“五位一體”輕松管網(wǎng)

文/李瑞

“五位一體”輕松管網(wǎng)

文/李瑞

為迎接數(shù)字校園運(yùn)行帶來(lái)的挑戰(zhàn)，銳捷網(wǎng)絡(luò)著眼網(wǎng)絡(luò)一體化管理，從而降低運(yùn)維管理難度、優(yōu)化用戶使用體驗(yàn)、改善網(wǎng)絡(luò)安全審計(jì)以及實(shí)現(xiàn)面向數(shù)字校園的開(kāi)放整合。

校園網(wǎng)運(yùn)行挑戰(zhàn)

當(dāng)前，以數(shù)字校園為特征的教育信息化發(fā)展正駛?cè)敫咚俾罚鞣N信息化應(yīng)用正在或即將改變著師生們的工作、學(xué)習(xí)、生活以及思維方式，促發(fā)著教育模式和教育觀念的變革。

如火如荼的數(shù)字校園建設(shè)對(duì)作為其基礎(chǔ)承載的校園網(wǎng)規(guī)劃建設(shè)提出了全新的挑戰(zhàn)。必須做到面向數(shù)字校園的校園網(wǎng)安全運(yùn)營(yíng)管理。校園網(wǎng)規(guī)劃建設(shè)包含安全、運(yùn)營(yíng)和管理三個(gè)方面的主要內(nèi)容。

作為網(wǎng)絡(luò)規(guī)劃建設(shè)和運(yùn)維管理人員需要做到：

首先，需要分別或同時(shí)的對(duì)包括有線/無(wú)線宿舍網(wǎng)、有線/無(wú)線科研辦公網(wǎng)、校外VPN訪問(wèn)、家屬區(qū)甚至是新建辦公樓、新建校區(qū)等在內(nèi)的主要網(wǎng)絡(luò)區(qū)域進(jìn)行網(wǎng)絡(luò)安全認(rèn)證、計(jì)費(fèi)、運(yùn)維管理的規(guī)劃建設(shè)，每個(gè)區(qū)域在認(rèn)證方式、計(jì)費(fèi)策略、安全策略、管理策略等方面具有明顯的區(qū)域化需求特征；

其次，需要考慮安全運(yùn)營(yíng)管理平臺(tái)是否可以兼容校內(nèi)已有的軟硬件設(shè)施，達(dá)到投資保護(hù)的目的；并且，是否能夠與校內(nèi)已有的多種應(yīng)用系統(tǒng)、在建和已建的一卡通、數(shù)字校園系統(tǒng)實(shí)現(xiàn)對(duì)接；

再次，校園網(wǎng)又具有接入用戶群體多樣性、網(wǎng)絡(luò)接入方式多樣化的基本需求特征，與此同時(shí)，網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)使用體驗(yàn)提出了極高的要求、希望網(wǎng)絡(luò)的規(guī)劃建設(shè)對(duì)其來(lái)說(shuō)是透明的。

伴隨數(shù)字校園的發(fā)展，教學(xué)、科研和管理等業(yè)務(wù)對(duì)信息化的依賴越來(lái)越大，應(yīng)用類型不斷增多，種種因素交織在一起勢(shì)必在投資成本、管理難度、用戶體驗(yàn)、安全審計(jì)以及開(kāi)放整合等多個(gè)方面對(duì)傳統(tǒng)的校園網(wǎng)安全運(yùn)營(yíng)管理提出了全新的挑戰(zhàn)，是否能夠?qū)崿F(xiàn)、以及具體如何實(shí)現(xiàn)校園網(wǎng)的統(tǒng)一認(rèn)證運(yùn)營(yíng)管理逐步成為備受關(guān)切的問(wèn)題。

五個(gè)一體化應(yīng)對(duì)挑戰(zhàn)

多年的摸索和實(shí)踐使我們認(rèn)識(shí)到，校園網(wǎng)安全運(yùn)營(yíng)管理的核心需求及特點(diǎn)可歸納為五個(gè)方面：

1.準(zhǔn)入和準(zhǔn)出一體化；

2.802.1x和Web一體化；

3.有線和無(wú)線一體化；

4.校內(nèi)和校外一體化；

5.IPv4和IPv6一體化。

面向數(shù)字校園的校園網(wǎng)安全運(yùn)營(yíng)管理要求對(duì)這五個(gè)方面進(jìn)行完整的涵蓋，五個(gè)方面的分別一體化是過(guò)程、五個(gè)方面的整合一體化是目標(biāo)，直至實(shí)現(xiàn)校園網(wǎng)的全網(wǎng)統(tǒng)一認(rèn)證運(yùn)營(yíng)管理。

