多业务融合安全校园网络平台
2011-12-17梁俊
梁俊
一、实践目的
我校今年3月完成了校园网的全面升级改造,我们对此次校园网改造的定位是:稳定、高效、安全、统一。在产品调研期间,我们对多个知名网络产品进行考察,从硬件的质量和性能来说,各家产品差异不大,均能满足学校校园网稳定、高效的需求。学校拥有6000多名学生、300多位教师。而且又是幼儿园、小学、中学一条龙的办学模式,各学段的师生思想存在差异,如何构建安全、统一的校园网就成了此次建设的重点。我们对各类网络产品进行了试用,发现这些产品功能单一。应用操作繁琐,为了满足学校信息化建设,并且应用操作简单,因此,需要针对中小学的校园网设计实名制安全认证平台以及整体解决方案。
此外,为了加强校园信息化建设和信息化管理,我校陆续建设了大量的应用系统,其涉及的业务面基本覆盖了我校的大部分管理和业务,其中包括人事管理系统、固定资产系统、办公自动化系统、邮件系统、校务管理系统,论坛等信息管理系统。随着系统的增多,出现用户账号密码太多、用户管理分散,并且登录频繁等现象,师生使用起来极其麻烦。
为了建设一个稳定、高效、安全、统一的校园网,解决学校上网用户接入的安全问题。并实现多业务的融合。我校本次网络建设着重设计基础网络平台、实名制安全认证平台以及校园网统一登录平台。
二、实践内容
1.基础设施平台
整网设计采用万兆核心、千兆到汇聚、百兆到桌面的三层架构设计。全网设计按照结构化、模块化理念设计。总共设计包括以下模块:网络出口、核心层、汇聚层、接入层、数据服务器平台、应用服务平台。
2.应用支撑平台
通过部署一套网络智能指挥官来实现。通过网络智能指挥官可实现全网网络设备的可视化管理。包括有线设备以及无线设备。
3.实名制安全认证平台
中心机房部署一套实名制安全认证平台,并通过千兆链路与核心交换机连接,实现全网上网用户的身份认证。整个认证通过实名制安全认证平台与接入交换机联动实现,认证技术采用技术成熟且大规模在校园网应用的802.1x技术。
用户通过在电脑端安装802.1x客户端,输入用户名和密码,通过实名制安全认证平台的审核后,接入交换机对该用户放行。即允许访问校园网。通过实名制安全认证平台的日志记录功能,用户接入校园网的时间、地点、下线时间全部可查。
4.校园网统一登录平台
校园网统一登录平台是和实名制安全认证平台配合实现的,其具体实现过程有以下几点:
在用户端安装安全认证系统的客户端,使用安全认证系统的用户账号登录安全认证系统服务器,进行网络层面的认证。一旦网络认证通过,所有网络层面的授权、审计功能生效。
网络认证通过的同时,安全认证系统服务器会给校园网统一登录平台服务器发送消息,通知该用户已经通过网络认证。校园网统一登录平台服务器判断该用户所在的用户组,根据这个用户组可以访问的应用资源情况。给用户推送应用系统访问列表,用户通过校园网统一登录平台服务器提供的访问资源列表来访问应用系统。
用户点击需要访问的应用链接的时候,访问请求发送到校园网统一登录平台服务器,由校园网统一登录平台服务器将原系统中的用户登录信息和访问请求转发给所请求的应用系统服务器。
应用系统服务器接收到转发的认证信息后,与用户建立连接。
三、实践效果
通过部署基础设施平台,实现了稳定、高效、安全的基础网络,为学校各种业务的开展奠定了基础。
通过部署应用支撑平台,实现了对全网网络设备的高效管理,可以快速定位和排除故障,大大减轻了网络维护人员的工作量。
通过部署实名认证平台后,学校可以对上网用户进行更加合理的监管,在发生网络安全事件后,可以快速定位到人,减少了网络安全事件的风险。
通过部署统一登录平台,用户只需要使用1套用户名和密码,就可以登录到不同的应用系统,大大简化了师生登录学校业务系统的复杂度,节省了不少时间,提高了工作效率,得到了学校教师和学生的一致好评。
(编辑:鲁利瑞)