淺析五位一體校園網安全運營管理方案

湯永利　霍霄艷　高玉龍

【摘 要】信息化時代的來臨，便捷了用戶間信息的交互和管理，使得當前校園網絡建設被廣泛應用。銳捷網絡所提出的一種“五位一體數字校園安全運營管理”方案以其優良的性能和安全性受到各大高校的青睞，并相繼投入使用。本文基于對網絡建設的研究，主要介紹和總結該安全運營管理方案的特點，分析五位一體化模式對當前校園網絡建設的性能優勢。

【關鍵詞】校園網絡；運營管理；網絡建設

【Abstract】With the advent of the information age， it is convenient for users to interact and manage the information. A new digital campus safety management program Ruijie proposed for its excellent performance and safety by the major colleges and universities favor， and have been put into use. Based on the research of network construction， this paper mainly introduces and summarizes the characteristics of the security operation management scheme， and analyzes the performance advantage of this management program on the current campus network construction.

【Key words】Campus network； Operation management； Network construction

0 前言

隨著計算機互聯網的發展和應用，國內外各大高校的校園網絡建設成為高校網絡建設的重點，目標是要實現高校業務的全面信息化。校園網絡信息化建設不僅計算機網絡技術難題，更包含網絡硬件設施、信息資源、教學環境等內容[1]。校園網建設的設計原則應充分考慮其實用性、安全性、可靠性、先進性、可擴展性、以及經濟性[2]，方便全校師生這一龐大群體用戶的使用。

隨著高校的數字化網絡校園建設的全面展開，各種網絡應用系統開始廣泛應用于教學、科研等方面[3]。數字化校園的最終目標是要達到一種信息集成、應用集成以及社會集成的統一應用門戶。

1 方案簡介

銳捷網絡多年來扎根于中國的教育事業，了解中國教育的現狀，提出了很多校園網絡的建設和管理方案。

其作為國內教育行業信息化建設的領導者，根據國內高校數字化校園網絡建設發展趨勢和方向，提出了一種“五位一體數字校園安全運營管理”的管理方案[4]，滿足全校師生用戶的教學工作、科研事務、管理用戶等實際應用需求，為用戶提供了一個安全可靠的網絡平臺。同時該方案已在國內各大高校成功建設和投入使用，實現測試效果優良。

該方案是基于準入和準出、802.1x和Web、校內和校外、有線和無線、IPv4和IPv6這五項方面的內容進行設計與研究，分別實現此五項內容的一體化。該方案中五項內容一體化之間相輔相成，共同構建以實現校園網的統一認證運營管理，保證校內網絡用戶的安全管理和使用。

2 方案實現內容分析

2.1 準入和準出一體化

準入過程用于驗證身份，驗證所接入網絡的用戶、主機以及網絡的信息標識，確保網絡用戶合法、真實，保證內部網絡的安全性。

準出過程用于區分權限，針對用戶的訪問校外、網絡使用流量、帶寬占用等網絡用戶權限規范[5]。根據校園網絡的準出過程，時長、流量、帶寬等權限區分做到相互獨立。以及規范用戶的校外使用和校內使用的計費策略等[6]。

準入和準出一體化實現了用戶、主機以及網絡等信息的自動綁定，確保使用網絡的用戶身份的合法性，同時根據用戶身份權限，規范相應用戶的訪問控制、帶寬和收費標準，便捷了對網絡用戶管理的同時，也提高了用戶體驗水平。此外，準入和準出一體化使用戶只用一個帳號信息就可以在內網或外網進行訪問使用。

2.2 802.1x和Web一體化

802.1x和Web一體化為用戶提供了兩種網絡認證方式。其中一種是基于802.1x的認證客戶端認證方式，另一種是基于瀏覽器Web端認證方式，兩種方式適用于的高校中師生的使用情況，方便學區內用戶的使用。

802.1x和Web一體化可以實現交換機同時支持802.1x準入和Web準入，部署更加靈活。另一方面，統一認證計費管理平臺，也為用戶提供豐富的接入認證方式和管理控制。在認證通過時，802.1x準入和Web準入都可以動態綁定用戶所使用的IP地址、主機MAC和端口，支持真實源地址保障[5]，安全性高，減少投資成本，便于管理。

2.3 有線和無線一體化

有線和無線一體化在校園網建設中具備減少投資成本、降低管理難度等優勢。認證過程中均可以采用802.1x和Web認證方式；實現對同一個賬號可設置有線包月和無線計時長等多種形式的計費策略，不僅有利于管理，同時使用戶方便連接使用。基于無線客戶端的認證方式包含有線802.1x認證方式的某些特性，具備防代理、在線交流等常用功能，其安全性更高、便于日常用戶的管理。

2.4 校內和校外一體化

數字化校園建設逐步落實和應用，使得校外的用戶通過VPN訪問和使用校園網絡的需求量，在校園網實際應用中逐步增多。VPN網關能夠支持IPSec VPN的客戶端認證的同時也支持SSL VPN的Web端認證。

校內和校外一體化采用一種通過驗證身份，所達到網絡資源訪問管理的目的。運維管理人員和網絡用戶都可以使用一套身份認證就能夠使用校園網絡資源，大大降低了網絡使用中的運維管理復雜度，提高了網絡使用效率，提升了用戶的上網使用體驗，便捷高校的教學以及管理工作。

2.5 IPv4和IPv6一體化

對于支持雙棧協議主機的網絡認證分為寬松模式、兼容模式以及寬松模式。嚴格模式下用戶可以通過IPv4進行認證而不能將IPv6的報文利用網絡轉發。而在兼容模式和寬松模式中，對用戶的IPv6報文利用網絡實現轉發的規則較為寬松。

IPv4和IPv6一體化支持用戶端主機純IPv6認證以及IPv4/IPv6的雙棧認證方式，支持NAS和RADIUS Server間純IPv6通信和IPv4/IPv6雙棧通信；實現認證后自動獲取用戶IP信息，統計用戶使用情況，方便用戶安全管理和計費管理等，使校園網絡管理具備減少投資成本和網絡用戶的管理難度、改進用戶網絡使用體驗和網絡安全審計等優勢。

3 總結

信息化校園網絡建設需要考慮幾萬師生使用的強大數據流量，銳捷網絡“五位一體校園網安全運營管理解決方案”能夠滿足師生日常的使用，處理好網絡中廣大師生的各項日常教學任務以及科學研究等工作任務。

利用校園網絡的建設，將為開展信息化校園提供滿足廣大師生需求的通信能力、計算能力以及存儲能力。在高校中，建設一個安全可靠、可控制管理的五位一體化校園網絡，能夠做到主動的網絡管理，為廣大高校師生提供一個安全便捷的上網環境和更多優質服務。

【參考文獻】

[1]施敏，李亞明，萬國平.網絡管理員之局域網組建與維護超級技巧1000例[M]. 電子工業出版社，2007.

[2]廖常武，汪剛，黃瑛，等.校園網組建[M].清華大學出版社，2005.

[3]王楠，喬愛玲.高校數字化校園規劃體系結構與流程[J].中國電化教育，2008（1）：16-20.

[4]譚偉.結緣教育執著前行——銳捷網絡服務教育十年[J].中國教育網絡，2009（6）：51-52.

[5]李瑞.“五位一體”輕松管網[J].中國教育網絡，2010（2）：68-69.

[6]趙崇真.城市大學遠程開放式教育網絡平臺的分析與設計[D].廈門大學， 2013.

[責任編輯：張濤]