準(zhǔn)入和準(zhǔn)出一體化

準(zhǔn)入認(rèn)證是為了驗(yàn)證身份，包括接入網(wǎng)絡(luò)中的用戶標(biāo)識(shí)（User ID）、主機(jī)標(biāo)識(shí)（MAC）、網(wǎng)絡(luò)標(biāo)識(shí)（IP），確保網(wǎng)絡(luò)用戶身份的合法、真實(shí)，實(shí)現(xiàn)內(nèi)網(wǎng)的安全、可控、易定位和強(qiáng)審計(jì)。

準(zhǔn)出是為了區(qū)分權(quán)限，需要針對(duì)某個(gè)網(wǎng)絡(luò)用戶是否可訪問(wèn)校外、可使用多少流量、可占用多少帶寬等進(jìn)行定義。同時(shí)，基于校園網(wǎng)準(zhǔn)出技術(shù)，滿足基于時(shí)長(zhǎng)、流量、帶寬三者獨(dú)立或任意復(fù)合的計(jì)費(fèi)策略，適應(yīng)普遍存在的校內(nèi)免費(fèi)、校外收費(fèi)的計(jì)費(fèi)需求。

面向數(shù)字校園的準(zhǔn)入和準(zhǔn)出一體化，需要考慮如下三個(gè)方面的具體內(nèi)容：

1.準(zhǔn)入認(rèn)證：負(fù)責(zé)實(shí)施準(zhǔn)入認(rèn)證的接入交換機(jī)要能夠?qū)崿F(xiàn)動(dòng)態(tài)的User ID+MAC+IP+Port的自動(dòng)綁定，確保入網(wǎng)用戶身份合法、入網(wǎng)主機(jī)標(biāo)識(shí)和網(wǎng)絡(luò)標(biāo)識(shí)的真實(shí)可信；

2.準(zhǔn)出認(rèn)證：負(fù)責(zé)實(shí)施準(zhǔn)出認(rèn)證的認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)要能夠?qū)崿F(xiàn)基于用戶身份的訪問(wèn)權(quán)限控制、帶寬管理和流量計(jì)費(fèi)；

3.管理平臺(tái)：準(zhǔn)入和準(zhǔn)出采用統(tǒng)一的安全計(jì)費(fèi)管理平臺(tái)，用戶僅需1套賬號(hào)密碼并能夠自由、自主的在內(nèi)外網(wǎng)訪問(wèn)間實(shí)現(xiàn)方便的切換。

圖1 校園網(wǎng)接入用戶群體的多樣性、網(wǎng)絡(luò)接入方式的多樣化

802.1x和Web一體化

眾所周知，Web準(zhǔn)入認(rèn)證兼?zhèn)鋫鹘y(tǒng)的802.1x準(zhǔn)入認(rèn)證和Web準(zhǔn)出認(rèn)證的優(yōu)點(diǎn)，非常適合需求“易用易管保安全”的教學(xué)科研辦公區(qū)管理。

與之對(duì)應(yīng)的是802.1x準(zhǔn)入認(rèn)證，更適合需求“可控可管可運(yùn)營(yíng)”的學(xué)生宿舍網(wǎng)運(yùn)營(yíng)。

面向數(shù)字校園的802.1x和Web一體化，需要考慮如下三個(gè)方面的具體內(nèi)容：

1.接入交換機(jī)：基于部署靈活、投資保護(hù)的考慮，接入交換機(jī)實(shí)現(xiàn)802.1x準(zhǔn)入和Web準(zhǔn)入的同時(shí)支持。

首先，在統(tǒng)一認(rèn)證計(jì)費(fèi)管理平臺(tái)的協(xié)同下，實(shí)現(xiàn)基于用戶身份和所在區(qū)域的多種認(rèn)證方式；

其次，支持真實(shí)源地址保障，即802.1x準(zhǔn)入和Web準(zhǔn)入均能夠在認(rèn)證通過(guò)時(shí)動(dòng)態(tài)的自動(dòng)綁定用戶所使用的IP+MAC+端口。

2.認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)：能夠?qū)崿F(xiàn)對(duì)應(yīng)的802.1x準(zhǔn)出和Web準(zhǔn)出；

3.管理平臺(tái)：802.1x準(zhǔn)入、802.1x準(zhǔn)出，Web準(zhǔn)入、Web準(zhǔn)出可通過(guò)統(tǒng)一的認(rèn)證計(jì)費(fèi)管理平臺(tái)進(jìn)行管理。

