文/劉堅強
實名認證解IP地址沖突和網(wǎng)絡(luò)安全之困
文/劉堅強
隨著數(shù)字校園不斷深入發(fā)展,各高校的校園網(wǎng)發(fā)展越來越快,智能化的程度也越來越高,以前的設(shè)備、技術(shù)、方法不能滿足師生的需求,所以加快校園網(wǎng)的智能化發(fā)展是未來的趨勢,校園網(wǎng)的實名認證又是校園網(wǎng)擴建工程中的重要部分,它能有效支撐校園網(wǎng)的智能化發(fā)展。
在沒實施實名認證之前,校園網(wǎng)的用戶(包括單位用戶和家庭用戶)上網(wǎng)都是固定的IP地址。但是也可以說是不固定的,因為我們學院把每個部門和每棟家屬樓細化了VLAN,在這個VLAN中一般IP地址劃分給這個VLAN。
所以有的用戶知道這種情況后,科室或者家里增加了電腦,就能猜到IP地址,如果和別人的發(fā)生了沖突,那么會造成搶網(wǎng)的事件,而且不便于網(wǎng)絡(luò)中心的工作人員管理網(wǎng)絡(luò)。對于網(wǎng)絡(luò)安全也存在很大的隱患,如果用戶中毒或者在網(wǎng)上發(fā)布影響學?;蛘邍业奶?,可能找不到本人。正是由于這些不利的因素,學校準備實施校園網(wǎng)擴建工程的實名認證。
“學院校園網(wǎng)項目”是校園網(wǎng)工程的一部分,包括教師宿舍、教學區(qū)、綜合樓和老教學區(qū)的樓棟匯聚、樓層接入網(wǎng)絡(luò)交換設(shè)備與集成、管理系統(tǒng)和認證計費系統(tǒng)。
項目完成后將為整個校園提供一個高效、穩(wěn)定的網(wǎng)絡(luò)通信平臺。對校園網(wǎng)的整體設(shè)計要求實現(xiàn)百兆到桌面,主干雙鏈路千兆到樓宇匯聚,并保證子網(wǎng)的每個信息點有802.1X認證的交換機端口。同時,還要保證在接入層實現(xiàn)安全控制接入。
實施要求
軟件上需要能夠提供對學生上網(wǎng)的管理,如用戶合法性的驗證,IP、MAC的綁定,帳號的分配及管理;日常運營所需要的收費、計費服務(wù);學生自助服務(wù)系統(tǒng)和設(shè)備管理。交換機方面需要能夠為教師宿舍、教學區(qū)、綜合樓和老教學區(qū)提供穩(wěn)定、快速的接入服務(wù),匯聚交換機能夠提供VLAN劃分和三層交換,接入需要支持802.1X以保證運營的實施。
學院校園網(wǎng)拓撲圖如圖1。
網(wǎng)絡(luò)拓撲說明
圖1 學院校園網(wǎng)拓撲
出口使用某廠商的RSR50-40路由器作為出口設(shè)備與移動網(wǎng)和教育網(wǎng)相連。
核心層采用兩臺RG-S8606核心交換機,負責整個網(wǎng)絡(luò)的數(shù)據(jù)交換。匯聚層是千兆交換機S3760-12SFP/GT,千兆光纖連接核心交換機及每層樓的接入交換機。每棟樓的小匯聚使用的是S2126G,同時也可提供接入服務(wù),使用雙絞線與接入交換機S2026F互聯(lián)。
首先需要安裝SAM服務(wù)器,學院選用的是RG-SAM 2.x企業(yè)版,擁有2000用戶。
其次是安全管理規(guī)劃,系統(tǒng)使用Windows2003 Server+SP2,并在相應(yīng)網(wǎng)站下載補丁程序升級,并建議客戶預(yù)裝殺毒程序以保障機器的安全。
同時在交換機上通過ACL做服務(wù)器網(wǎng)段和用戶網(wǎng)段的隔離,并進行端口過濾,只允許服務(wù)器進行所需端口通過。
a)8080.TCP端口.http訪問端口
b)8443.TCP端口,https訪問端口
c)1812.UDP端口.默認的認證報文接收端口
d)1813.UDP端口.默認的記帳報文接收端口
e)1433.TCP端口.SQL SERVER的默認監(jiān)聽端口
f)1434.UDP端口.SQL SERVER的默認監(jiān)聽端口.
g)8009.TCP端口.ajp端口
h)1099.TCP端口.jnp端口
i)1098.TCP端口.rmi端口
j)8090.TCP端口.JBossMQ OIL service端口
k)8092.TCP端口.JBossMQ OIL2 service端口
l)8093.TCP端口.JBossMQ UIL service端口
m 4444.TCP端口.RMIOBJECTPort
n)4445.TCP端口.ServerBindPort
o)1162.UDP端口.JBoss snmp agent端口.
