龚文涛， 郎颖莹

(中国石油大学(华东) 信息化建设处1,教育发展中心2, 青岛 266580)

0 引言

随着学校信息化建设步伐的不断深入，校园网建设从规模和深度均有加强，从单一的有线网变成了无线网和有线网融合的园区网，接入设备从单一的台式电脑和笔记本逐步发展为手机和各种移动终端，如何将校园网中的无线网和有线网做到认证的融合，如何有效管理校园网中的学生网账号，在教学区和办公区及学生区实现差异化的网络计费控制策略变成一个研究热点和难点[1、2]。

有线网络区域的认证计费主要是通过有线网中的认证设备检测学生用户上网请求包，依据认证的账号和密码信息对其能否上网做出判决，最基本的认证模式是基于按月计费的认证模式，有的高校开启了认证依托流量来计费，随着有线网和无线网的不断深入建设[3、4]，有线网和无线网的架构如何融合，认证如何有效联动，如何对学生上网账号做好精细化的认证计费管理变成一个研究难点，高校网络管理人员和建设人员面对日益庞大无序的账号管理任务，如何协调好网络建设和网络管理的关系变得必要和重要[5]。

本文分析和总结了校园网中有线网和无线网的架构及相互关系，提出了一种基于课表联动的认证计费控制策略，为灵活和精细化管理学生账号在教学区的上网认证计费提供了思路。

1 学生网络架构及认证流程需求设计

1.1 学生有线网架构

学生网络架构介绍：单就学生网络内部来说，是典型的3层架构，核心、汇聚及接入等3个层次，具体来说在学校的学生宿舍有线网络里，有一台学生核心、4台学生汇聚、分布近50个学生接入机房，所有接入机房的接入交换机达到近300台，每个学生宿舍有的住6人，有的住4人，需要通过小型的交换机接入到学校的交换机端口上。

校园网络架构，如图1所示。

学生汇聚中将所有的接入Vlan的网关设置在汇聚层面，核心和汇聚层走路由，而接入交换机通过配置静态默认路由指向汇聚的管理接口地址，实现了学生网络的内部互联互通。

为进一步丰富学生宿舍网络资源，学校还特意引入了运营商的资源，包括联通的出口资源及移动公司的无线硬件资源等，通过校企合作，丰富了学校网络资源，扩展了学校网络规模，丰富了广大学生的学习和生活网络资源，减少了学校建网成本，然而，多种用户组下的统一管理变得日益复杂，需求也更加迫切，从学校管理层面，要求能够对学校的每一个在网注册的学生的信息和账号做到精确的管理，避免社会上非学校人员进入学校网络，将学校网络整体打造为一个相对内部放开，对外封闭的利于学生学习和生活的网络平台。需要对学生在网用户的认证计费提出更加高的要求和更加严格的标准。

图1 学生网络架构图

1.2 无线网络架构

随着学校无线网络的不断深入建设，在学校教学区的每一个教室，已经布设了无线网络，依据教室大小和人数多少来规划布设的AP的数量。

目前学校针对不同需求布设了3种不同类型的无线AP，室外公共区域选择了布设室外AP，其特点是性能优越，通过天线将信号覆盖到学校热点区域。第一期建设布设了44个室外AP，主要覆盖了学校的热点步行街，包括学校北门、南门、讲堂群等教学区域附近、逸夫楼、图书馆、体育馆等重要的公共场所，覆盖了图文中心、文理楼、工科楼A座B座C座D座等4座学院楼宇等重要的科研区域、办公区域，AP露天布置，外面有特制的小柜子作为防护，下接电源模块到特制的交换机网口上。

教学区域布设了无线，其架构主要是通过光纤将接入pppoe交换机下联到无线AP中，广大教工和学生通过无线AP实现上网。目前学校无线已经涵盖了所有教室，以讲堂群为例，如拓扑图2所示。

图2 教学区无线架构图

大部分公共区域，诸如活动室和会议室均已经有无线网络覆盖，这样丰富广大教工和学生的学习和生活的网络资源的同时，也加大了网络管理部门的认证管理难度。

1.3 基于有线链路的无线网

校园网历经数十年发展，有得今日规模，有线覆盖全校园网的房间，无线网络起步较晚，建设力度较大，目前覆盖了校园网中所有教学区域，所有学校会议室和重点公共区域，诸如图书馆和逸夫楼会议室等，覆盖了校园热点街道。

无线网需要光纤解决链路问题，结合有线网络丰富的链路资源，部分无线网络需要和有线网络融合，从核心层面说：无线网络需要借助有线网的物理链路资源，需要借助有线网络校园核心和重要汇聚。从接入层面说：因为无线网络分布范围广，分布离散性，使得其光纤链路成本和交换机成本均居高不下，目前借助有线网络，将无线网络融合到有线网中，将无线网VLAN透传到现有接入办公网络接入交换机和学生区域接入交换机中，无线网络大部分流量通过有线链路将全校无线网络互联起来，有线网和无线网做到了融合统一，统一的身份计费和访问权限控制，统一的账号管理。

