论文部分内容阅读
【摘 要】目前,高职院校在硬件建设上的投入是有史以来规模最大的教育投资项目。大多数高职院校都已建成了自己的网络环境,但接下来如何去管理校园网成了多数学校的头痛问题,高职院校有自己的特色,与普通本科院校有着不同之处,因此校园网内的用户群也不相同,用户群的不同就决定着对网络资源的访问不同,如果不管理好校园网内的不同用户群,那么花费巨资建成的网络就失去了它本应发挥的用途,同时数字化校园也成了空谈。为解决上述存在的问题,提出一种基于802.1x交换机端口认证的技术来对校园网进行有效的管理。通过对校园网内用户结构的调查,分析实际情况,采用端口认证授权的模式来对上网用户进行认证计费管理,实现网络透明化,以及智能化,真正的做到了:高职教育信息化、管理数字化。
【关键词】校园网;认证;计费
一、论文背景
论文来源于武汉职业技术学院数字化校园建设中校园网的升级与改造项目。武汉职业技术学坐落在武汉市光谷核心高新技术开发区,现在校师生学生1万7千多人。校园网由于施工年限较早,很多区域都没有覆盖到校园网,已经无法适应学院的发展,学院于2012年决定对校园网进行升级改造,初期进行了大量的准备工作,多次深入到学院各部门,了解当前的网络现状,各部门对网络应用需求,在校领导的主持下,分别对教学部门和行政管理部门召开了数字化校园应用研讨会,广泛的听取了各方面对校园网网络建设的建议和要求,其次是到各大高校调研,学习数字化校园建设的经验,并邀请了华中地区武汉大学,华中科技大学等知名高校的网络中心负责人进行了论证,最终形成了武汉职业技术学院校园网建设的初步蓝图,于2012年12月校园网正式进行改造,历时半年于2013年6月正式投入运营。为了更方便的管理好校园网,合理利用校园网络资源,在学院领导和部门同事的支持下,设计和开发了校园网络认证计费系统。
国内研究现状:国内校园网在使用中有很多问题都急待解决:网络出口拥塞,影响用户正常访问Internet,计费和运营管理的控制难度大。根据高校校园网的成功管理经验,我校校园网必须建成一个可运营的良性发展的校园网,用户网络行为不规范,无法进行有效的管理记录,在校园网上经常出现网络用户IP被占用,用户名和密码丢失,用户访问非法网站,网络用户恶意占用带宽等问题。
二、校园网认证计费关键技术的研究
目前,在众多高校的校园网管理的设计中,都使用以IP技术为核心的宽带接入方式,授权、认证以及计费的AAA(Authentication,Authorization,Accounting)技术已经是一项很成熟的技术了,因此系统设计中运用的关键技术就是AAA技术。(1)802.1x协议分析。802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入(微软的Windows XP,以及cisco,北电,港湾等厂商的设备已经开始支持802.1x协议)。802.1x的认证过程,首先认证前后端口的状态:802.1x的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。认证通过前:通道的状态为unauthorized,此时只能通过EAPOL的802.1x认证报文;认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。认证通过之后的保持认证端Authenticator可以定时要求Client重新认证,时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。(2)802.1x认证技术。
三、基于802.1x协议认证计费系统的分析
武汉职业技术学院的校园网采用HP,锐捷等多个品牌的交换机,无法采用单一品牌交换机厂商的认证系统,必须采用有效的可行的认证系统,才能彻底的解决上述问题。通过广泛的深入到各个部门调查和测试,开发此系统,使得校园网内各种品牌,各种型号的交换机能够发挥其各自的优势和特点;既保护了学校的投资,又为校园网的发展多样性埋下了伏笔。
1.系统的需求分析。系统采用三服务器进行网络认证与计费管理。本系统设计的特点在于,基于用户组对BT,讯雷等P2P应用进行限流,减少P2P应用对校园网带宽的负载;基于封装的防代理,防私接登陆客户端(全面的支持802.1X协议);客户端可支持用户选择互联网和教育网的访问策略,便于在国内外分开计费的情况下,用户能够自行选择访问的目标网段;客户端可与卡巴斯基等防毒软件绑定,可检测用户是否已运行杀毒软件,如果没有运行将被拒绝登陆,实现用户安全检测;支持用户自助停开机,特别适用于学生放假或者开学前的帐号管理,能大大减少管理员底工作量;可根据源地址(IP)的不同来定义不同的优惠策略,如同一帐号在宿舍网和教学网的上网费用不同;可对师生上网行为做60天的上网行为管理。
