网络构架与实现

　　综合考虑到性能和保护现有投资的要求，校园网采用了网关认证和802.1x认证相结合的方式：学生宿舍全部部署支持802.1x的交换机，采用802.1x认证，办公区采用网关Web认证。两套认证系统使用统一的用户资料，用户资料存储在LDAP服务器中，通过Web Service实现用户身份的认证， Web Service通过Java技术实现，运行环境为Tomcat和AXIS框架。

　　在校园网内部署两台身份认证服务器，操作系统为Redhat Linux 9.0；安装Apache、登录认证服务器软件、资源访问审计服务器软件和安全策略配置服务器软件。其中，一台是数据库服务器，其操作系统为Redhat Linux 9.0，安装的是Oracle数据库软件；另一台是管理终端，在应用系统服务器主机上安装Web服务代理。为了保证身份认证系统稳定可靠地运行，避免单点故障，使用两台身份认证服务器互相热备，以保证提供稳定可靠的服务。

　　校内用户访问校内应用系统时不需要通过该系统作验证，而是直接访问原有业务；校外用户访问校内应用系统时必须通过身份认证系统进行身份验证，认证方式为用户名/口令，身份验证通过后才能访问原有业务；用户通过身份验证时，只需输入一次口令，就可以访问校内应用系统。

　　目前，学校人事、教务、研究生、财务、校内信息服务等网络应用系统已实现基于Web Service的统一身份认证。根据校园网建设的需求，身份认证服务器采用双机备份，尽可能提高系统运行的可靠性，用户使用该系统访问业务系统时只需要输入一次口令，就可以连接多个应用系统，而其他应用系统不用作任何修改，就可以平滑升级支持单点登录、集中授权和集中审计。

（作者单位为华北电力大学网络与信息中心）

（文章来源：《中国教育网络》杂志2010年10月刊）