求。
5.校內(nèi)認(rèn)證系統(tǒng)計(jì)費(fèi)和一卡通系統(tǒng)進(jìn)行聯(lián)動(dòng),通過(guò)一卡通系統(tǒng)可以繳納網(wǎng)費(fèi)。
6.增加萬(wàn)兆上網(wǎng)行為審計(jì)設(shè)備,同時(shí)要求認(rèn)證系統(tǒng)和日志審計(jì)設(shè)備聯(lián)動(dòng),在日志審計(jì)設(shè)備中顯示的用戶(hù)在認(rèn)證系統(tǒng)的賬號(hào)信息。
7.內(nèi)網(wǎng)用戶(hù)和服務(wù)器之間通過(guò)白名單策略對(duì)非必要服務(wù)器ip地址和網(wǎng)絡(luò)端口進(jìn)行有效過(guò)濾。
最終學(xué)校尋求和運(yùn)營(yíng)商合作的方式來(lái)建設(shè)學(xué)校的校園網(wǎng),運(yùn)營(yíng)商投資建設(shè)覆蓋全校的無(wú)線(xiàn)網(wǎng),并對(duì)原來(lái)有線(xiàn)網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí),核心升級(jí)至萬(wàn)兆。其中學(xué)校教學(xué)、辦公的有線(xiàn)無(wú)線(xiàn)訪(fǎng)問(wèn)互聯(lián)網(wǎng)均使用運(yùn)營(yíng)商專(zhuān)線(xiàn)接入的方式訪(fǎng)問(wèn),學(xué)生生活區(qū)的有線(xiàn)接入和校園網(wǎng)內(nèi)學(xué)生用戶(hù)的無(wú)線(xiàn)接入均通過(guò)運(yùn)營(yíng)商的融合寬帶以PPPoE方式認(rèn)證的線(xiàn)路來(lái)實(shí)現(xiàn),校園網(wǎng)所有用戶(hù)都通過(guò)DHCP服務(wù)器獲取相應(yīng)的IP上網(wǎng)參數(shù)。這樣整個(gè)學(xué)校的校園網(wǎng)既有有線(xiàn)接入,又有無(wú)線(xiàn)接入,既有教學(xué)辦公的傳統(tǒng)校園網(wǎng)上網(wǎng)方式,又有基于PPPoE的融合寬帶式訪(fǎng)問(wèn)互聯(lián)網(wǎng)。
整個(gè)校園網(wǎng)的上網(wǎng)環(huán)境變得相對(duì)復(fù)雜,學(xué)校網(wǎng)絡(luò)管理部門(mén)的老師從用戶(hù)體驗(yàn)角度考慮,需要設(shè)計(jì)一套行之有效的認(rèn)證計(jì)費(fèi)方案,能夠讓全校的師生使用一種統(tǒng)一的認(rèn)證方式來(lái)訪(fǎng)問(wèn)互聯(lián)網(wǎng)和校內(nèi)的服務(wù)器,使內(nèi)外網(wǎng)的訪(fǎng)問(wèn)既能滿(mǎn)足《網(wǎng)絡(luò)安全法》上網(wǎng)實(shí)名制的需求,又能使用戶(hù)的上網(wǎng)體驗(yàn)良好,如何設(shè)計(jì)行之有效的認(rèn)證方案,成了一道難題。
經(jīng)過(guò)長(zhǎng)時(shí)間和運(yùn)營(yíng)商、廠商技術(shù)人員的溝通,滿(mǎn)足公安部門(mén)有關(guān)校園網(wǎng)監(jiān)管的要求下,反復(fù)的論證,最終網(wǎng)絡(luò)管理部門(mén)老師在兼顧以上問(wèn)題的基礎(chǔ)上設(shè)計(jì)如下的統(tǒng)一認(rèn)證方案。
為了使用戶(hù)有較好的認(rèn)證體驗(yàn),全網(wǎng)使用基于portal的認(rèn)證方式,即用戶(hù)不管何種用戶(hù)類(lèi)型使用何種方式以何種設(shè)備上網(wǎng),打開(kāi)瀏覽器訪(fǎng)問(wèn)任何網(wǎng)站的時(shí)候都會(huì)重定向到認(rèn)證系統(tǒng)設(shè)定的統(tǒng)一認(rèn)證界面,實(shí)現(xiàn)了有線(xiàn)無(wú)線(xiàn)認(rèn)證的統(tǒng)一。
為了使學(xué)生和教師認(rèn)證后上網(wǎng)線(xiàn)路能夠正確選擇,校園網(wǎng)無(wú)線(xiàn)網(wǎng)建立了兩個(gè)不同的SSID,每個(gè)SSID對(duì)應(yīng)不同網(wǎng)段的地址池,在核心通過(guò)策略路由的方式把所有的認(rèn)證的流量引導(dǎo)至Web轉(zhuǎn)PPPoe網(wǎng)關(guān),該設(shè)備和校內(nèi)計(jì)費(fèi)認(rèn)證系統(tǒng)聯(lián)動(dòng),通過(guò)系統(tǒng)賬戶(hù)類(lèi)型來(lái)判斷最終的訪(fǎng)問(wèn)流量是走家庭寬帶式線(xiàn)路,還是走互聯(lián)網(wǎng)專(zhuān)線(xiàn),在Web轉(zhuǎn)PPPOE網(wǎng)關(guān)、校內(nèi)計(jì)費(fèi)認(rèn)證系統(tǒng)和運(yùn)營(yíng)商Bras進(jìn)行對(duì)接,實(shí)現(xiàn)學(xué)生走家庭寬帶線(xiàn)路上網(wǎng)的一次性認(rèn)證。
