租用式网络管理架构解决校园网安全接入方案

    一.需求概述

　　后勤工程学院院创办于1961年11月，隶属中国人民解放军总后勤部。学院位于重庆市区，1979年被确定为全国重点高等学校，是全军12所综合重点院校之一。

　　近年随着校园网络规模的扩大和使用量的增加。宽带IP网络的安全管理及运营的重要性对军队院校而言越来越明显。而认证计费综合解决方案能够解决宽带IP网络管理及运营所面临的诸多问题：用户身份识别，多样时段控制要求、用户管理、上网记录及在线用户查询、流量统计、详细的url访问日志、IP地址管理、灵活多样的计费策略等。减轻校园网络部门的工作压力,提高网络运营的效率.

　　二．重庆解放军后勤工程学院互联网接入需求分析

　　2.1．需求分析

　　重庆解放军后勤学院约有在校生8千余人，除去未开通上网的学生，约有5千余人的宽带上网人数。但是实际申请使用只有3千余人，为什么会远远低于实际的上网人数呢！如何安全可控的实现校园网用户访问INTERNET成了校园网络部门急需解决的课题。

　　经过对后勤工程学院的现有网络进行分析，主要有以下几个方面的问题：

　　2.2．学校网络分布复杂，需要对网络布线进行重新建设和维护

　　由于学院网络建设的比较早，而随着网络的日益普及和线路的日益增多，以及私接线路和不规范拉线的产生，导致了带宽的滥用和网络资源的大量浪费。

　　2.3．学校网络基础设备老化，需要进行更新

　　学校的交换机、路由器等网络设备大部分都已经进入了更新换代的年龄了。需要进行批量的更换和升级，而学校基于经费的考虑，一直未能更新。

　　2.4．用户管理混乱，需要对用户进行认证管理

　　对于军队院校，由于对网络使用的监控有着比较高的要求，而学校网络未能对用户进行认证管理，使得无法快速定位用户、发现问题用户。

　　同时IP地址盗用、IP地址冲突、非法使用代理等问题，使得大量用户流失和无法监控。

　　2.5．需要加入多样化的计费模式

　　学校用户的付费类型较为单一，这种方式早已不能满足管理者的要求，而学校需要对各种用户如职工、学生、领导等进行区分管理。

　　2.6．建设成本的控制

　　校园网络建设经费有限，如何才能既满足校园网络的建设需要又使成本控制在学校可接受的范围之内，成为校园网建设的重点问题。

　　三．解放军后勤工程学院互联网接入解决方案

　　3.1．重庆电信与高校合作运营的模式

　　基于电信与高校合作运营宽带接入的众多成功案例，解放军后勤工程学院选择与重庆电信携手对校园网的宽带运营和建设，以共同应对高校自主运营校园网宽带接入所面临的重重障碍及电信用户高校的发展缓慢及收益率低的状况。

　　合作运营特色：

　　3.2. 采用“租用式网络管理架构”分别对宽带的组网和运营进行分工管理和建设
　　经过电信和学院双方对校园网络环境现状的分析和研究。决定采用“租用式管理架构”来解决学院对宽带网的建设要求。由重庆电信负责对学院现有网络进行优化和改建，保证达到最优的组网模式，提升校园网的稳定性和可运营性，满足学校更新网络的要求。电信并进一步提供对网络的持续维护和保障网络的稳定运行。而后勤工程学院则对校园网的用户进行的资源分配和收费等运营管理。然后学院再从每月的运营收入中拿出固定的资金（资金多少按合同定的数额为准）给电信，就好比交租金一样。双方共同构建互利互惠的运营环境。

    3.3．采用蓝信校园版认证计费系统＋概要日志及流量采集解决宽带安全接入问题

　　对于解决用户的安全访问接入。采用基于802.1X业界标准协议的认证计费系统“蓝信认证计费系统＋流量采集服务器＋蓝信概要日志系统”。来保证用户的实时管理和认证，有效的解决了防私接代理、IP盗用等接入管理问题。同时，由于军校的特殊性，通过加入概要日志和流量采集系统来对用户上网行为进行监控，同时为实现按流量计费、网络系统的优化等决策提供了极好的数据及图形基础。

　　3.4．重庆电信全面负责宽带维护和接入

　　重庆电信全面负责对校园网的规划、建设和维护，这样就解决了校方网络建设、维护的经验、经费不足的问题。依托于电信对网络建设的丰富经验，保证了网络建设的高效、稳定和优化。

　　3.5．解放军后勤工程学院负责用户的运营

　　后勤工程学院校方负责对校园网里面的宽带用户进行运营和管理。校方可以方便的根据自己管理的需要，通过蓝信认证系统和概要日志系统轻松实现对用户上网行为的高效监控和管理、追查。这样就有效的解决了用户管理混乱的问题。

　　从运营方面来说，现在学院把用户分为3类，学生用户，职工用户，包月或计时用户，通过对不同用户采用不同的计费方式，提供高性价比的宽带接入服务，为学校带来一定收入来弥补网络建设和维护、使用的费用缺口。

