“五位一體”輕松管網(wǎng)

文/李瑞

“五位一體”輕松管網(wǎng)

文/李瑞

為迎接數(shù)字校園運行帶來的挑戰(zhàn)，銳捷網(wǎng)絡(luò)著眼網(wǎng)絡(luò)一體化管理，從而降低運維管理難度、優(yōu)化用戶使用體驗、改善網(wǎng)絡(luò)安全審計以及實現(xiàn)面向數(shù)字校園的開放整合。

校園網(wǎng)運行挑戰(zhàn)

當前，以數(shù)字校園為特征的教育信息化發(fā)展正駛?cè)敫咚俾罚鞣N信息化應用正在或即將改變著師生們的工作、學習、生活以及思維方式，促發(fā)著教育模式和教育觀念的變革。

如火如荼的數(shù)字校園建設(shè)對作為其基礎(chǔ)承載的校園網(wǎng)規(guī)劃建設(shè)提出了全新的挑戰(zhàn)。必須做到面向數(shù)字校園的校園網(wǎng)安全運營管理。校園網(wǎng)規(guī)劃建設(shè)包含安全、運營和管理三個方面的主要內(nèi)容。

作為網(wǎng)絡(luò)規(guī)劃建設(shè)和運維管理人員需要做到：

首先，需要分別或同時的對包括有線/無線宿舍網(wǎng)、有線/無線科研辦公網(wǎng)、校外VPN訪問、家屬區(qū)甚至是新建辦公樓、新建校區(qū)等在內(nèi)的主要網(wǎng)絡(luò)區(qū)域進行網(wǎng)絡(luò)安全認證、計費、運維管理的規(guī)劃建設(shè)，每個區(qū)域在認證方式、計費策略、安全策略、管理策略等方面具有明顯的區(qū)域化需求特征；

其次，需要考慮安全運營管理平臺是否可以兼容校內(nèi)已有的軟硬件設(shè)施，達到投資保護的目的；并且，是否能夠與校內(nèi)已有的多種應用系統(tǒng)、在建和已建的一卡通、數(shù)字校園系統(tǒng)實現(xiàn)對接；

再次，校園網(wǎng)又具有接入用戶群體多樣性、網(wǎng)絡(luò)接入方式多樣化的基本需求特征，與此同時，網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)使用體驗提出了極高的要求、希望網(wǎng)絡(luò)的規(guī)劃建設(shè)對其來說是透明的。

伴隨數(shù)字校園的發(fā)展，教學、科研和管理等業(yè)務(wù)對信息化的依賴越來越大，應用類型不斷增多，種種因素交織在一起勢必在投資成本、管理難度、用戶體驗、安全審計以及開放整合等多個方面對傳統(tǒng)的校園網(wǎng)安全運營管理提出了全新的挑戰(zhàn)，是否能夠?qū)崿F(xiàn)、以及具體如何實現(xiàn)校園網(wǎng)的統(tǒng)一認證運營管理逐步成為備受關(guān)切的問題。

五個一體化應對挑戰(zhàn)

多年的摸索和實踐使我們認識到，校園網(wǎng)安全運營管理的核心需求及特點可歸納為五個方面：

1.準入和準出一體化；

2.802.1x和Web一體化；

3.有線和無線一體化；

4.校內(nèi)和校外一體化；

5.IPv4和IPv6一體化。

面向數(shù)字校園的校園網(wǎng)安全運營管理要求對這五個方面進行完整的涵蓋，五個方面的分別一體化是過程、五個方面的整合一體化是目標，直至實現(xiàn)校園網(wǎng)的全網(wǎng)統(tǒng)一認證運營管理。

準入和準出一體化

準入認證是為了驗證身份，包括接入網(wǎng)絡(luò)中的用戶標識（User ID）、主機標識（MAC）、網(wǎng)絡(luò)標識（IP），確保網(wǎng)絡(luò)用戶身份的合法、真實，實現(xiàn)內(nèi)網(wǎng)的安全、可控、易定位和強審計。

準出是為了區(qū)分權(quán)限，需要針對某個網(wǎng)絡(luò)用戶是否可訪問校外、可使用多少流量、可占用多少帶寬等進行定義。同時，基于校園網(wǎng)準出技術(shù)，滿足基于時長、流量、帶寬三者獨立或任意復合的計費策略，適應普遍存在的校內(nèi)免費、校外收費的計費需求。

面向數(shù)字校園的準入和準出一體化，需要考慮如下三個方面的具體內(nèi)容：

1.準入認證：負責實施準入認證的接入交換機要能夠?qū)崿F(xiàn)動態(tài)的User ID+MAC+IP+Port的自動綁定，確保入網(wǎng)用戶身份合法、入網(wǎng)主機標識和網(wǎng)絡(luò)標識的真實可信；