同時(shí)在核心旁路部署上網(wǎng)審計(jì)設(shè)備,對(duì)上行的流量做端口鏡像,滿(mǎn)足《網(wǎng)絡(luò)安全法》中保存上網(wǎng)日志的要求,一卡通系統(tǒng)和校內(nèi)認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)接,實(shí)現(xiàn)一卡通設(shè)備繳納網(wǎng)費(fèi),審計(jì)設(shè)備和認(rèn)證系統(tǒng)對(duì)接,實(shí)現(xiàn)日志審計(jì)設(shè)備能夠顯示認(rèn)證系統(tǒng)上網(wǎng)賬號(hào)的日志。
在該網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)下,無(wú)論是校園網(wǎng)的專(zhuān)線(xiàn)用戶(hù)還是家庭寬帶用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)和校內(nèi)服務(wù)器之前必須通過(guò)校內(nèi)認(rèn)證系統(tǒng)的認(rèn)證授權(quán),完美實(shí)現(xiàn)上網(wǎng)實(shí)名制的要求,有效實(shí)現(xiàn)上網(wǎng)行為的準(zhǔn)入和準(zhǔn)出,通過(guò)出口防火墻和數(shù)據(jù)中心邊界防火墻分別對(duì)來(lái)自互聯(lián)網(wǎng)和內(nèi)網(wǎng)用戶(hù)的安全威脅進(jìn)行了有效隔離。
升級(jí)改造完成后,整個(gè)校園網(wǎng)運(yùn)行平穩(wěn),達(dá)到了預(yù)期的目的,實(shí)現(xiàn)了平穩(wěn)的過(guò)渡。但由于涉及了多個(gè)系統(tǒng)之間進(jìn)行對(duì)接,造成了整個(gè)校園網(wǎng)管理比原來(lái)單純的有線(xiàn)網(wǎng)要復(fù)雜了很多,對(duì)設(shè)備運(yùn)維人員提出了更高的要求,在判斷故障時(shí)候需要更加專(zhuān)業(yè)的知識(shí)。
同時(shí)在運(yùn)行過(guò)程中也暴露出來(lái)了一些新問(wèn)題,如運(yùn)營(yíng)商前期規(guī)劃時(shí)對(duì)訪(fǎng)問(wèn)融合接入網(wǎng)絡(luò)流量的用戶(hù)直接和校區(qū)所在城市的普通家寬用戶(hù)共用一個(gè)地址池,造成運(yùn)營(yíng)商無(wú)法給學(xué)校提供準(zhǔn)確的上網(wǎng)IP地址段,對(duì)服務(wù)器日志缺少統(tǒng)一的采集等等。
通過(guò)這次升級(jí)改造,核心骨干設(shè)備均升級(jí)至萬(wàn)兆,系統(tǒng)的升級(jí)涉及方方面面,只有前期規(guī)劃、測(cè)試的充分,實(shí)施過(guò)程中才會(huì)順利。改造后,校園網(wǎng)架構(gòu)和傳統(tǒng)的校園網(wǎng)差異較大,可借鑒的成功案例很少,在方案設(shè)計(jì)中實(shí)現(xiàn)的較大的創(chuàng)新,滿(mǎn)足了各方面的需求。
隨著《網(wǎng)絡(luò)安全法》和《等級(jí)保護(hù)標(biāo)準(zhǔn)2.0》的推進(jìn),相關(guān)監(jiān)管部門(mén)對(duì)校園網(wǎng)絡(luò)安全性的要求也會(huì)越來(lái)越高,校園網(wǎng)的整個(gè)架構(gòu)升級(jí)改造,無(wú)線(xiàn)有線(xiàn)一體化的推進(jìn)為后續(xù)等保工作的開(kāi)展奠定了基礎(chǔ),安全是一個(gè)動(dòng)態(tài)的過(guò)程,隨著時(shí)間的推進(jìn),校園網(wǎng)的針對(duì)性防護(hù)也要隨后根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)2.0》的新要求進(jìn)行進(jìn)步一步的改造和升級(jí)。
作者單位:劉勁松? ? 黃驊市公安局網(wǎng)安大隊(duì)
王進(jìn)? ? 滄州市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)
賀秋雨? ? 滄州交通學(xué)院