1.4 学生统一账号认证流程

所有学生均能够通过学生唯一指定合法账号一卡通来实现网络的开通和注销工作，所有在校生有且仅有一个一卡通，有且仅有一个上网账号。

通过唯一账号来完成网络上网权限管理，学生网分为校园网普通教育网、校园网联通组和校园网移动组。为此，不同的组的学生制定不同的网络访问权限。访问的对象包括有线网和无线网，而通常的上网计费流程，如图3所示。

图3 无线网管认证架构

学生请求通过通道登录无线，其认证计费信息要发送到无线计费服务器，计费服务器通过后，才允许其上网，而无线网管则是管理所有无线AP的核心设备。

默认的认证流程如下：认证计费通过互动方式，每个学生在上网的时候，主动弹出一个portal认证页面，通过该页面来输入用户名和密码，授权服务器将认证后的信息反馈回学生，若是账号或者密码错误，则拒绝其上网，否则，允许其上网。

2 基于上课时间的无线网控制策略设计

2.1 认证控制策略思路

为做到学生上网账号和上课时间的联动绑定，需要将学生上网账号和学生课表信息对接关联起来，需要在课表数据库里面抽取每一个在网注册学生用户，每隔一段很小时间，可以设定几分钟来读取其是否有课，重点区域在每节课的上课前10分钟，将所有有课学生的账号踢下线，这样能够完成对学生账号上课期间不能够使用无线网的功能。

2.2 基于上课时间的默认控制策略

就学生账号在上课期间内，在无线网络范围下管理其上线或者下线的管理流程，其学生账号的认证思路有如下两种，第一种是基于默认上课期间关闭上网功能的认证思路，其流程如下：

第一步：学生在有无线覆盖的地方，打开WLAN，选择发布的SSID，比如学校的无线特定标示。

第二步：打开认证页面，输入用户名和密码，默认的用户名和密码是和有线网络使用的同一个用户名和密码。

第三步：学生用户输入用户名和密码后，将其信息发送给认证服务器，认证服务器遍历后台数据库中的数据表和相应字段，找到该用户名和密码，若是错误，发送错误报，此次登陆认证被拒绝，其登陆行为结束，否则，跳到第四步。

第四步：依据特定的时间周期，检查其课表是否有课，若有课，则提示其上课时间不能够上网，否则，允许其登陆网络。

第五步：依据时间检测，若其在上课时间，则让其下线。

第六步：基于课表的一种联动，通过实时监控和精细化管理，避免学生在课堂中沉迷无线网络。

2.3 基于上课老师灵活授权的上网控制策略

这是在前面环节认证管理的思路的基础上，结合新课程和网络新技术的发展需求，有教师可以更加灵活授课方式的，有教师需要在上课期间利用网络的，可以发展为更加灵活的，将上课时间能否上网的权限交送给上课的老师，由任课老师来决定其是否在上课时间上网的权限，具体的认证流程如下：

第一步：老师在申请教室和具体的课程时间的时候，有一个选择是否“允许学生上课期间上网”的选项按钮，默认该按钮是关闭的，也即默认不让学生上课上网.转到第二步。

第二步：若是老师认为学生上无线很必要，能够较好完成课程知识的查询及授课的互动，可以在网络上更加灵活和便捷教授学生，则老师可以选择学生上课，则学生在上课时间内是可以上网的，跳到第第三步，如果老师认为开了网络后，学生上网沉迷，比较难控制，或者不需要网络了，则将其上网的按钮关闭，跳到第四步。

第三步：学生可以在上课期间，凭借其账号上网。

第四步：学生在老师点击关闭上课上网网络后，将指令发送给认证服务器，服务器依靠下线指令，将特定教室特定时间点的学生的在线或者上线的账号剔除，让其下线，则学生不可以上网。

依托该两种课表管理机制结合后，可以灵活控制学生在无线区域的上课课程的联动，可以让其便捷地控制学生账号上网的时间。

3 总结

本文分析和总结了高校网络架构和学生宿舍网络账号情况，针对复杂网络环境下的多元组的账号的精确管理需求，提出了一种基于课表的网络访问权限管理机制。

通过基于课表的网络访问权限管理机制，学校网络管理者能精细化控制和管理学生上网账号上无线网络的权限，对基于安全的精细化网络管理在访问控制环节中夯实了基础，能够灵活控制学生上网的时间，能够依据课程授课老师的需求来开放或者关闭学生上网的访问权限，一定程度强化了对学校网络管理的精细度，提升了网络管理水平。