构建中小学城域网集中网络管理体系
2011-12-17于东安胤举
于东 安胤举
一、问题的提出
铁西区现有中小学77所,基本实现了“校校通”、“班班通”,55所学校及教育局直属单位通过自建光纤与区教育网络中心实现互联,其余学校通过租用联通公司裸纤与区教育网络中心实现互联。但随着网络应用的增加,一些问题随之而来。已经影响到网络的正常运行。主要表现在以下几个方面:城域网接人不可控,出现安全事件时很难定位最终用户,用户网络行为无法控制,无法提供差异化的服务,多个应用系统登录存在问题。特别是多个应用系统登录问题,铁西区现有教育网站和视频点播两套应用系统,还将陆续引进流媒体广播、数字图书馆、基础教育电子期刊库、教育资源中心等应用系统,这些分属不同厂商的系统都有各自独立的用户身份识别系统,且互不兼容,要多次输入账户和密码,非常不方便。
二、解决方案
要想解决上述问题,必须解决网络行为审计和用户实名制登录两个关键问题,还城域网一个安全和绿色的本来面目。通过对国内网络安全产品的调研,初步选定了锐捷RG-EGl000系列易网关和RG-SMP统一身份认证系统。即每所中小学在出口部署一台RG-EG1000系列易网关,区教育网络管理中心部署RG-SMP统一身份认证系统。具体架构见图1。在对这套方案的论证过程中。发现存在一些不足:
第一,学校规模不同。有的学校上网计算机数量接近400台,有的学校上网计算机数量仅为20多台,而且同一学校不同时间上网的计算机数量也会发生变化,这就要求选择不同配置的产品。第二,学校的信息技术专业人员的能力和水平参差不齐,对设备的使用和管理千差万别。第三,不排除个别学校会擅自摘掉该设备,脱离监管。
为解决这些不足。我们提出了集中进行网络管理的思路,即将所有的RG-EG1000系列易网关与RG-SMP统一身份认证系统全部部署在区教育网络管理中心。具体架构见图2。在这套方案中,若干学校为一组,共同接入一台二层全千兆交换机,每台交换机连接一台RG-EGl000系列易网关。这套方案既实现了网络集中管理,又合理利用了设备。在具体实施过程中,有几个问题需要进行考虑。
(1)学校如何分组。应把握这么几个原则:第一,根据学校上网计算机数量分组,即多少搭配;第二,根据近几年的流量监控分组,即大小搭配;第三,根据学校的性质分组,即中小学搭配。对于一些规模大的学校或重要部门,应单独设为一组。
(2)交换机的选择。国内外可供选择的产品非常多,指标千差万别,质量参差不齐,选择时应把握这么几个原则:第一,应支持IPv6协议;第二,普通的二层交换机即可;第三,至少应提供16个全千兆电口;第四,能够划分VLAN;第五,背板带宽尽可能高;第六,功耗尽可能小,最好是无风扇设计。通过比较,我们选择了锐捷RG-S2928G-E交换机。
(3)易网关的选择。选择时应把握几个原则:第一,高性能转发;第二,集成丰富的防火墙功能;第三,专业流控功能:第四,丰富并能实时更新的中文URL数据库;第五,深层次内容审计,本地化日志记录,基于用户身份的审计功能;第六,设备软、硬件高可靠性;第七,可快速部署。通过比较,我们选择了锐捷RG-EG1000S易网关。
(4)统一身份认证系统的选择。锐捷RG-SMP统一身份认证系统具备的身份认证功能、主机端点防护功能、基于客户端和基于Web认证的安全域管理、客户机进程列表获取功能、主机硬件变动日志功能、用户端软硬件信息学习和统计功能,ARP攻击三重立体防御功能、基于网络攻击的自动隔离和阻断功能等特征是业界很多产品所不具备的,能够较好地服务于教育城域网的集中管理。在这套方案中,通过锐捷RG-EGl000S易网关与RG-SMP统一身份认证系统的组合,实现了实名制的访问权限控制、实名制的流量控制、实名制的行为管理及日志审计。
此外,为解决多个应用系统重复输入账户和密码的问题,我们选择了锐捷的RG-SSO组件来实现单点登录问题,真正做到了“统一身份,统一认证,统一登录,统一入口”。
由于城域网用户数众多,所以必须利用分布式身份认证去满足城域网用户的高速进网认证的实名制上网需求:同时,安全策略却正好相反,需要一套统一的安全管理中心实现安全策略的快速部署与执行,并能够有机地将城域网的各种安全手段充分调动起来,实现基于用户身份的安全控制。
(编辑:王天鹏)