高校宿舍区安全运营解决方案

高校宿舍区安全运营解决方案DIGTIALCHINADIGITALCAMPUS神州数码网络有限公司2008-07一、前言如何建设一个高度可运营、易管理的学生宿舍网，来提供高质量的网络服务；并通过合理的运营计费策略，实现以网养网的目的，对于高校来说仍然是一个很重要的课题。根据CNNIC在2008年1月的《第21次中国互联网络发展状况统计报告》中指出，中国网民总数已经达到2.1亿，而上网用户中的学生比例占到了28.8%，基本上站到了1/3，这些用户都集中在校园网内部或者学校外面的网吧。由于学校上网用户密度大，已经越来越成为学校或者运营商关注的一个热点。早在2002年前后，国内高校的校园网建设开始从办公区、图书馆区延伸到教学楼、学生宿舍以及教师家属区。尤其在2003-2005年间，宿舍网的建设达到了一个顶峰。除了高校自主建设外，包括中国电信、中国网通等在内的运营商都已经开展了学生宿舍区的上网业务。学生宿舍网经过6年多的建设经验，到目前为止还会出现安全运营情况和效果并不理想的现象，对高校来讲这不仅仅是一个重要的课题，而且是面临的一个挑战。二、神州数码宿舍网安全运营解决方案神州数码根据多年教育行业的建设经验，推荐以下三种方案选择以解决现在学生宿舍网安全运营中遇到的问题。（一）DCBA网关型接入认证计费方案z组网说明¾出口部署DCBA系列接入管理器，负责用户Internet访问时的认证计费；内网部署一台DCBI-3000作为AAA统一管理中心，进行统一开户、配置计费策略、用户帐号的绑定控制等。¾DCBI-3000接收来自DCBA的认证和计费数据，可采用两台DCBI-3000以主备方式组网；如果网络规模较大，可部署多台DCBA接入管理器用于分担不同内网区域用户。z方案特点¾接入控制安全可靠：支持用户帐号与IP地址、MAC地址、VLAN号（需要起Trunk）等多元素的绑定。绑定可手功配置，也可通过自学习获取数据来自动实现；支持公共机房等环境下主机IP与该主机的绑定，这个绑定与用户帐号无关。¾灵活的认证计费可实现内网某些源IP地址段内主机免认证也可通过DCBA访问外网。即：不认证、不计费的方式访问外网。可实现内网某些源IP地址段内主机上网需要认证、但不计费的方式通过DCBA访问外网；预付费业务（功能强大，强调费用用光后的实时强制断线功能），后付费业务（很少人用）。精确的流量计费，精确的时长计费。包天、包月计费；支持用户上网的时段控制，可在某些时间段内禁止用户上网。¾轻松的网络管理支持对用户的强制下线管理。防代理，防上网后IP地址篡改，防启用非法DHCPServer；基于用户组的用户管理。支持开户模板方式；用户web自注册开户功能，节省管理员输入大量用户信息的工作量。用户web自修改计费策略功能，用户可通过web自服务来自己修改管理允许的计费策略（二）802.1X接入交换机认证计费方案z组网说明¾需要部署支持802.1x的接入交换机，负责用户的接入认证数据；内网部署DCBI-3000作为AAA统一管理中心，进行统一开户、配置计费策略、用户帐号的绑定控制等；¾DCBI-3000接收来自802.1x的接入交换机的认证和计费数据，用户的流量不经过DCBI-3000；可采用两台DCBI-3000，以主备方式组网，保证整个网络的核心稳定运行。z方案特点¾接入控制安全可靠：功能强大的安全接入管理功能：不仅可实现认证的绑定、防代理上网，更可以实现基于安全交换机的ACL转发控制功能，从而防止内网中假冒地址等方式的攻击、扫描、ARP病毒、冲击波病毒等对网络造成的影响；与瑞星等防病毒软件实现联动，保证上网前的客户机的安全性；IP、MAC地址管理功能：可对接入主机实现与用户帐号无关的IP-MAC绑定功能、支持IP和MAC的黑名单功能，同时提供强大的类似于DHCPServer的针对用户的IP地址授权功能和IP地址池管理功能。¾灵活的认证计费预付费业务（功能强大，强调费用用光后的实时强制断线功能），后付费业务（很少人用）。精确的流量计费，精确的时长计费。包天、包月计费；支持用户上网的时段控制，可在某些时间段内禁止用户上网。基于授权组的管理策略：可通过授权组功能实现对用户、用户组实现带宽、VLAN等的灵活授权功能。¾轻松的网络管理支持对用户的强制下线管理。防代理，防上网后IP地址篡改，防启用非法DHCPServer；基于用户组的用户管理。支持开户模板方式；用户web自注册开户功能，节省管理员输入大量用户信息的工作量。用户web自修改计费策略功能，用户可通过web自服务来自己修改管理允许的计费策略（三）内网安全控制、外网访问计费技术方案z组网说明¾部署支持802.1x的接入交换机，负责用户的接入认证数据；出口部署DCBA系列接入管理器，负责用户Internet访问时的认证计费；部署一台DCBI-3000作为AAA统一管理中心，进行统一开户、配置计费策略、用户帐号的绑定控制等可采用两台DCBI-3000，以主备方式组网，保证整个网络的核心稳定运行。z方案特点¾接入控制安全可靠：802.1x主要是进行接入安全控制，而不是计费，这是由802.1x的技术特点决定的。DCBA网关是专门用于上网计费的设备，可实现用户不需要认证就能访问内网，实现内网访问不计费的功能。而访问外网需要认证计费。功能强大的安全接入管理功能：不仅可实现认证的绑定、防代理上网，更可以实现基于安全交换机的ACL转发控制功能，从而防止内网中假冒地址等方式的攻击、扫描、ARP病毒、冲击波病毒等对网络造成的影响；与瑞星等防病毒软件实现联动，保证上网前的客户机的安全性；IP、MAC地址管理功能：可对接入主机实现与用户帐号无关的IP-MAC绑定功能、支持IP和MAC的黑名单功能，同时提供强大的类似于DHCPServer的针对用户的IP地址授权功能和IP地址池管理功能。¾灵活的认证计费学校网络本身主要是教学、研究使用，不宜一上网就计费。而访问外网需要使用学校租用的电信线路，一般要收费。所以我们主推的学校计费方式：内网不计费但实现安全控制功能，外网访问进行计费预付费业务（功能强大，强调费用用光后的实时强制断线功能），后付费业务（很少人用）。精确的流量计费，精确的时长计费。包天、包月计费；支持用户上网的时段控制，可在某些时间段内禁止用户上网。基于授权组的管理策略：可通过授权组功能实现对用户、用户组实现带宽、VLAN等的灵活授权功能。¾轻松的网络管理支持对用户的强制下线管理。防代理，防上网后IP地址篡改，防启用非法DHCPServer；基于用户组的用户管理。支持开户模板方式；用户web自注册开户功能，节省管理员输入大量用户信息的工作量。用户web自修改计费策略功能，用户可通过web自服务来自己修改管理允许的计费策略