应 用 摘 要
从目前,众多已经建成宿舍网的高校看,宿舍网所起的作用让人吃惊。第一,通过建设,让宿舍也与网络世界充分互联互通,能够方便的掌握各种资讯、进行资料/论文的查阅;第二,通过宿舍网,能合理协调学校教学资源,安排学生生活学习时间。比如:课程的选择、安排,临时的关于课程/讲座的通知,再也不用将大家召集在一起,而只需要通过教学管理系统或者信息发布系统进行;后勤服务,一卡通信息也都可以足不出户进行查询;一直到网上商城的购物等;第三,校园刊物、思想教育信息的传播,其包括了学校的各种主页,校内论坛等传播载体。网络发挥的作用还远不止这些…… 总的来说,宿舍网建设的必要性已经达成了共识。但是另外一方面,对于已经完成建设的宿舍区网络,由于种种的原因,从实际运营管理情况来看,效果却并不是很理想。这也是高校对宿舍网建成后的顾虑所在。因此,如何建设一个高度可运营、易管理的宿舍网;如何通过宿舍网提供高质量的网络服务;作为校园网整体的重要部分,如何为师生提供教学生活的支撑平台;并通过合理的运营计费策略,实现以网养网的目的,对众多高校来讲都是一个亟需解决的问题。
应 用 领 域
教育
方 案 内 容
高校宿舍网络需求分析
一、接入可控需求
首先,要能实现各种方式的灵活接入。一种是大多数学校采用的有线方式,这一般在楼栋建设/装修过程中完成布线;另一种就是无线接入方式的补充或冗余。宿舍区采用无线覆盖主要针对:一、某些不方便布线的楼栋或者布线成本太高的楼栋,如某偏僻宿舍楼,接入人数不多的家属宿舍,以及临时开通网络的楼栋等;二、方便学生上网,摆脱有线束缚。
其次,要能对各种接入都能进行有效的控制。随着技术的发展,网络的接入将形成有线+无线,IPv4+IPv6的综合环境。这就要求不仅能够对有线用户进行准入控制,还要对无线用户进行接入的认证,同样的,IPv4和IPv6两种环境下也都要能够保证只有申请开通的合法用户才可以使用网络。接入可控的需求还体现在以下两方面:
? 1、能够对接入用户进行帐号与IP、MAC、端口等多元素绑定,以唯一确定用户身份,同时做到准确定位;
2、针对目前学生沉迷于网络,以至于影响学业的实际情况,需要能够对用户的接入上网时间段做灵活的控制;?
二、网络安全需求
近年来,网络病毒泛滥、安全事件频频发生。拿2005年上半年为例,蠕虫、木马、间谍软件等恶意代码在网上的传播和活动频繁。据CNCERT/CC统计,从2005年1月1日到2005年6月30日,全球共新增蠕虫、木马、病毒等恶意代码11851种,是前一年同期增长数量的1.2倍。自2005年起,安全将会越来越成为我们网络稳定可靠运营的一个保障。根据美国FBI 的调查,美国每年因为网络安全造成的经济损失超过170 亿美元。
那么,在高校宿舍网络这样一个特殊的用户群环境中,如何保证网络的安全运行? 这就提出了“被动式安全”和“主动式安全”的需求:
首先,在发生安全时间的时候,我们要有应对措施。第一,需要设备本身具备强大的安全防护能力(如:防DoS攻击,防DHCP攻击,防扫描等);第二,某学生在网络发布不良言论或者进行网络攻击后,我们要能够通过日志审查,精确定位到个人。 由于都是安全事件发生后采取的应对措施,所以称之为“被动式安全”
其次,安全一定是全局的安全,要能够对网络行为进行实时地深入的数据检测,并在局部出现病毒或者攻击后,对攻击源/病毒源采取措施,达到防止病毒扩散的效果。这些措施包括了:针对具体源头进行的警告信息发送,隔离到安全区域,并自动/手动下载升级补丁。
三、网络高性能需求
