基于多校区多出口的校园网安全认证的设计与实现
2017-07-24◆张毅
◆张 毅
(广东医科大学教育技术与信息中心 广东 524023)
基于多校区多出口的校园网安全认证的设计与实现
◆张 毅
(广东医科大学教育技术与信息中心 广东 524023)
本文为对当前高校校园网用户上网认证存在的安全问题,结合本校多校区多出口的校园网现状,提出了以安全为前提、准入准出为思路、用户账户统一管理为原则,应用当前主流成熟技术来设计并实现校园网用户统一安全认证上网。认证系统部署后,经过一年多的运行、检验,获得了较好的效果,既满足了校园网对上网用户统一安全管理的要求,也满足了校园网用户便捷、策略化的上网需求。
校园网管理;准入准出;安全认证
0 引言
随着网络技术的不断发展,用户上网方式出现新变化,我校校园网用户上网认证系统也随之不断更新完善,从使用开源免费的代理上网软件逐步到现今的专业网关认证管理软件。随着近几年新校区的建立,校园网有了跨越式的发展,两校区内部高速光纤互联,分别开通多条不同宽带的校园网外部出口。校园网的发展给用户上网带来了新的变化,首先校园网的多条出口使得可以根据两校区教工学生人数分布的不同、教工学生上网需求的不同来制定合适的策略,实现不同校区不同身份的用户上网走不同带宽的出口上互联网;其次随着无线上网动态 IP的广泛使用,使得原来通过固定 IP绑定来识别进入校园网的用户身份的方式不再安全,校园网面临门户大开的风险[1]。由于我校在用的认证系统只是部署在校园网出口,既不能解决不同身份多校区多出口的上网管理,同时也不能准确识别进入校园网上网用户的身份,已经不再适应当前校园网的发展变化对上网用户的管理要求。
为此,需要根据校园网现状对上网认证重新设计,在保障校园网安全的前提下选用合适的认证系统,实现校园网用户都能安全认证上网。
1 设计思想
校园网的建立是为了满足学校内部师生员工之间信息传递、资源共享、信息化教学、科研及行政办公的需求。用户上网首先进入校园网访问资源,访问外部互联网资源时再从校园网出去。考虑到学校多校区多出口的现状以及校园网的特点,我们采取以安全为前提、准入准出为基本思路、用户账户统一管理为原则来设计实现安全管控用户上网认证,即是将校园网做为一栋有前后门的房子,各校区用户账户统一管理,当有用户要进来时,在前门识别用户提交的账户信息并判断是否允许进入,当用户要从后门出去时判断是否有权限出去[2]。
图1 认证网络逻辑拓扑图
用户账户信息可对接学校教工学生信息系统、一卡通消费系统等平台,适应学校对不同校区用户账户统一化管理的要求。用户账户在校园内自由流动保持不变,并可根据不同身份信息制定不同上网策略。
准入认证可通过上网用户在网络接入端提交的账户信息来进行安全控制,能有效保障校园网安全,防范内部攻击、非法接入;用户上网终端不再需要固定 IP地址绑定,更适应当前无线WIFI的动态IP的应用需求。
准出控制可根据用户账户的缴费状态、身份信息制定灵活策略,除了允许其是否访问互联网,亦可根据用户身份让其走不同的校园网出口出去。
2 部署实现
当前主流网络认证软件有许多,包括深澜软件、Dr.Com热点软件、锐捷认证软件、H3C认证软件,均支持802.1x、PPPoE、Web/Portal等主流认证技术。经过对多方功能、性能上的长时间对比测试,最终选定了锐捷认证系统,因其软硬件联动、一体化平台、智能选路的实现方式符合我们准入准出的设计要求。
实现时我们在多台高性能服务器分别部署锐捷SAM认证计费平台和ePortal网页认证服务软件,各服务器直连核心设备以保证数据快速交互;并在两校区校园网出口位置各部署一台RSR77硬件网关路由器。其中SAM平台与核心设备、网关路由器联动,用于存放学校所有上网用户的账户、缴费等的信息,负责账户的认证、计费、授权等;ePortal与SAM平台、核心设备、网关路由器等进行联动,负责为上网用户弹出登录网页做准入准出认证;核心设备与SAM平台、ePortal联动,负责上网用户准入校园网的控制;网关路由器与SAM平台、ePortal联动,负责上网用户准出校园网控制和多出口的智能选路。
当用户在浏览器打开某网站网页上网时,核心设备会将用户信息转发给 ePortal,ePortal返回登录网页给用户输入账户密码,然后ePortal将用户提交的信息与SAM平台验证,通过后分别返回给用户验证成功的信息以及通知核心设备放通用户进入校园网;当用户需要从校园网出去访问互联网时会经过出口的网关路由器,网关路由器会从SAM平台获取用户的状态(缴费、授权、身份等信息),根据策略决定是否放通用户和走相应的网络出口[3-4]。
3 完成后的现状及问题
新的认证系统在我校部署完成已正常运行超过一年的时间,用户反映良好,新系统在性能、功能上均比原系统有较大的改进。准入准出的安全架构很好的适应了当前网络发展的新变化,同时也考虑了校园网未来发展对上网认证的需求;既符合我校校园网对上网用户统一安全管理的要求,也能满足校园网用户上网的便捷、策略化要求。
图2 用户准入准出认证流程图
但新的认证系统在运行中也暴露了一些问题,例如 SAM平台与不同品牌的核心设备对接时存在兼容问题,有时会出现实时数据未能同步,导致已上网的用户被下线、未上网的用户不能上线;SAM平台在对同一用户在不同地区同时在线的设置功能上有局限;安装在Windows系统上的ePortal偶尔出现弹不出认证网页而需要重启软件;生成的日志分析功能较弱。
4 结语
随着上网用户对校园网的要求不断的提高,新问题也不断出现,如如何运用新的技术来解决新的需求和新的问题,保障校园网安全稳定的运行。这些都需要校园网管理人员主动去了解最新网络技术的发展,掌握主流技术,从而更好的为校园网用户服务,提高校园网管理的水平。
[1]沈达峰.校园网多区域用户接入认证技术的研究[J].淮阴工学院学报,2016.
[2]孙刚凝.基于EAD的校园网准入/准出统一认证方案的研究[J].计算机光盘软件与应用,2012.
[3]申健,朱婧.校园网认证技术的应用和发展[J].物联网技术,2015.
[4]李文才,周毅超.基于BRAS设备的校园网多出口升级方案.计算机应用与软件,2012.
