技术、方法不能满足师生的需求,所以加快校园网的智能化发展是未来的趋势,校园网的实名认证又是校园网扩建工程中的重要部分,它能有效支撑校园网的智能化发展。背景在没实施实名认证之前,校园网的用户(包括单位用户和家庭用户)上网都是固定的IP地址。但是也可以说是不固定的,因为我们学院把每个部门和每栋家属楼细化了VLAN,在这个VLAN中一般IP地址划分给这个VLAN。所以有的用户知道这种情况后,科室或者家里增加了 电脑,就能猜到IP地址,如果和别人的发生了冲突,那么会造成抢网的事件,而且不便于网络中心的工作人员管理网络。对于网络安全也存在很大的隐患,如果用户中毒或者在网上发布影响学校或者国家的帖子,可能找不到本人。正是由于这些不利的因素,学校准备实施校园网扩建工程的实名认证。方案介绍“学院校园网项目”是校园网工程的一部分,包括教师宿舍、教学区、综合楼和老教学区的楼栋汇聚、楼层接入网络 交换设备与集成、管理系统和认证计费系统。项目完成后将为整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面,主干双链千兆到楼宇汇聚,并子网的每个信息点有802.1X认证的 交换机端口。同时,还要在接入层实现安全控制接入。实施要求软件上需要能够提供对学生上网的管理,如用户性的验证,IP、MAC的绑定,帐号的分配及管理;日常运营所需要的收费、计费服务;学生自助服务系统和设备管理。交换机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务,汇聚交换机能够提供VLAN划分和三层交换,接入需要支持802.1X以运营的实施。学院校园网拓扑图如图1。 图1学院校园网拓扑 路由器地址点击此处查看全部新闻图片 网络拓扑说明出口使用某厂商的RSR50-40 由器作为出口设备与移动网和教育网相连。核心层采用两台RG-S8606核心交换机,负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT,千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G,同时也可提供接入服务,使用双绞线与接入交换机S2026F互联。方案实施首先需要安装SAM 服务器,学院选用的是RG-SAM2.x企业版,拥有2000用户。其次是安全管理规划,系统使用Windows2003Server+SP2,并在相应网站下载补丁程序升级,并客户预装杀毒程序以保障机器的安全。同时在交换机上通过ACL做服务器网段和用户网段的隔离,并进行端口过滤,只允许服务器进行所需端口通过。a)8080.TCP端口.http 访问端口b)8443.TCP端口,https访问端口c)1812.UDP端口.默认的认证报文接收端口d)1813.UDP端口.默认的记帐报文接收端口e)1433.TCP端口.SQLSERVER的默认端口f)1434.UDP端口.SQLSERVER的默认端口.g)8009.TCP端口.ajp端口h)1099.TCP端口.jnp端口i)1098.TCP端口.rmi端口j)8090.TCP端口.JBossMQOILservice端口k)8092.TCP端口.JBossMQOIL2service端口l)8093.TCP端口.JBossMQUILservice端口m4444.TCP端口.RMIOBJECTPortn)4445.TCP端口.ServerBindPorto)1162.UDP端口.JBosssnmpagent端口.数据库系统规划安全管理规划:数据库软件选用的是MSSQLServer2000标准版或企业版+SP4。数据的备份:1.SQLServerAgent服务启动,建数据库计划实现数据库备份,计划的名字为sambackup。2.SQL数据的备份采用完全备份方式,备份目录为k:/backup,备份时间为每天凌晨三点,保留一个月内的完全备份数据。3.由于RG-SAM的后台数据信息非常重要,需要经常性质地将数据进行备份。数据的恢复:在原服务器上完全备份数据到指定的文件(假定为SAMdata060526)1.手动备份数据库。2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。3.删除原数据库中的sam关联。4.在后台数据库中创建和sam帐号的关联。成功完成后,移到新服务器上,便可在新服务器上启动SAM,注意启动前要将服务器的IP改为原服务器的IP。SAM系统规划及设置用户开户的方式采用批量导入的方式进行用户开户。将要开户的用户按一定的格式编辑成相应的文本文件,在管理界面中批量导入进行开户。1.在开户之前先要定义组,比如说办公的用户就划分为office组,家庭的划分为home组,学生的划分为student组等等,然后把个人的姓名拼音当做用户名,绑定IP地址,最后选择组(请个人账户的格式是用户名+IP地址+组)。此外,我们为什么没有绑定MAC地址,是因为如果用户电脑换了或者网卡换了就不能上网了,考虑到这原因,我们就没有绑定MAC地址,也是为了便于管理。2.接入交换机sam系统配置Switch#configt进入全局配置层以后,配置以下:radius-serverhost10.6.0.67----------配置认证服务器地址aaaauthenticationdot1x-------------认证aaaaccountingserver10.6.0.67--------配置记账服务器aaaaccounting--------记账dot1xclient-probeenable-------户端探测dot1xprobe-timerinterval30--------客户端与服务器交互时间dot1xprobe-timeralive90---------在线探测时间,即时间的三倍,交换机连续三次到客户端的交互报文,则认为客户端已下线dot1xtimeoutquiet-period2---------服务器端报文重传间隔dot1xtimeouttx-period3----------报文重传间隔nodot1xre-authentication-------关掉重认证radius-serverkeyznufesam--------配置认证KEYsnmp-servercommunityznuferorw------配置SNMP管理字intecestEthernet0/1----------进入端口模式dot1xport-controlauto-------端口认证3.所有用户需要安装客户端,设置在网络中心注册的IP地址。打开认证软件就可以看到认证软件的界面。根据在网络中心签的入网协议上的用户名和密码,选择网卡类型(为什么要选择网卡类型,因为有些电脑是二个网卡,软件自己是识别不出来的,所以要选择填了正确IP地址的网卡),点击链接,那么你的电脑就会自动和SAM服务器“握手”,匹配是否,如果信息匹配成功,那么就可以正常上网了(这个匹配的时间就1-2秒钟)。4.部分用户可能觉得这样上网麻烦,那可以在这个用户参数设置里面把“保存密码”,“启动软件后自动认证”,“开机自动运行”这三项前面打勾,那么启动电脑,这个认证的软件就自动认证。方案实施后的效果自从校园网实施实名认证升级后,再也没有发生过IP地址冲突之类的事件,而且还了用户在办公室或者家里私自接内网,防止校园网整体结构。在实施实名后,通过每个用户名和IP地址绑定,如果用户中毒或者是在网上发影响学校或者国家的帖子,可以找到他的IP地址,从而可以找到他本人。这样很大程度上解决了网络中心的安全隐患,也为网管人员减轻了不少工作负担!本文转载自企业级IT信息服务平台-网界网-CNW.com.cn原文地址:http://www.cnw.com.cn/security-content/htm2011/20110402_220463.shtml ・其实英语实在太简单了! ・一个老外告诉我的英语口语提高秘.. ・中小学特级教师趣味作文教学课件下 ・做到以下四点,英语四六.级考试不再 ・初涉职场心未定近4成毕业生工作.. ・130万人才如何引进来?如何留下来? ・怎么利用慧聪网来做好产品宣传和.. |
不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流
GMT+8, 2025-7-1 22:14 , Processed in 0.077555 second(s), 15 queries .
Powered by Discuz! X3.4
Copyright © 2001-2021, Tencent Cloud.