第一,近年校内注册上网用户数呈爆炸式增长。这主要是由于高校的招生人数的增加,以及电脑的日益普及。因此,需要系统认证计费效率高,用户的认证和计费不会对网络性能造成瓶颈。与此同时,系统需要能支持几万及以上用户(要求最高可达十万)同时在线并正常运行,而用户不会感觉网络速度慢。
第二,宿舍网的一个特点就是:上网的时间相对比较集中(主要集中在晚间和节假日),所以在此时段网络访问流量会较大,在一些特殊时候可能会出现大量的网络突发流量。这对系统保持高性能,提供可靠运行提出了更高的要求。
四、计费需求
首先,很重要一点就是要有一套能够符合学校运营管理特点的计费策略。提供针对不同用户的不同计费需求的灵活的计费策略的支持,详细来说包括了:1)对于上网时间较长的可以采取包年、包月、包学期等方式;2)对于上网时间不是特别长的,可能需要计时长、或者计天的方式;3)也可能有师生认为自己仅仅偶尔上网看看网页,聊聊天,自己流量不大,很希望能够按流量或者计天但是当天不使用不扣费的模式;4)学生到了寒暑假,或者老师外出培训/会议一段时间,就会需要一次缴费自助分段开通的计费策略,这样能够最大化的保障用户的利益,并且即使用户没有采取这种方式,但是网络中心提供了这种服务,很多时候能在现代“面向服务”的大环境下减轻不少压力。
当然,学校收费和学生缴费是一对天然的矛盾,学生会通过私设代理等方式逃避收费,这就要求能够防止学生架设代理服务器、避免一个帐号多人,做到公平公正。
五、网络管理需求
网络管理的需求包括了用户管理和设备管理两个层面。
对于设备管理,由于宿舍网节点众多,因此需要能够对设备进行统一的监控与管理,包括了统一策略的下发和执行。另外,针对网络故障,要能通过网络管理系统进行快速准确的定位,并故障分析的依据。总体期望达到的效果是:能够直观全面地监控整个网络和各种设备的运行状态,记录和深入分析网络流量,及时报告各种故障和性能问题,协助管理员找到故障的起源,并且对网络的性能变化和故障发生提前进行预测。
对于用户管理,最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别,根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、用户所在VLAN的灵活组合,来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应;事中的实时处理是指对于正在是用网络的用户,如果出现私自拨号上网、使用代理、更改IP地址等,认证计费系统会强制用户下线。对于感染病毒,出现安全事件的用户,结合全局安全通过安全联动来进行隔离、阻断和修复,以保证校园网的安全。事后的日志审计是指记录用户上网的详细信息(包括用户名、IP、MAC等)及完整的用户访问外网的记录(包括源IP、目的IP、源端口、目的端口、访问时间),一旦出现安全事件,可以进行快速完整的审计,迅速定位到个人。
锐捷高校宿舍网解决方案特点
面对新形势下的高校校园网应用,锐捷网络率先推出了第二代“高安全、可运营、易管理”的SAMⅡ认证计费管理解决方案。该方案以“高可靠稳定网络硬件平台”作为基础,设计了“网络管理”、“安全计费管理”以及“安全策略”等三大系统平台,全面满足了宿舍区网络对于高速、稳定、安全、可控、可管几大需求,通过对应用中的实际问题的解决,大幅度提高了整个校园网络的运营效率和应用水平。此外,锐捷网络秉承一贯的“把握应用趋势,快捷满足客户需求”的理念,在宿舍区认证计费和全局安全方案中第一时间响应了学校的需求和新应用得发展,例如:认证计费系统对IPv6的支持。
