實名認證解IP地址沖突和網(wǎng)絡(luò)安全之困

文/劉堅強

實名認證解IP地址沖突和網(wǎng)絡(luò)安全之困

文/劉堅強

隨著數(shù)字校園不斷深入發(fā)展，各高校的校園網(wǎng)發(fā)展越來越快，智能化的程度也越來越高，以前的設(shè)備、技術(shù)、方法不能滿足師生的需求，所以加快校園網(wǎng)的智能化發(fā)展是未來的趨勢，校園網(wǎng)的實名認證又是校園網(wǎng)擴建工程中的重要部分，它能有效支撐校園網(wǎng)的智能化發(fā)展。

背景

在沒實施實名認證之前，校園網(wǎng)的用戶（包括單位用戶和家庭用戶）上網(wǎng)都是固定的IP地址。但是也可以說是不固定的，因為我們學院把每個部門和每棟家屬樓細化了VLAN，在這個VLAN中一般IP地址劃分給這個VLAN。

所以有的用戶知道這種情況后，科室或者家里增加了電腦，就能猜到IP地址，如果和別人的發(fā)生了沖突，那么會造成搶網(wǎng)的事件，而且不便于網(wǎng)絡(luò)中心的工作人員管理網(wǎng)絡(luò)。對于網(wǎng)絡(luò)安全也存在很大的隱患，如果用戶中毒或者在網(wǎng)上發(fā)布影響學?；蛘邍业奶?，可能找不到本人。正是由于這些不利的因素，學校準備實施校園網(wǎng)擴建工程的實名認證。

方案介紹

“學院校園網(wǎng)項目”是校園網(wǎng)工程的一部分，包括教師宿舍、教學區(qū)、綜合樓和老教學區(qū)的樓棟匯聚、樓層接入網(wǎng)絡(luò)交換設(shè)備與集成、管理系統(tǒng)和認證計費系統(tǒng)。

項目完成后將為整個校園提供一個高效、穩(wěn)定的網(wǎng)絡(luò)通信平臺。對校園網(wǎng)的整體設(shè)計要求實現(xiàn)百兆到桌面，主干雙鏈路千兆到樓宇匯聚，并保證子網(wǎng)的每個信息點有802.1X認證的交換機端口。同時，還要保證在接入層實現(xiàn)安全控制接入。

實施要求

軟件上需要能夠提供對學生上網(wǎng)的管理，如用戶合法性的驗證，IP、MAC的綁定，帳號的分配及管理；日常運營所需要的收費、計費服務(wù)；學生自助服務(wù)系統(tǒng)和設(shè)備管理。交換機方面需要能夠為教師宿舍、教學區(qū)、綜合樓和老教學區(qū)提供穩(wěn)定、快速的接入服務(wù)，匯聚交換機能夠提供VLAN劃分和三層交換，接入需要支持802.1X以保證運營的實施。

學院校園網(wǎng)拓撲圖如圖1。

網(wǎng)絡(luò)拓撲說明

圖1 學院校園網(wǎng)拓撲

出口使用某廠商的RSR50-40路由器作為出口設(shè)備與移動網(wǎng)和教育網(wǎng)相連。

核心層采用兩臺RG-S8606核心交換機，負責整個網(wǎng)絡(luò)的數(shù)據(jù)交換。匯聚層是千兆交換機S3760-12SFP/GT，千兆光纖連接核心交換機及每層樓的接入交換機。每棟樓的小匯聚使用的是S2126G，同時也可提供接入服務(wù)，使用雙絞線與接入交換機S2026F互聯(lián)。

方案實施

首先需要安裝SAM服務(wù)器，學院選用的是RG-SAM 2.x企業(yè)版,擁有2000用戶。

其次是安全管理規(guī)劃，系統(tǒng)使用Windows2003 Server+SP2，并在相應(yīng)網(wǎng)站下載補丁程序升級，并建議客戶預(yù)裝殺毒程序以保障機器的安全。

同時在交換機上通過ACL做服務(wù)器網(wǎng)段和用戶網(wǎng)段的隔離，并進行端口過濾，只允許服務(wù)器進行所需端口通過。

a)8080.TCP端口.http訪問端口

b)8443.TCP端口,https訪問端口

c)1812.UDP端口.默認的認證報文接收端口

d)1813.UDP端口.默認的記帳報文接收端口

e)1433.TCP端口.SQL SERVER的默認監(jiān)聽端口

f)1434.UDP端口.SQL SERVER的默認監(jiān)聽端口.

g)8009.TCP端口.ajp端口

h)1099.TCP端口.jnp端口

i)1098.TCP端口.rmi端口

j)8090.TCP端口.JBossMQ OIL service端口

k)8092.TCP端口.JBossMQ OIL2 service端口

l)8093.TCP端口.JBossMQ UIL service端口

m 4444.TCP端口.RMIOBJECTPort

n)4445.TCP端口.ServerBindPort

o)1162.UDP端口.JBoss snmp agent端口.

