加強網(wǎng)絡(luò)接入管理促進網(wǎng)絡(luò)管理精細化

1、加強網(wǎng)絡(luò)接入管理促進網(wǎng)絡(luò)管理精細化摘要：校園網(wǎng)絡(luò)接入管理方案和綜合布線系統(tǒng)、網(wǎng)絡(luò)設(shè)備等有密切關(guān)系，針對校園的不同功能區(qū)可根據(jù)綜合布線的情況實施不同網(wǎng)絡(luò)接入方案，加強網(wǎng)絡(luò)接入管理可以讓網(wǎng)絡(luò)管理向網(wǎng)絡(luò)用戶接入端口延伸，使得網(wǎng)絡(luò)管理更加精細化。關(guān)鍵詞：校園網(wǎng)絡(luò) 網(wǎng)絡(luò)接入 網(wǎng)絡(luò)管理精細化中圖分類號：G718.5 文獻標識碼：A 文章編號：1007-9416(2011)12-0200-02網(wǎng)絡(luò)接入管理是校園網(wǎng)絡(luò)管理中重要內(nèi)容，網(wǎng)絡(luò)接入管理的方案受到網(wǎng)絡(luò)綜合布線方案、網(wǎng)絡(luò)設(shè)備功能等多方因素影響，同時網(wǎng)絡(luò)接入方案又將對網(wǎng)絡(luò)運行管理和網(wǎng)絡(luò)安全管理產(chǎn)生決定性的影響，網(wǎng)絡(luò)接入管理要能有效定位網(wǎng)絡(luò)用戶，防止非法用戶

2、的接入，保證接入的用戶以正確的身份訪問網(wǎng)絡(luò)資源。本文內(nèi)容以筆者在無錫工藝職業(yè)技術(shù)學(xué)院校園網(wǎng)的網(wǎng)絡(luò)接入管理的實踐為基礎(chǔ)，探討如何通過加強校園網(wǎng)絡(luò)接入管理對網(wǎng)絡(luò)管理的精細化所起到的促進作用。目前無錫工藝職業(yè)技術(shù)學(xué)院的校園網(wǎng)總體情況為采用星形以太網(wǎng)結(jié)構(gòu)，在現(xiàn)有的31幢建筑中布設(shè)了網(wǎng)絡(luò)點一萬一千多個，其中用于教學(xué)及管理11幢、學(xué)生宿舍14幢，整個綜合布線系統(tǒng)以計算機樓為中心，樓宇間采用光纖布線系統(tǒng)，教學(xué)和辦公區(qū)域采用六類UTP綜合布線，學(xué)生宿舍區(qū)采用超五類UTP布線系統(tǒng)，網(wǎng)絡(luò)設(shè)備為華為和H3C系列交換系統(tǒng)，核心為Quidway S8512，匯聚交換機有Quidway S8508、Quidway S56

3、24、H3C7506、H3C S5500，接入交換機主要有H3C E152、S3126C等，所有接入交換機都具有較強的端口管理和控制功能。學(xué)生宿舍區(qū)的有線網(wǎng)絡(luò)為每人配備獨立網(wǎng)絡(luò)接入端口；辦公區(qū)域按面積測算布置適量的信息點；每個教室布置四個信息點，其中兩個為教室無線網(wǎng)絡(luò)接入預(yù)留。整個校區(qū)全面布置了無線網(wǎng)絡(luò)，建筑內(nèi)有中國電信和中國移動的無線網(wǎng)絡(luò)覆蓋，室外公共區(qū)域由學(xué)院進行無線網(wǎng)絡(luò)覆蓋。所有的機房和電子閱覽室均通過光纖接入校園網(wǎng)。可供網(wǎng)絡(luò)接入管理用的資源有：綜合布線工程的資料即綜合布線工程竣工圖、房間端口和配線架對照表、設(shè)備間接入交換機信息表等；用戶聯(lián)網(wǎng)申請登記表（含用戶填寫的用戶信息、計算機MAC

4、地址等）。根據(jù)以上綜合布線情況和網(wǎng)絡(luò)設(shè)備情況，為了加強網(wǎng)絡(luò)管理，在不同功能區(qū)實施了不同的網(wǎng)絡(luò)接入管理方案。1、學(xué)院辦公區(qū)域的網(wǎng)絡(luò)接入管理辦公區(qū)域的網(wǎng)絡(luò)接入主要面向?qū)W院教職員工辦公用電腦的網(wǎng)絡(luò)接入，人員、位置和接入計算機相對固定，接入定位可從房間端口號配線架表交換機端口號進行定位，管理的難點在于由于辦公區(qū)域的信息點的數(shù)量是按房間面積測算后進行布置的，可能在實際運行時不能滿足實際需求而采用布置小型交換機擴充的辦法，甚至布置室內(nèi)無線路由器以滿足手提電腦移動辦公需求。根據(jù)以上的情況，我們采用接入交換機端口和接入計算機MAC地址、IP地址綁定的辦法確定網(wǎng)絡(luò)接入管理方案。具體工作有收集聯(lián)網(wǎng)計算機MAC地址

5、，分配固定的IP地址，接入交換機端口VLAN劃分、MAC地址綁定、IP地址綁定，網(wǎng)關(guān)交換機上對用戶IP地址和MAC地址實施綁定。如果在室內(nèi)布置無線路由器，設(shè)置無線接入密鑰，綁定IP地址和用戶的MAC地址。2、學(xué)生宿舍區(qū)域的有線網(wǎng)絡(luò)接入管理學(xué)生宿舍的網(wǎng)絡(luò)接入的特點是數(shù)量大，分布廣，雖然要求填寫入網(wǎng)申請登記表，但所收集的信息可信度相對較差，從網(wǎng)絡(luò)安全上考慮要防止布置“網(wǎng)中網(wǎng)”，尤其要防止布置無線路由器。根據(jù)學(xué)生宿舍的綜合布線方案，由于學(xué)生宿舍的布線為每人配置獨享網(wǎng)絡(luò)接入端口，所以采用基于802.1X技術(shù)的網(wǎng)絡(luò)接入認證的辦法。由于學(xué)院接入交換機為H3C系列交換機，因此配套布置H3C的CAMS系統(tǒng)進行