2.系统要求实现的功能分析。(1)客户端的功能,基于连接认证;可防用户软硬件方式代理私接;可用于系统信息广播、催费通知、显示用户时间流量等;实时显示费用信息;支持限制登陆尝试次数,并可设置隔离时间,用于防止轮询方式破解密码;防毒软件检测绑定,系统补丁服务器自动配置。(2)网络功能,支持静态、动态NAT功能;支持基于目标地址的多出口路由;支持DHCP、DHCP Relay;支持 802.1q VLAN 终结及透传;支持访问列表功能;支持IP多播。(3)计费功能,支持固定月结用户(包括先用后付及先付后用方式);支持临时用户(先用后付,固定费率);支持储值卡用户(先付后用,固定费率);支持期限用户(先付后用,固定包月);支持免费用户。(4)控制功能,支持根据帐号及用户带宽组来控制用户上下行带宽;支持根据计费组来控制用户的上网时段及不同上网时段内的上下行带宽和BT下载带宽;支持根据计费组来控制用户登陆地址范围。;支持用户在不同地点上网收取不同的费率;支持一个帐号同时允许多人登陆。(5)网络管理功能,支持查看在线用户即时上下行流量、本次登陆下载量、占用TCP/UDP连接数、登陆IP、登陆MAC、收发包数量等信息。
3.数据存储的安全性分析。系统目前设计支持linux平台,由于认证计费的校园网用户数据量非常庞大,而且需要保存3个月以上。因此数据存储在诸如存储阵列等大容量存储设备中,并有容错和备份功能。计费数据对运营中心来说至关重要,因此必须保证数据存储的安全性和可靠性,并能做到备份与恢复。
四、结语
本章主要讨论了通过对校园网核心技术的分析,需要设计出一套有效的系统,并且提出了需要达到的功能要求,每个功能模块之间的数据连接要求,认证计费系统中用户数据存储的安全性分析。
参 考 文 献
[1]刘庆全.基于校园网的对媒体教室远程控制系统的研究与实现[D].东南大学.2006
[2]刘志宏.网络化多媒体教室建设实例[J].中国现代教育装备.2005(10):50~55
[3]陈阳,胡慧敏,汪千松.基于校园网的多媒体教室设计[J].兵工自动.2005(5):43~45
[4]朱光辉,马涛.论网络对媒体教学在校园中的发展和应用[J].实验技术与管理.2005(5):79~88
【关键词】校园网;认证;计费
一、论文背景
论文来源于武汉职业技术学院数字化校园建设中校园网的升级与改造项目。武汉职业技术学坐落在武汉市光谷核心高新技术开发区,现在校师生学生1万7千多人。校园网由于施工年限较早,很多区域都没有覆盖到校园网,已经无法适应学院的发展,学院于2012年决定对校园网进行升级改造,初期进行了大量的准备工作,多次深入到学院各部门,了解当前的网络现状,各部门对网络应用需求,在校领导的主持下,分别对教学部门和行政管理部门召开了数字化校园应用研讨会,广泛的听取了各方面对校园网网络建设的建议和要求,其次是到各大高校调研,学习数字化校园建设的经验,并邀请了华中地区武汉大学,华中科技大学等知名高校的网络中心负责人进行了论证,最终形成了武汉职业技术学院校园网建设的初步蓝图,于2012年12月校园网正式进行改造,历时半年于2013年6月正式投入运营。为了更方便的管理好校园网,合理利用校园网络资源,在学院领导和部门同事的支持下,设计和开发了校园网络认证计费系统。
国内研究现状:国内校园网在使用中有很多问题都急待解决:网络出口拥塞,影响用户正常访问Internet,计费和运营管理的控制难度大。根据高校校园网的成功管理经验,我校校园网必须建成一个可运营的良性发展的校园网,用户网络行为不规范,无法进行有效的管理记录,在校园网上经常出现网络用户IP被占用,用户名和密码丢失,用户访问非法网站,网络用户恶意占用带宽等问题。
二、校园网认证计费关键技术的研究