一、安全策略平台:动态防护建立“空中堡垒”
首先,SAM通过与GSN全局安全系统的配合,能够有效的防范网络病毒、网络攻击。实现三大“自YU”功能:
自御:SAMⅡ通过与IDS设备的联动,自动获取安全事件,并根据SMP对安全时间进行风险分类与评级,管理员可制定警告、隔离、阻断等手段,通过对安全策略进行统一配置,S21系列交换机执行隔离、阻断策略对安全风险进行自动防御;
自愈:SMP根据用户端上报的主机信息定制修复策略,如打补丁、定向到补丁服务器等手段对客户桌面系统进行自动修复,将安全风险进行提前预防;
自育:SMP可自动学习IDS安全风险规则,提前预知安全风险,并结合无人值守模式与管理员手动策略定义,自动完成自御与自愈。
其次,SAMⅡ解决方案还实现了动态安全认证、管理分级授权等功能,确保宿舍网安全。
SAMⅡ通过六元素自动绑定、静态绑定和动态绑定相结合,实现安全认证到桌面,不但可以确保用户入网时身份唯一,而且有效避免了IP冲突,同时,为网络安全上了双重保险。例如,SAMⅡ安全认证能够实现动态绑定,SAMⅡ动态绑定是指在用户登陆网络时,用户的相关信息将自动与服务器和接入层交换机同时绑定。届时如果用户登录网络后一旦更改自己的相关信息(如IP地址、MAC的只等),则无法通过交换机认证,通过动态绑定确保了用户的身份唯一,在最大程度上消除了内部安全隐患。
在网络管理系统中,SAMⅡ对不同职能的网管人员设置不同级别的管理权限,通过禁止越权访问来消除管理的安全隐患。比如,为了更好的管理、运营校园网络,有的学校选用学生干部兼职网络管理、财务人员管理用户收费。但是如果给予学生干部、财务人员的管理权限过大,他们有可能会接触到网络系统配置、交换机管理、IP管理等核心内容。一旦他们对这些设置进行修改,也会对网络的安全造成威胁。如果给予学生、财务人员、网络管理员等使用者和管理者以不同的使用、管理权限,则能有效屏蔽网络安全隐患。
二、安全计费管理平台:灵活计费告别运营难题
针对高校校园网络灵活运营的需求,锐捷网络SAMⅡ校园网解决方案开发出贴近校园用户需求的计费模式,不仅有计时长、包月等传统计费方式,还增加了计天计费方式,并以之为基础,设计了一次交费,分段开通的计费模式。例如,一个学生需要在6月1日的时候开通,但是他6月10日的时候需要出去实习2周,这时,用户完全可以在6月1日的时候选择开通10天,系统就只在这10天内扣除相应费用,到10日的时候系统会自动停用该帐号,直到用户再次选择开通。
其次,SAMⅡ提供了完善的自助服务系统,简单明了的中文界面为用户提供了包括快捷注册,个人信息、密码进行修改,上网明细、交费记录及余额自助查询,在线充值、注销用户等功能服务。不但方便了终端用户缴费,同时也极大地减轻了管理者的管理和收费工作负担,有效缓解了学生缴费和学校收费的矛盾。
另外,为了给高校用户带来最优的应用体验,SAMⅡ“想用户之所想”,为学校提供了完善的流程化服务。SAMⅡ解决方案预置了包括收费通知、管理员招聘启示等在内的多种应用问题模版。这些看似简单的模版,是锐捷网络服务数百所高校用户的经验积累,锐捷网络通过将用户的需求以及用户反馈的先进经验进行积累,逐渐形成的一套立体化服务体系。需要注意的是,网络建成后,该服务体系还将对用户进行实时跟踪,及时了解用户需求并为用户提供网络系统定期排查服务,保障用户的网络轻松运行和持续运营。
三、网络管理平台:轻松快捷实现全网管理
