| 出版日期:2004-08-30 总期号:1343 本年期号:64 |
|
 |
武汉大学校园网扩容工程
——神州数码网络有限公司实施 
获奖理由 该方案堪称扩容工程典范,不仅兼顾到网络未来的发展需要,而且对现有网络进行合理分析,在保护用户现有投资上做得很合理。 武汉大学校园网经过第一期的建设,骨干网已经初具规模,为学校的信息化建设做出了巨大的贡献。但是武汉大学四校合并后,骨干网需进一步扩容,同时要解决广大同学们的上网问题,并且需在原来一期建设的基础上进一步加强基础网络的建设,优化四个校区的网络体系结构,使武大的校园网能更好的服务于学校的教学,更好地服务于广大师生员工。武大校园网二期建设是一个非常复杂的综合系统,涵盖了布线、交换网络、认证计费、主机系统、无线扩频网、数据库、互联网服务等方面。其中先进性、稳定性和安全性是武大二期工程建设的核心目标。规范和控制网络使用者的操作行为,保证网络安全可靠地运行是这次工程的重中之重。 武汉大学经过长期的考察,依据以往的管理经验,最后决定使用神州数码D2SMP解决方案,利用D2SMP提供的用户行为控制功能来解决上述问题。 技术分析与选型 传统的网络安全依靠位于网络拓扑中关键位置的安全设备来完成,比如防火墙、防病毒服务器等设备,通过对进出该设备的所有数据包进行分析,并对照预先制定的规则进行过滤或采取相应动作。这些虽然是网络安全的最基本的设备单元,但是它们相互之间缺乏互动和统一的协同作战的能力,面对更多来自内部的入侵和攻击以及内部爆发的病毒冲击,这些相对独立的安全设备将会无能为力。而大多数用户对网络安全的理解也停留在这个基本层次上面,一方面是因为投资的限制,另一方面是网络安全的庞杂体系让人不易理解。建立网络安全体系在过去往往让人感觉,越要安全,投资越大,网络越复杂,并且难以管理,这使得用户在部署安全策略时非常头疼。神州数码D2SMP解决方案采用一体化安全部署的设计方式,让用户通过部署神州数码D2SMP解决方案从一开始就实现全网的安全保护,同时完成对用户行为的规范性管理。我们将其叫做SOR(Step One Ready,一步就绪)。神州数码D2SMP是一套由安全认证服务器、安全交换机、客户端软件、防火墙、IPS系统及网络管理软件等一系列安全管理产品组成的解决方案。整个方案针对用户的行为进行严格的认证管理并在全网部署端到端的安全策略,可根据用户地理位置、账号属性、网络使用目的等多种特征划分不同逻辑安全域,采用分布式管理策略可为网络提供高可用性、强系统前瞻性和良好的维护效率,同时将可能发生的攻击和病毒爆发遏制在极小的范围内,对核心业务进行更高的安全保护。 D2SMP解决方案 D2SMP解决方案一共分为3个模块:用户行为控制、安全域控制、策略部署及分发。 在武汉大学校园网部署的D2SMP解决方案里,采用802.1x认证机制同时实现了D2SMP的扩展属性,有效地遏制了盗用、私设服务等行为,同时又兼顾了学生和教工的移动业务,在充分保证认证准确性的同时,又保证了应用的灵活性。D2SMP支持单一802.1x端口上的多逻辑端口方式,保证用户可以使用不可网管、不支持802.1x的普通交换机或Hub进行完整的控制操作。这就意味着用户可以不必受到方案的限制而必须购买统一品牌的设备,可以极大地保证用户的投资,也体现了D2SMP是一个以人为本的解决方案。 汇聚层和接入层主要采用国产神州数码交换机DCRS-5526、DCS-2026B以及DCS-1016、DCS-1024、DCS-1064等。 DCRS-5526通过千兆单模光纤与核心设备相连,DCS-2026B通过100M光纤与DCRS-5526相连(使用100M光电转换器,枫园和桂园使用多模转换器,其他使用单模转换器)。DCS-2026B下联4类交换机使用100M TX连接。 DCS-2026B支持802.1x端口的多逻辑端口方式,所有连接在一个802.1x端口的用户(无论是通过交换机还是Hub)都需要单独认证。这一功能提供了下联普通交换机和Hub而保持802.1x端口功能的支持。 