高教信息化行至今日,已经走过十几载春秋。在网络技术的高速变化的更迭中,高教信息化管理工作者们不断地送走旧观念,迎来新技术。从追逐速度的不断提升,到网管设备取代非网管设备,从对安全的漠不关心,到开始对身份、行为的控制付诸实现,各种技术价值在时间的长河中,如记忆碎片似的飞快地从我们眼前划过,大浪淘沙,留下来的都是精品,逝去的也曾是经典。
在经历了各种阶段的信息化准备和尝试后,高教信息化已经迎来了又一个里程碑似的契机——数字化校园新时代。随着各种教学、科研、办公系统的不断运用,基于多业务融合的数字化校园平台的面貌开始在我们的眼前清晰起来,以校园网为基础的数字化校园,利用先进的信息化手段和工具,实现从环境、资源到活动的全部数字化,在传统校园的基础上构建一个数字空间以拓展现实校园的时间和空间维度,从而提高了传统校园的效率,扩展了传统校园的功能。
然而,数字化校园的大融合离不开基础的支撑,即网络基础支撑平台,也就是我们理解中的网络系统,而在这其中和我们每个人关系最紧密的,就是校园接入网络。随着分布式处理的趋势愈演愈烈,几乎所有的网络支撑力量都将注意力放在了网络的接入位置,从用户的接入就开始部署和执行各种策略,这将会极大地缓解上层网络的压力,同时也更便于作为业务支撑平台的网络系统的高效率运转。因此,把握住接入网络这个关键,也就是把握住了数字化校园的第一道关卡。
在校园网络的不断发展中,安全问题一直伴随左右,令网络管理者烦恼的事接踵而至:用户非法接入网络或者肆意修改IP地址,在网络论坛上留下非法言论;利用协议漏洞的ARP欺骗会导致网络业务中断,甚至机密信息被窃取……
关键中的关键,用户接入准入控制
从2002年教育行业开始考虑用户安全准入以来,身份认证技术体系一直被公认为是最佳的解决方法,通过在网络接入层实现认证,只允许合法的用户使用网络。同时, 802.1X和Web Portal认证方式也陆续被国内高校实施,它们被认为是最适合在校园网络中使用的用户安全准入策略。
采用这两种认证技术的用户集体实践后证明,802.1X以其能实现基于用户(以MAC为识别)的认证,配合IP、用户名、密码、交换机端口等参数,形成最为严格的控制方式。只有同时拥有这些信息,非法者才能进入网络,尽管实际上是不可能的。经过几年的不断探索,业内也有厂商针对这一层面不断推出适合高校的实用技术,其中锐捷网络的802.1X接入认证解决方案尤为丰富。例如,基于MAC地址认证可以实现一个宿舍的学生接入交换机的同一端口而分开计费;基于端口认证可以实现团体账号一带多上网的情况;基于安全通道可以实现认证前下载客户端或访问特殊服务器的情况;基于IP授权可以在802.1X下自动绑定用户的IP/MAC来节省网管员工作量;基于服务器备份可避免因Radius服务器宕机导致无法认证上网甚至计费的情况;基于逃生模式可在认证服务器无法工作(比如停电、光纤故障)时免认证上网等等。可以看出,在802.1X这种较为合理的组网模式下所衍生出的各类精细化运营思路,可以不断优化接入网络的安全和运营管理。
作为另一种认证形态的Web Portal技术,也在特定的场合活跃着。尽管的确做不到类似802.1X环境下的精细化运营和安全准入的细腻,但由于该技术模式不需要安装客户端,只需浏览器即可完成接入认证,因此,在类似校园办公网的环境中还有较大的实用空间。
ARP欺骗,可以医治的顽疾
自从ARP欺骗在高校网络中大规模出现后,就成为网络管理者挥之不去的阴影。近几年,在业内厂商不断地研究和努力下,以锐捷网络为代表的国内网络设备厂商已经可以提供一整套行之有效的完善处理ARP欺骗的解决方案。通过在接入层交换机上绑定用户的IP、MAC地址(即正确的对应关系),检查ARP报文,针对欺骗的ARP报文(不符合IP和MAC绑定表)即可采取丢弃措施。为了避免因此而产生的工作量,需要针对不同的网络环境采取不同的解决方案。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。