为了帮助网管人员轻松实现对众多网络设备的管理、及时排查网络故障和提高用户管理的效率,锐捷网络SAMⅡ校园网解决方案提供了全网拓扑发现功能、AGTS用户管理模式、接入时段管理以及免安装客户端自动升级等功能,帮助高校用户轻松管理整个校园网络。
全网拓扑发现功能可以对全网设备、网络节点以及事件、性能、日志进行实时监控,统一管理。特别值得一提的是,SAMⅡ提供的全网拓扑发现功能,能够发现非网管设备(网线、集线器HUB等),让非网管设备也难逃“法眼”。
除了全网拓扑发现之外,SAMⅡ解决方案创新推出了AGTS的用户管理模式,来对用户数量庞大、类型繁多的校园网进行有效管理。以前,每个用户在注册帐户的时候,网管老师不仅要输入该用户的姓名、年级、班级等个人信息,还要输入该用户的IP地址、MAC地址等元素。统计表明,一个用户注册登记时,录入相关的用户信息大概需要3分钟,若录入3万个用户的相关信息至少需要两个月。而SAMⅡ的AGTS用户管理模式,则可以根据学校的具体情况首先针对不同学院进行分组,如信息工程管理学院、商学院等;接着再对这些学院的学生进行细分,如本科生1号宿舍楼用户、研究生宿舍用户、专科生宿舍用户等等。不仅如此,AGTS用户管理模式还针对用户的相关信息设置了对应的模板,全面简化了操作流程;现在,用户采用AGTS用户模版进行注册最多只需30秒既能完成,大大提高网管老师的工作效率。
同时,为了帮助学校实现灵活的上网接入时段管理,SAMⅡ提供了用户接入时段管理。通过对日常、周末以及节日的一次性设置,可以轻松灵活的管理用户能够使用网络的时段,帮助学校实现灵活的上网接入时段管理。例如,学校可以根据自己的实际情况,在平时设定允许上网的时段(如6点-7点、17点-23点等);不允许上网的时段(如0点-5点、8点-16点等);或是在周末设置较长的允许接入网络的时间等。同时,SAMⅡ解决方案还针对此提供了优先级划分功能,如节日的时段管理优先级最高,周末次之、日常最低。一年只需对日常、周末以及节日的时段管理设置一次,其间如果遇到特殊情况,可根据实际需要,随时修改。
另外,SAMⅡ提供了客户端免费安装和自动升级功能,学校网管人员可以通过统一的一次性配置,使得所有用户的客户端自动进行升级,大大简化了管理者及使用者的负担,使得上网更为轻松。同时,强制要客户端自动进行升级,也有效杜绝了终端用户利用软件BUG对网络进行破坏的情况发生,进一步加强了网络管理的力度。SAMII还提供了安全通道功能,供未通过认证的用户只能访问限定的特定资源,比如:可以网上自助服务用于申请网络的开通。
技 术 路 线
锐捷网络----高校宿舍网网络拓扑图:
其 他
附录:宿舍网运营分析
学生宿舍网的建设普遍面临着资金的压力问题,不仅前期需要比较大的资金投入,而且在后期维护过程中设备及人员的费用庞大。面对这些问题我们如何解决呢?目前,很多学校解决资金的问题,就是实现以网养网。可以说,学生宿舍网走上运营管理之路是必然的趋势。而且,从实际情况来看,学生宿舍网有很大的运营价值:
第一、校园网的运营管理能实现对内网用户的统一管理,增加管理手段,减轻网络管理的负担。
第二、能带来的运营收益更好的服务于网络管理,实现“以网养网”。
第三、能够提升学校在网络应用、管理、维护方面的能力,提升学校形象。
第四,它有助于提高资源的利用率。无论是我们的网络资源,带宽资源还是学校内部的信息化资源,图书馆资源等等都是有帮助的。
一个网民数量会达到10000人的学校。按照每年是10个教学月, 维护费用占到5%,网络投资会占300-400万元,包月使用,月使用费用20-30元。这样算下来,大概只用1年多的时间就可以收回投资。