学生宿舍接入: 每个学生宿舍有两个信息点,接入规则如下:学生PC机可直接连接面板信息点;通过交换机或集线器扩展端口接入多台PC机;普通学生上网绑定4个要素:用户名、密码、MAC地址和IP地址;不允许同一用户名同时登录超过1次(登录的唯一性)。 3类交换机的802.1x端口根据下接用户情况配置802.1x子逻辑端口数,不允许下联的任一用户合法登录即可完全打开此物理端口。每个用户只能打开自己的逻辑端口,不允许使用代理服务器(Proxy),系统侦测到此种情况后将强制下线直至关闭账号。 由于学生宿舍接入信息点少于学生PC数,因此学生可能会自行增加接入点,主要有以下五种方式: A:PC机直联信息面板 B:扩展Hub/交换机 C:使用Proxy代理(串连或并联) D:使用类似于同轴电缆的方式连接 E:使用非法器件,如“三通”等 针对以上情况,系统做以下处理: 完全支持PC机直联信息端口(针对情况A) 系统支持学生自行扩展Hub或交换机,但是其上联的每一802.1x交换机或其802.1x端口接入的用户数受限制,并且不能共享上联的物理端口。(针对情况B和D) 方案设计将802.1x只实现到3类交换机,即意味着如果采用标准的802.1x就只能控制到3类交换机端口(因为标准802.1x操作粒度是交换机物理端口)。也就是说,在3类交换机下级联普通交换机或集线器时,某一个用户打开端口后,所有级联的用户就可以使用这个公共的802.1x上网了,因此失去了采用802.1x控制端口的初衷。 神码交换机产品不但支持标准的802.1x协议,而且在此基础上扩展了一些功能,其中最重要的是802.1x逻辑多端口功能。 当连接到普通802.1x交换机端口的终端进行了802.1x认证后,交换机端口会完全打开,此时通过级联接入的交换机或集线器上的其他PC也可以使用此端口了,这样就失去了使用802.1x进行端口认证的意义。这也是我们未选择他它品牌交换机产品来实现802.1x的原因。 而神州数码的802.1x交换机需要下联的所有终端用户进行802.1x认证,并可与其MAC绑定认证,每个用户只能打开一条逻辑通道,从而保证系统能对每个用户进行单独授权和认证。这样才能使下联普通交换机或集线器进行端口扩展有意义,否则需要将802.1x端口布置到学生宿舍信息点上,并且不允许再级联交换机和集线器。 系统可以全面控制管理用户作代理的功能。在对用户上网进行授权时,可以通过DCBI-2000认证计费系统的设定,来禁止或允许用户的客户端代理功能。并且无论单双网卡、无论何种代理软件、无论何种机制均可禁止。(针对情况C) “三通”等非法器件可能会导致交换机出现端口毁坏等不可逆损坏,但是目前系统无法监控“三通”等非法器件的接入,我们建议学校采取行政手段杜绝此类现象的发生。 对Proxy接入的控制: 神码DCBI认证计费系统针对目前的国情、校情特别设计了Proxy控制功能(在802.1x认证方式下),保证系统管理能看到所有的Proxy,并能进行禁止/允许操作。 在串连方式中,系统只能侦测到一个MAC地址(这个MAC地址一定是合法的),因此不能从判断MAC数量的方法来禁止Proxy。在并联方式中,可以通过类似Sniffer的方法来侦测多MAC地址来判断,但是会产生误判,因为不能排除级联的合法PC的情况。 也有用判断Proxy进程的方式来控制的,但是Proxy软件多种多样,并且可能会伪装自己,所以这种方法也存在漏判、误判的情况。 DCBI对Proxy的控制不是基于以上的策略,而是基于Proxy的最基本的特征:Proxy的进出数据包具有极大的相似性。因此DCBI通过特别的算法来匹配客户端进出数据包的数据,从而判断用户是否在使用Proxy。这种方法可以判断所有的Proxy服务器,无论其是单双网卡(串连、并联方式),无论何种代理软件,无论何种机制均可控制。 实施管理与特色 D2SMP完成的功能可以总结为: 认证规模为4万用户,可扩展到6万;用网高峰时,认证响应时间小于10秒。对终端用户网络设备不强求一致,有较宽的适应性;对一般用户作绑定,上网地点受限。 |
||||||||||||||||||||||||