數(shù)據(jù)庫系統(tǒng)規(guī)劃

安全管理規(guī)劃：數(shù)據(jù)庫軟件選用的是MS SQL Server 2000 標準版或企業(yè)版+SP4。

數(shù)據(jù)的備份：

1.SQL Server Agent服務(wù)啟動，建數(shù)據(jù)庫維護計劃實現(xiàn)數(shù)據(jù)庫備份，計劃的名字為sambackup。

2.SQL數(shù)據(jù)的備份采用完全備份方式，備份目錄為k:/backup，備份時間為每天凌晨三點，保留一個月內(nèi)的完全備份數(shù)據(jù)。

3.由于RG-SAM的后臺數(shù)據(jù)信息非常重要，需要經(jīng)常性質(zhì)地將數(shù)據(jù)進行備份。

數(shù)據(jù)的恢復：

在原服務(wù)器上完全備份數(shù)據(jù)到指定的文件（假定為SAMdata060526）

1.手動備份數(shù)據(jù)庫。

2.將上一步備份的文件SAMdata060526復制到新的機器上并執(zhí)行還原操作。

3.刪除原數(shù)據(jù)庫中的sam關(guān)聯(lián)。

4.在后臺數(shù)據(jù)庫中創(chuàng)建和sam帳號的關(guān)聯(lián)。成功完成后，移到新服務(wù)器上，便可在新服務(wù)器上啟動SAM，注意啟動前要將服務(wù)器的IP改為原服務(wù)器的IP。

SAM系統(tǒng)規(guī)劃及設(shè)置

用戶開戶的方式

采用批量導入的方式進行用戶開戶。

將要開戶的用戶按一定的格式編輯成相應(yīng)的文本文件，在管理界面中批量導入進行開戶。

1.在開戶之前先要定義組，比如說辦公的用戶就劃分為office組，家庭的劃分為home組，學生的劃分為student組等等，然后把個人的姓名拼音當做用戶名，綁定IP地址，最后選擇組（請個人賬戶的格式是用戶名+IP地址+組）。此外，我們?yōu)槭裁礇]有綁定MAC地址，是因為如果用戶電腦換了或者網(wǎng)卡換了就不能上網(wǎng)了，考慮到這原因，我們就沒有綁定MAC地址，也是為了便于管理。

2.接入交換機sam系統(tǒng)配置

Switch#config t 進入全局配置層以后,配置以下:

3.所有用戶需要安裝客戶端，設(shè)置在網(wǎng)絡(luò)中心注冊的合法IP地址。打開認證軟件就可以看到認證軟件的界面。根據(jù)在網(wǎng)絡(luò)中心簽的入網(wǎng)協(xié)議上的用戶名和密碼，選擇網(wǎng)卡類型（為什么要選擇網(wǎng)卡類型，因為有些電腦是二個網(wǎng)卡，軟件自己是識別不出來的，所以要選擇填了正確IP地址的網(wǎng)卡），點擊鏈接，那么你的電腦就會自動和SAM服務(wù)器“握手”，匹配是否合法，如果信息匹配成功，那么就可以正常上網(wǎng)了（這個匹配的時間就1-2秒鐘）。

4.部分用戶可能覺得這樣上網(wǎng)麻煩，那可以在這個用戶參數(shù)設(shè)置里面把“保存密碼”，“啟動軟件后自動認證”，“開機自動運行”這三項前面打勾，那么啟動電腦，這個認證的軟件就自動認證。

方案實施后的效果

自從校園網(wǎng)實施實名認證升級后，再也沒有發(fā)生過IP地址沖突之類的事件，而且還限制了用戶在辦公室或者家里私自接內(nèi)網(wǎng)，防止破壞校園網(wǎng)整體結(jié)構(gòu)。

在實施實名后，通過每個用戶名和IP地址綁定，如果用戶中毒或者是在網(wǎng)上發(fā)影響學?；蛘邍业奶?，可以找到他的IP地址，從而可以找到他本人。這樣很大程度上解決了網(wǎng)絡(luò)中心的安全隱患，也為網(wǎng)管人員減輕了不少工作負擔！

(作者單位為湖北省咸寧職業(yè)技術(shù)學院網(wǎng)絡(luò)中心)

經(jīng)緯中天直播錄播系統(tǒng)充分滿足用戶需求

本刊訊 近日，由新疆自治區(qū)教育廳、自治區(qū)文明辦、自治區(qū)廣電局聯(lián)合主辦的自治區(qū)“第一屆大學生雙語能力大賽”成功落下帷幕。經(jīng)緯中天作為本次活動的唯一指定直播錄播技術(shù)支持廠商，用其高端的直播錄播系統(tǒng)為此次活動提供了全面的實時在線直播錄播支持。

活動現(xiàn)場的直播錄播系統(tǒng)是北京經(jīng)緯中天信息技術(shù)有限公司基于流媒體技術(shù)、互動通訊、多媒體內(nèi)容管理等技術(shù)完全自主開發(fā)而成的。相比傳統(tǒng)的直播錄播系統(tǒng)，經(jīng)緯中天的直播錄播系統(tǒng)功能更加完善，不僅僅有視頻直播，還增加了圖文、圖片、互動、VGA屏幕等內(nèi)容的在線直播錄播。同時，設(shè)計也更加人性化，提供了完善的后臺審核功能，真正地從用戶角度出發(fā)，充分滿足了用戶的需求。