6、基于認證網(wǎng)絡(luò)接入管理方案。IEEE 802.1x稱為基于端口的訪問控制協(xié)議（Port based network access control protocol）。IEEE 802.1x協(xié)議的體系結(jié)構(gòu)包括三個重要的部分：客戶端、認證系統(tǒng)（設(shè)備端）、認證服務(wù)器（RADIUS）?？蛻舳讼到y(tǒng)是一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認證過程；認證系統(tǒng)通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備，可以允許通過EAPOL（Extensible Authentication Protocol over LAN）協(xié)議幀，保證客戶端始終

7、可以發(fā)出或接受認證。在認證通過的狀態(tài)下端口打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。如果用戶未通過認證，則受控端口處于未認證狀態(tài)，則用戶無法訪問認證系統(tǒng)提供的服務(wù)。認證服務(wù)器存儲有關(guān)用戶的信息，網(wǎng)絡(luò)接入設(shè)備信息等。整個認證過程如圖1所示：CAMS可進行對用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等進行綁定認證，增強用戶認證的安全性，防止賬號盜用和非法接入，可以禁止用戶設(shè)置和使用代理服務(wù)器；可以限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)。通過接入認證訪問日志，可以明確知道具體的用戶，在交換機的具體的端口，在具體的時間段，以具體的IP地址和MAC地址接入了網(wǎng)絡(luò)，這對網(wǎng)絡(luò)安全管理十分有效，同時也便于

8、對用戶網(wǎng)絡(luò)接入問題的排查和解決。表1為用戶日志信息：從表1可以看出，采用CAMS認證接入管理方案可以從接入交換機端口進行嚴格的接入控制。但為了讓學(xué)生上網(wǎng)帳戶能在不同VLAN中漫游使用，一般不采用對用戶帳戶和IP地址綁定的操作，由于學(xué)生宿舍是每人配備獨享網(wǎng)絡(luò)端口，因此采用將IP地址和交換機端口的綁定操作，即為學(xué)生宿舍的網(wǎng)絡(luò)端口配置固定的IP地址，將IP地址標示在網(wǎng)絡(luò)端口的面板上，將網(wǎng)絡(luò)面板上的IP地址和端口對應(yīng)的交換機端口進行綁定操作。3、機房、電子閱覽室、多媒體教室用計算機網(wǎng)絡(luò)接入管理由于這些地方都是用于教學(xué)公共場所，因此可以實施基于接入交換機端口的固定IP地址、接入計算機的MAC地址的綁定和

9、VLAN劃分操作，同時布置機房管理信息系統(tǒng)，由機房管理信息系統(tǒng)管理用戶，對計算機實現(xiàn)用戶授權(quán)訪問，并保留訪問日志。4、無線網(wǎng)絡(luò)接入管理由于無錫工藝職業(yè)技術(shù)學(xué)院的無線網(wǎng)絡(luò)組成的多樣性和開放性，為了加強網(wǎng)絡(luò)安全管理，必須排除非法用戶從無線網(wǎng)絡(luò)接入校園網(wǎng)，因此，在校園網(wǎng)和無線網(wǎng)絡(luò)的邊界處布置反向代理接入認證網(wǎng)關(guān)，無線網(wǎng)絡(luò)用戶在接入無線網(wǎng)絡(luò)后，需要從網(wǎng)絡(luò)管理部門獲得用戶名和密碼，通過反向代理接入認證，認證成功后，獲取預(yù)分配的并同用戶綁定的虛擬IP地址訪問校園網(wǎng)。通過以上的網(wǎng)絡(luò)接入管理，網(wǎng)絡(luò)管理人員可以對網(wǎng)絡(luò)管理中以下管理要素進行有效關(guān)聯(lián)：用戶、接入交換機端口、上網(wǎng)地點、IP地址、MAC地址、上網(wǎng)時間段

10、、VLAN等。通過對這些管理要素的準確關(guān)聯(lián)，可使網(wǎng)絡(luò)管理從網(wǎng)絡(luò)核心、網(wǎng)絡(luò)匯聚向網(wǎng)絡(luò)用戶接入端口延伸，通過加強網(wǎng)絡(luò)接入管理，能夠準確定位網(wǎng)絡(luò)接入的地點，使得網(wǎng)絡(luò)管理中用戶、IP地址和MAC地址三者之間的關(guān)系的唯一性，使得網(wǎng)絡(luò)接入問題的排查解決和網(wǎng)絡(luò)安全管理更加有效和簡明?？傊W(wǎng)絡(luò)接入管理方案受限于網(wǎng)絡(luò)綜合布線方案和網(wǎng)絡(luò)接入設(shè)備功能，在條件允許下，通過做一定的基礎(chǔ)性工作，能使網(wǎng)絡(luò)接入管理方案更加完善，使得網(wǎng)絡(luò)管理的精細化得到提升，使得網(wǎng)絡(luò)安全管理更加有的放矢，使網(wǎng)絡(luò)能更好服務(wù)學(xué)校的教學(xué)、管理和學(xué)生的學(xué)習(xí)及日常生活參考文獻1王竹林等.校園網(wǎng)組網(wǎng)與管理M.清華大學(xué)出版社,20012張英.網(wǎng)絡(luò)安全基礎(chǔ)N.中國電