有線和無(wú)線一體化

面向數(shù)字校園的有線和無(wú)線一體化，需要考慮如下三個(gè)方面的具體內(nèi)容：

1.接入方式：校園網(wǎng)同時(shí)具備有線網(wǎng)絡(luò)接入能力和無(wú)線網(wǎng)絡(luò)接入能力；

2.認(rèn)證方式：有線接入認(rèn)證和無(wú)線接入認(rèn)證均可以采用802.1x和Web認(rèn)證方式；

3.管理平臺(tái)：有線802.1x認(rèn)證、有線Web認(rèn)證、無(wú)線客戶端認(rèn)證、無(wú)線Web認(rèn)證可通過(guò)統(tǒng)一的認(rèn)證計(jì)費(fèi)管理平臺(tái)進(jìn)行管理。

出于安全和管理的需要，無(wú)線客戶端認(rèn)證方式需要繼承有線802.1x認(rèn)證方式的某些特性，如防代理、在線短消息等功能。

校內(nèi)和校外一體化

隨著數(shù)字校園建設(shè)和應(yīng)用的深入，校外VPN訪問(wèn)需求變得越來(lái)越普遍。

面向數(shù)字校園，安全計(jì)費(fèi)管理平臺(tái)要能夠?qū)崿F(xiàn)對(duì)校外VPN訪問(wèn)的支持，包括基于客戶端方式的IPSec VPN和基于Web瀏覽器的SSL VPN，并且通過(guò)該平臺(tái)可以實(shí)現(xiàn)基于用戶身份的網(wǎng)絡(luò)資源訪問(wèn)權(quán)管理。

校內(nèi)和校外一體化，對(duì)于管理人員來(lái)說(shuō)，僅需對(duì)1套系統(tǒng)、1份用戶身份信息進(jìn)行操作；對(duì)于網(wǎng)絡(luò)用戶來(lái)說(shuō)，在校內(nèi)和校外僅需1套賬號(hào)密碼，在降低運(yùn)維管理復(fù)雜度的同時(shí)還可以有效的提升用戶使用體驗(yàn)。

IPv4和IPv6一體化

下一代互聯(lián)網(wǎng)的發(fā)展和演進(jìn)勢(shì)不可擋，校園網(wǎng)安全運(yùn)營(yíng)管理被要求同時(shí)承載IPv4協(xié)議和IPv6協(xié)議，滿足IPv4接入和IPv6接入需求。

面向數(shù)字校園，校園網(wǎng)安全計(jì)費(fèi)管理系統(tǒng)要能夠在身份管理、用戶管理、安全管理以及計(jì)費(fèi)管理等方面提供豐富的IPv4和IPv6一體化技術(shù)支撐。例如，在用戶管理方面能夠分別實(shí)現(xiàn)IPv4用戶、IPv6用戶、IPv4/IPv6雙棧用戶的實(shí)時(shí)在線人數(shù)統(tǒng)計(jì)和歷史在線用戶統(tǒng)計(jì)；在安全管理方面實(shí)現(xiàn)在RADIUS Server端和接入交換機(jī)端對(duì)用戶IPv6地址的綁定等。

圖2 面向數(shù)字校園的校園網(wǎng)安全運(yùn)營(yíng)管理

圖3 創(chuàng)新網(wǎng)絡(luò)價(jià)值

一體化管理創(chuàng)造價(jià)值

五位一體的數(shù)字校園安全運(yùn)營(yíng)管理，可實(shí)現(xiàn)1套安全計(jì)費(fèi)管理系統(tǒng)、1名運(yùn)維管理人員、1套賬號(hào)密碼的全網(wǎng)統(tǒng)一認(rèn)證運(yùn)營(yíng)管理；除此以外，該系統(tǒng)還需要能夠提供開(kāi)放的第三方接口、支持LDAP對(duì)接，多廠商接入設(shè)備兼容等開(kāi)放整合特性，進(jìn)而最大限度的減少建設(shè)投資成本、降低運(yùn)維管理難度、優(yōu)化用戶使用體驗(yàn)、改善網(wǎng)絡(luò)安全審計(jì)以及實(shí)現(xiàn)面向數(shù)字校園的開(kāi)放整合，創(chuàng)新網(wǎng)絡(luò)價(jià)值，最終為數(shù)字校園的合理建設(shè)和持續(xù)發(fā)展奠定安全無(wú)憂、運(yùn)營(yíng)無(wú)憂、管理無(wú)憂的堅(jiān)實(shí)承載。