目前,在众多高校的校园网管理的设计中,都使用以IP技术为核心的宽带接入方式,授权、认证以及计费的AAA(Authentication,Authorization,Accounting)技术已经是一项很成熟的技术了,因此系统设计中运用的关键技术就是AAA技术。(1)802.1x协议分析。802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入(微软的Windows XP,以及cisco,北电,港湾等厂商的设备已经开始支持802.1x协议)。802.1x的认证过程,首先认证前后端口的状态:802.1x的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。认证通过前:通道的状态为unauthorized,此时只能通过EAPOL的802.1x认证报文;认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。认证通过之后的保持认证端Authenticator可以定时要求Client重新认证,时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。(2)802.1x认证技术。
三、基于802.1x协议认证计费系统的分析
武汉职业技术学院的校园网采用HP,锐捷等多个品牌的交换机,无法采用单一品牌交换机厂商的认证系统,必须采用有效的可行的认证系统,才能彻底的解决上述问题。通过广泛的深入到各个部门调查和测试,开发此系统,使得校园网内各种品牌,各种型号的交换机能够发挥其各自的优势和特点;既保护了学校的投资,又为校园网的发展多样性埋下了伏笔。
1.系统的需求分析。系统采用三服务器进行网络认证与计费管理。本系统设计的特点在于,基于用户组对BT,讯雷等P2P应用进行限流,减少P2P应用对校园网带宽的负载;基于封装的防代理,防私接登陆客户端(全面的支持802.1X协议);客户端可支持用户选择互联网和教育网的访问策略,便于在国内外分开计费的情况下,用户能够自行选择访问的目标网段;客户端可与卡巴斯基等防毒软件绑定,可检测用户是否已运行杀毒软件,如果没有运行将被拒绝登陆,实现用户安全检测;支持用户自助停开机,特别适用于学生放假或者开学前的帐号管理,能大大减少管理员底工作量;可根据源地址(IP)的不同来定义不同的优惠策略,如同一帐号在宿舍网和教学网的上网费用不同;可对师生上网行为做60天的上网行为管理。
2.系统要求实现的功能分析。(1)客户端的功能,基于连接认证;可防用户软硬件方式代理私接;可用于系统信息广播、催费通知、显示用户时间流量等;实时显示费用信息;支持限制登陆尝试次数,并可设置隔离时间,用于防止轮询方式破解密码;防毒软件检测绑定,系统补丁服务器自动配置。(2)网络功能,支持静态、动态NAT功能;支持基于目标地址的多出口路由;支持DHCP、DHCP Relay;支持 802.1q VLAN 终结及透传;支持访问列表功能;支持IP多播。(3)计费功能,支持固定月结用户(包括先用后付及先付后用方式);支持临时用户(先用后付,固定费率);支持储值卡用户(先付后用,固定费率);支持期限用户(先付后用,固定包月);支持免费用户。(4)控制功能,支持根据帐号及用户带宽组来控制用户上下行带宽;支持根据计费组来控制用户的上网时段及不同上网时段内的上下行带宽和BT下载带宽;支持根据计费组来控制用户登陆地址范围。;支持用户在不同地点上网收取不同的费率;支持一个帐号同时允许多人登陆。(5)网络管理功能,支持查看在线用户即时上下行流量、本次登陆下载量、占用TCP/UDP连接数、登陆IP、登陆MAC、收发包数量等信息。
3.数据存储的安全性分析。系统目前设计支持linux平台,由于认证计费的校园网用户数据量非常庞大,而且需要保存3个月以上。因此数据存储在诸如存储阵列等大容量存储设备中,并有容错和备份功能。计费数据对运营中心来说至关重要,因此必须保证数据存储的安全性和可靠性,并能做到备份与恢复。
四、结语
本章主要讨论了通过对校园网核心技术的分析,需要设计出一套有效的系统,并且提出了需要达到的功能要求,每个功能模块之间的数据连接要求,认证计费系统中用户数据存储的安全性分析。
参 考 文 献
[1]刘庆全.基于校园网的对媒体教室远程控制系统的研究与实现[D].东南大学.2006
[2]刘志宏.网络化多媒体教室建设实例[J].中国现代教育装备.2005(10):50~55
[3]陈阳,胡慧敏,汪千松.基于校园网的多媒体教室设计[J].兵工自动.2005(5):43~45
[4]朱光辉,马涛.论网络对媒体教学在校园中的发展和应用[J].实验技术与管理.2005(5):79~88