2.準出認證：負責實施準出認證的認證計費網(wǎng)關(guān)要能夠?qū)崿F(xiàn)基于用戶身份的訪問權(quán)限控制、帶寬管理和流量計費；

3.管理平臺：準入和準出采用統(tǒng)一的安全計費管理平臺，用戶僅需1套賬號密碼并能夠自由、自主的在內(nèi)外網(wǎng)訪問間實現(xiàn)方便的切換。

圖1 校園網(wǎng)接入用戶群體的多樣性、網(wǎng)絡(luò)接入方式的多樣化

802.1x和Web一體化

眾所周知，Web準入認證兼?zhèn)鋫鹘y(tǒng)的802.1x準入認證和Web準出認證的優(yōu)點，非常適合需求“易用易管保安全”的教學科研辦公區(qū)管理。

與之對應的是802.1x準入認證，更適合需求“可控可管可運營”的學生宿舍網(wǎng)運營。

面向數(shù)字校園的802.1x和Web一體化，需要考慮如下三個方面的具體內(nèi)容：

1.接入交換機：基于部署靈活、投資保護的考慮，接入交換機實現(xiàn)802.1x準入和Web準入的同時支持。

首先，在統(tǒng)一認證計費管理平臺的協(xié)同下，實現(xiàn)基于用戶身份和所在區(qū)域的多種認證方式；

其次，支持真實源地址保障，即802.1x準入和Web準入均能夠在認證通過時動態(tài)的自動綁定用戶所使用的IP+MAC+端口。

2.認證計費網(wǎng)關(guān)：能夠?qū)崿F(xiàn)對應的802.1x準出和Web準出；

3.管理平臺：802.1x準入、802.1x準出，Web準入、Web準出可通過統(tǒng)一的認證計費管理平臺進行管理。

有線和無線一體化

面向數(shù)字校園的有線和無線一體化，需要考慮如下三個方面的具體內(nèi)容：

1.接入方式：校園網(wǎng)同時具備有線網(wǎng)絡(luò)接入能力和無線網(wǎng)絡(luò)接入能力；

2.認證方式：有線接入認證和無線接入認證均可以采用802.1x和Web認證方式；

3.管理平臺：有線802.1x認證、有線Web認證、無線客戶端認證、無線Web認證可通過統(tǒng)一的認證計費管理平臺進行管理。

出于安全和管理的需要，無線客戶端認證方式需要繼承有線802.1x認證方式的某些特性，如防代理、在線短消息等功能。

校內(nèi)和校外一體化

隨著數(shù)字校園建設(shè)和應用的深入，校外VPN訪問需求變得越來越普遍。

面向數(shù)字校園，安全計費管理平臺要能夠?qū)崿F(xiàn)對校外VPN訪問的支持，包括基于客戶端方式的IPSec VPN和基于Web瀏覽器的SSL VPN，并且通過該平臺可以實現(xiàn)基于用戶身份的網(wǎng)絡(luò)資源訪問權(quán)管理。

校內(nèi)和校外一體化，對于管理人員來說，僅需對1套系統(tǒng)、1份用戶身份信息進行操作；對于網(wǎng)絡(luò)用戶來說，在校內(nèi)和校外僅需1套賬號密碼，在降低運維管理復雜度的同時還可以有效的提升用戶使用體驗。

IPv4和IPv6一體化

下一代互聯(lián)網(wǎng)的發(fā)展和演進勢不可擋，校園網(wǎng)安全運營管理被要求同時承載IPv4協(xié)議和IPv6協(xié)議，滿足IPv4接入和IPv6接入需求。

面向數(shù)字校園，校園網(wǎng)安全計費管理系統(tǒng)要能夠在身份管理、用戶管理、安全管理以及計費管理等方面提供豐富的IPv4和IPv6一體化技術(shù)支撐。例如，在用戶管理方面能夠分別實現(xiàn)IPv4用戶、IPv6用戶、IPv4/IPv6雙棧用戶的實時在線人數(shù)統(tǒng)計和歷史在線用戶統(tǒng)計；在安全管理方面實現(xiàn)在RADIUS Server端和接入交換機端對用戶IPv6地址的綁定等。

圖2 面向數(shù)字校園的校園網(wǎng)安全運營管理

圖3 創(chuàng)新網(wǎng)絡(luò)價值

一體化管理創(chuàng)造價值

五位一體的數(shù)字校園安全運營管理，可實現(xiàn)1套安全計費管理系統(tǒng)、1名運維管理人員、1套賬號密碼的全網(wǎng)統(tǒng)一認證運營管理；除此以外，該系統(tǒng)還需要能夠提供開放的第三方接口、支持LDAP對接，多廠商接入設(shè)備兼容等開放整合特性，進而最大限度的減少建設(shè)投資成本、降低運維管理難度、優(yōu)化用戶使用體驗、改善網(wǎng)絡(luò)安全審計以及實現(xiàn)面向數(shù)字校園的開放整合，創(chuàng)新網(wǎng)絡(luò)價值，最終為數(shù)字校園的合理建設(shè)和持續(xù)發(fā)展奠定安全無憂、運營無憂、管理無憂的堅實承載。