802.1X实名认证上网策略实践
2014-03-13荆雪蕾
文/荆雪蕾
802.1X实名认证上网策略实践
文/荆雪蕾
聊城大学802.1X认证管理系统的实施,使曾经常发生的IP地址盗用、非法设备接入等问题,得到了有效解决。
聊城大学校园网现状
聊城大学校园网经过16年的发展,校园网出口总带宽为公网5000M(联通3G和移动2G)和教育网155M,校园网覆盖了两个校区的100多座楼宇,联网计算机用户接近10000台,并且已成为学校一卡通、邮件系统、图书馆、电子档案管理、安保系统、数字化考场和节能管理系统等应用的“中流砥柱”。如此庞大的校园网应用,而校园网管理部门的人员是有限的(具体负责此项工作的仅5个人),面对开放的网络应用、纷杂的操作系统和软件、参差不齐的用户操作水平、还有恶意或者善意的冒险用户等,如何保障校园网的高可用性、高稳定性和高安全性?为了使工作顺利进行,作为网络运行与维护组的人员,我们进行了大量的实践探索,终于找出了适合学校的一些方式,希望可以为其他高校提供参考方案。聊城大学校园网络拓扑图如图1所示。
802.1X认证管理的实施
聊城大学目前在全校范围内实行了802.1X认证上网。采用802.1X认证计费系统后,对接入用户进行用户账号与IP、MAC、端口等多元素绑定,以惟一确定用户;网络中的非法用户由于无法通过认证,支持802.1X的交换机此端口在物理上将此用户隔离在网络之外。一些烦恼的问题都不存在,如经常发生的IP地址盗用、非法设备接入等。用户不启动客户端,其上连端口是禁止状态,与外界的网络是隔离状态,避免了原有网络实时在线,经常被扫描的情况。日志服务器记录有用户完整的访问记录,包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等,通过日志管理查询系统,可以对日志进行管理和查询。现在在办公区和家属区用的是SAM认证计费管理系统,在学生宿舍区是DCSM认证计费管理系统。
网络实名制概念引入
图1 聊城大学校园网络拓扑
官方、网络管理者、业内专家大多支持网络实名制,认为必须通过实名制维护整个社会信息系统的安全与稳定,而互联网在自由的同时放任无度,其消极影响不容忽视。对于网络实名制的定义,目前在业内尚未形成一致和统一的论断。但普遍认可的陈述是:网民们使用网络服务如博客、BBS讨论、电子购物、网络游戏等时,要进行真实姓名和身份证号登记与验证,以加强网络管理。
聊城大学校园网管理引入网络实名制
1.办公区和家属区用户建立规则
办公区和家属区用户上网账号建立规则是将所在地点作为命名的依据。可以起到见名之意的作用,名字组成就涵盖了具体上网地点,如wo2051代表西校区办公楼205室第1个用户,ets031056代表东校区3号实验楼105室第6个用户。通过用户名在802.1X认证管理系统中可以查询用户的基本上网信息。
2.学生宿舍区用户命名规则
学生宿舍用户命名以学生学号直接作为用户名,通过用户名在802.1X认证管理系统中可以查询用户的基本上网信息。如图2所示。
网络用户上网手续的办理方式
1.办公区和家属区上网手续办理
图2 802.1X认证管理系统
在办公区和家属区的网络用户首先在网络信息中心办理手续,分发给其上网账号,密码和个人信息按照用户实际信息录入,确保网络实名制的进行;之后网络信息中心人员负责将线路调通,并指导用户下载802.1X认证客户端,最后让用户能够正常上网。
2.学生宿舍区上网手续办理
在学生宿舍区上网的学生用户是集中办理上网手续,原则是一个学期办理一次,开户整个过程全部采用资讯通,通过它自助完成注册和缴费,学生缴费后立即就可以回宿舍上网。上网用户名就是学号,密码为学生自己设定的。网络信息中心将每个宿舍的上网信息接口预先已调通,全部学生宿舍区均使用DHCP动态获取IP地址方式,简化了用户配置静态IP地址的麻烦,也省去了网络中心人员分发静态IP地址的大量工作;为了使客户端分发方便,在接入设备中做配置,允许未通过认证即可登录聊城大学网站,并让用户可以从聊城大学网络信息中心网站上下载客户端,学生安装好802.1X认证客户端用自己的用户名和账号即可通过认证上外网。由于学生自己设定密码,对网络账号的安全性有了重要保证;为了对学生用户的网络管理更安全,在接入设备中引入ip DHCP Snooping思想,第一次上网后就绑定了用户上网位置和上网设备,避免了学生乱用账号,有利于网络管理。
资讯通注册缴费具体流程如下:
(1)首先将个人一卡通插入“IC卡插口”,根据提示输入资讯通密码,成功之后进入个人资讯通界面。
提示:个人初始密码为学号后六位或者000000或者666666;若个人密码忘记,请与西校区一卡通管理中心联系。
(2)通过触摸屏选择“项目收费”,会出现“上网缴费”和“上网注册”两个按钮。
图3 学生上网注册界面
(3)通过触摸屏选择“上网注册”,进入学生上网注册页面。通过触摸屏移动到每个选项填写完全,然后点击“注册”按钮,进行注册,如图3所示。
提示:用户上网DCSM客户端需要输入的用户名和密码分别就是注册界面上的个人编码(即一卡通号、个人学号)和用户密码,请牢记;涉及到网络维护问题,校区、楼号、宿舍号请一定仔细填写正确。
(4)注册成功之后,请选择 “上网缴费”按钮进行缴费。涉及资金问题,望用户谨慎选择,一旦确定无法修改。
提示:本次上网缴费只有学年缴费选项,收费标准为175元/学年。
(5)提示缴费成功之后,相应金额会从卡中扣除,缴费工作完成。切记取回个人一卡通。
聊城大学通过对全校实现802.1X认证,网络运行质量得到了很大改善。通过对办公区、家属区同学生宿舍区的隔离,使用了不同的上网认证计费系统,使得网络管理更清晰。通过花费巨大的时间和精力将学生宿舍区每个宿舍开通了一个上网信息接口,使得学生即使不缴费,亦可以免费浏览聊城大学网站,而且可以预先由聊城大学网络信息中心网站下载认证客户端;通过运用资讯通,使得学生可以自由的在办理手续期间的任何时间在指定的六个放置资讯通设备的位置自助缴费,缴费成功后就可以回宿舍畅游网络了。
在办公和家属区的上网用户是基于上网地点来命名的,当有网络安全问题出现时,可追寻性强;当有网络故障问题出现时,对网络地点的确定很容易,解决问题针对性更强。在学生宿舍区上网的学生用户是基于学生学号命名的,对网络安全问题的可追踪性强;由于引入ip DHCP Snooping思想,通过学号在802.1X认证系统中查询到学生上网所在的具体设备来解决网络故障亦相对容易。
现在随着掌上电脑、智能手机和其他无线终端等设备的出现,对无线网络的需求日益增加,现在聊城大学在学生宿舍区已经启用了移动无线网络,准备2014年前在教学办公区也启用无线网络。
(作者单位为聊城大学网络信息中心)