安全管理規(guī)劃:數(shù)據(jù)庫軟件選用的是MS SQL Server 2000 標準版或企業(yè)版+SP4。
數(shù)據(jù)的備份:
1.SQL Server Agent服務(wù)啟動,建數(shù)據(jù)庫維護計劃實現(xiàn)數(shù)據(jù)庫備份,計劃的名字為sambackup。
2.SQL數(shù)據(jù)的備份采用完全備份方式,備份目錄為k:/backup,備份時間為每天凌晨三點,保留一個月內(nèi)的完全備份數(shù)據(jù)。
3.由于RG-SAM的后臺數(shù)據(jù)信息非常重要,需要經(jīng)常性質(zhì)地將數(shù)據(jù)進行備份。
數(shù)據(jù)的恢復:
在原服務(wù)器上完全備份數(shù)據(jù)到指定的文件(假定為SAMdata060526)
1.手動備份數(shù)據(jù)庫。
2.將上一步備份的文件SAMdata060526復制到新的機器上并執(zhí)行還原操作。
3.刪除原數(shù)據(jù)庫中的sam關(guān)聯(lián)。
4.在后臺數(shù)據(jù)庫中創(chuàng)建和sam帳號的關(guān)聯(lián)。成功完成后,移到新服務(wù)器上,便可在新服務(wù)器上啟動SAM,注意啟動前要將服務(wù)器的IP改為原服務(wù)器的IP。
用戶開戶的方式
采用批量導入的方式進行用戶開戶。
將要開戶的用戶按一定的格式編輯成相應(yīng)的文本文件,在管理界面中批量導入進行開戶。
1.在開戶之前先要定義組,比如說辦公的用戶就劃分為office組,家庭的劃分為home組,學生的劃分為student組等等,然后把個人的姓名拼音當做用戶名,綁定IP地址,最后選擇組(請個人賬戶的格式是用戶名+IP地址+組)。此外,我們?yōu)槭裁礇]有綁定MAC地址,是因為如果用戶電腦換了或者網(wǎng)卡換了就不能上網(wǎng)了,考慮到這原因,我們就沒有綁定MAC地址,也是為了便于管理。
2.接入交換機sam系統(tǒng)配置
Switch#config t 進入全局配置層以后,配置以下:
3.所有用戶需要安裝客戶端,設(shè)置在網(wǎng)絡(luò)中心注冊的合法IP地址。打開認證軟件就可以看到認證軟件的界面。根據(jù)在網(wǎng)絡(luò)中心簽的入網(wǎng)協(xié)議上的用戶名和密碼,選擇網(wǎng)卡類型(為什么要選擇網(wǎng)卡類型,因為有些電腦是二個網(wǎng)卡,軟件自己是識別不出來的,所以要選擇填了正確IP地址的網(wǎng)卡),點擊鏈接,那么你的電腦就會自動和SAM服務(wù)器“握手”,匹配是否合法,如果信息匹配成功,那么就可以正常上網(wǎng)了(這個匹配的時間就1-2秒鐘)。
4.部分用戶可能覺得這樣上網(wǎng)麻煩,那可以在這個用戶參數(shù)設(shè)置里面把“保存密碼”,“啟動軟件后自動認證”,“開機自動運行”這三項前面打勾,那么啟動電腦,這個認證的軟件就自動認證。
自從校園網(wǎng)實施實名認證升級后,再也沒有發(fā)生過IP地址沖突之類的事件,而且還限制了用戶在辦公室或者家里私自接內(nèi)網(wǎng),防止破壞校園網(wǎng)整體結(jié)構(gòu)。
在實施實名后,通過每個用戶名和IP地址綁定,如果用戶中毒或者是在網(wǎng)上發(fā)影響學?;蛘邍业奶?,可以找到他的IP地址,從而可以找到他本人。這樣很大程度上解決了網(wǎng)絡(luò)中心的安全隱患,也為網(wǎng)管人員減輕了不少工作負擔!
(作者單位為湖北省咸寧職業(yè)技術(shù)學院網(wǎng)絡(luò)中心)
經(jīng)緯中天直播錄播系統(tǒng)充分滿足用戶需求
本刊訊 近日,由新疆自治區(qū)教育廳、自治區(qū)文明辦、自治區(qū)廣電局聯(lián)合主辦的自治區(qū)“第一屆大學生雙語能力大賽”成功落下帷幕。經(jīng)緯中天作為本次活動的唯一指定直播錄播技術(shù)支持廠商,用其高端的直播錄播系統(tǒng)為此次活動提供了全面的實時在線直播錄播支持。
活動現(xiàn)場的直播錄播系統(tǒng)是北京經(jīng)緯中天信息技術(shù)有限公司基于流媒體技術(shù)、互動通訊、多媒體內(nèi)容管理等技術(shù)完全自主開發(fā)而成的。相比傳統(tǒng)的直播錄播系統(tǒng),經(jīng)緯中天的直播錄播系統(tǒng)功能更加完善,不僅僅有視頻直播,還增加了圖文、圖片、互動、VGA屏幕等內(nèi)容的在線直播錄播。同時,設(shè)計也更加人性化,提供了完善的后臺審核功能,真正地從用戶角度出發(fā),充分滿足了用戶的需求。