前言
中国人民解放军第四军医大学,是1954年由原第四军医大学和原第五军医大学合并而建,学校座落于古城西安,目前在校学生6000多人,现有教、医、研人员3000余名。
为建设成为全国一流的医科大学,学校进行了校园网的建设,然而,随着校园网的开通,一些问题也随之产生。
IP盗用、共享帐号的现象普遍,时常发生IP冲突,网络管理混乱;
付费纠纷频繁、资费流失情况严重;
一些人员利用校园网络管理漏洞在校内私自开设网吧,不仅给学校网络收益带来严重的损伤,也在校园里造成很恶劣的影响;
学生通过非法代理访问色情网站,在同学中造成不良影响;
对于上述违规现象,学校只能事后查找并处罚,根本无法事前预防,且事后追查也相当困难;
网管人员工作量大,而且有的管理几乎不具可操作性。
需求分析
为了解决校园网络建设过程中遇到的问题,真正做到网络的有偿使用,第四军医大网络管理中心希望能够有一套认证计费系统,通过认证计费系统实现网络使用的规范化,解决困扰学校网络建设中存在的各种不良现象。
归纳学校地需求,我们把第四军医大目前网络建设迫切解决的问题定位在以下几个方面:
实现认证上网;用户通过用户名帐号的认证方式控制网络,只有校园网络管理部门分配的合法帐号才能够使用网络资源。
帐号的安全性;能够有足够的安全机制保证帐号的安全性。
日志记录;能够记录用户的上网记录。
限制使用网络代理;能够禁止私自开设代理或者NAT服务器,主要针对校内一些部门只交纳一台计算机的费用,却通过代理服务器或者NAT服务使内部多台计算机使用网络资源;以及更恶劣的利用学校网络资源私自开设网吧,却不交纳多余的费用的现象。
支持计费,能够支持包月计费。
方案描述
通过对第四军医大需求的研究和分析,西安信利公司根据学校面临的具体问题,提出了以下解决方案:
图1、 方案抽象图
在用户接入层部署港湾的“μHammer2024”,μHammer 2024交换机支持802.1x控制协议,配合RADIUS Server,保证只有通过认证的合法用户才能使用网络资源。
在学校的网络中心部署西安信利的认证计费系统“蓝信AAA”,蓝信AAA具有标准RADIUS、支持802.1X的蓝信AAA认证服务器与港湾接入交换机配合,实现用户认证后上网和强大的网络管理功能。
上图就是一个认证的流程,用户输入合法的帐号和密码向交换机发出认证信息,
在没有完成人称以前,交换机的端口是关闭状态的,用户不能享用任何网络资源,用户的认证信息到达接入交换机后,交换机向认证服务器发出验证信息,认证服务器判断用户是否合法,如果合法则发出认证通过的信息给交换机,交换机的端口就出于打开状态,用户可以访问网络资源,如果用户信息没有通过验证,认证服务器向交换机发出拒绝信息,交换机拒绝用户认证请求,并把认证服务器返回的拒绝理由输入到客户端认证程序上;用户完成认证上往后,计费服务器开始对帐号进行计费,在本案例中,认证和计费部署在同一台服务器上。