　　3.6．收益分成

　　解放军后勤工程学院按照共同运营的协议，作为网络使用和维护费用，每月给重庆电信固定的资金。扣除这部分的费用，其余的运营收入即作为学校的收入。

　　四．重庆解放军后勤工程学院互联网接入网的技术要点

　　系统设计技术要求：

　　4.1. 稳定性

　　稳定性是首先要考虑的问题，网络接入设备（包括认证、流量计费和日志系统）必须保证系统7×24小时不间断服务。

　　4.2. 可扩展性

　　考虑到校园网的持续发展和学校规模的不断扩大，必须提供相当的的扩展和升级能力，在不影响网络服务的情况下进行稳定的升级。并支持与其他系统的接口。

　　4.3. 多样化的计费方式

　　为客户提供多样化的计费方式选择，必须能够对用户进行必要的统计、查询等功能，支持院区以及各个院区对应的帐号和用户ip的对应关系等相关功能。

　　4.4. 安全高效的认证管理

　　保证用户上网方式的认证的安全性和及时性，并对用户进行有效的管理。

　　4.5. 扩展的实时性

　　对防私接和防代理目前状况和将来的需求进行充分考虑，对以后的网络扩展和计费用户的扩展做好充分的准备。

　　4.6. 配置的灵活性

　　支持灵活的配置管理和权限管理以及对应的系统日志功能。

　　4.7 蓝信基于业界标准的802.1X协议认证计费特点：

　　IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol）。可以防止未授权用户进入以太网。

　　使用802.1X认证的优点是效率高，不浪费网络资源（与PPPOE等相比），可以实现组播等，另外由于非法用户被拒绝在网络之外，从根本上解决了IP盗用之类的问题。

　　1．强大的绑定功能

　　支持１５元素绑定，只有通过网络管理部门分配合法帐号才能够使用网络资源；有效的防止了IP盗用和私接的问题，保证了用户资源的有效控制，防止了流失。

　　2．日志功能、流量统计分析功能

　　配套的蓝信概要日志及流量统计，可以查询、统计、记录用户访问的url、ftp、mail等信息，提供网络流量统计，方便管理员及时了解用户上网规则，网络流量状况，常用访问地址等；可以了解学生在校内的行为和对违法犯罪行为进行提前的预知。

    3．可运营性

　　教育宽带计费政策现支持最常用的7种计费政策：包月无上限，包月有时长上限、超限后计费，包月有时长上限、超限后计费，包月有流量上限、超限后停机，包月有流量上限、超限后计费，计流量，计时等；

　　4．支持卡业务

　　可以批量的定制上网卡，冲值卡， 方便广大学生用户的使用。

　　5．可扩展性

　　系统平台提供多种接口，具有良好的可扩展性；方便对以后平台的升级做准备。

　　6．可管理性

　　只有合法用户才能使用网络；支持多种元素的绑定可以轻松对用户上网行为进行控制；区域划分管理模式可把不同院系用户进行有效的管理；安全的公共帐号机制，可以防止公共帐号滥用；可查询用户上网历史，避免缴费时发生不必要的纠纷。

　　7．限制代理

　　通过蓝信宽带计费系统限制使用代理和双网卡的功能，极大的降低了网络管理的难度，同时也避免了学校资金的流失。

　　8．强管理性

　　提供B/S、C/S两种访问方式 ： 防止IP冲突，IP盗用

　　用户可以根据需求选择静态或DHCP方式分配IP，以避免IP冲突、IP盗用，同时确保当次会话不能更改IP地址；

　　能够禁止私自设置代理或者NAT服务器。蓝信产品通过客户端、NAS设备以及AAA防代理机制来杜绝私设代理服务器、HUB等现象；

　　9．方便的群组管理

　　用户可分为学生（专科生，本科生、研究生）、教师、领导等多个群组，根据群组设置不同权限，以此降低网管人员的工作难度；

　　蓝信宽带计费系统支持两种实时断线机制：重新认证和私有协议。在私有接口上，目前支持CUT报文实时断线接口，也可与其他设备进行快速对接；

　　10.用户信息管理

　　在线用户列表和信息查询；统计功能；查询网络使用情况等；

　　登陆时间管理

　　根据管理需求，可以设定用户的上网时段；允许或者禁止用户访问网络，也可以对学生实行按时断网的功能，方便控制学生上网。

　　客户自理功能

　　网上用户自理子系统采用B/S结构，为用户提供信息查询、密码修改，上网记录的查询、缴费单查询及自助充值等功能；方便学生对自己的上网信息进行了解。

　　客户端信息提示

　　通过丰富友好的客户端提示信息，用户可以准确知道认证不通过的原因；

    五．方案效果

　　在网络中心部署信利公司的认证计费系统“蓝信认证计费系统 ＋流量采集服务器＋蓝信概要日志系统”。蓝信认证计费系统与港湾的交换机、拨号客户端互相配合，实现用户认证后上网、记帐和网络管理功能。概要日志能提供用户详尽的url访问记录。

　　5.1．网络拓扑图：

　　

　　如上图所示的网络中，在网络管理中心部署蓝信认证计费系统，流量采集服务器（安装概要日志系统和流量采集工具），蓝信认证计费系统与核心设备相连，完成对整网用户的认证、计费、管理。在网络总出口设备上做端口镜像连接流量采集服务器，流量采集服务器采集流量提交给蓝信认证计费系统，完成对整网流量采集、提交、分析、日志记录。流量采集采用旁路式，不会对网络性能造成影响．

　　概要日志流量统计为单独模块

　　5.2．流量采集流程：

　　当用户认证上网时，蓝信radius系统会将用户和其ip地址对应信息发送给流量采集服务器。此时，流量采集服务器会重新开始统计此用户的ip流量信息。

　　当用户下线时，蓝信radius系统会实时从流量采集服务器上查询该ip的流量，作为本次上网的流量信息。

　　概要日志系统可以提供详尽的url访问资料，能查看到用户访问过的url地址，时间，用户使用的ip等，帮助网络管理人员分析用户行为。

　　5.3．终端用户认证

　　

　　上图是终端用户拨号流程，使用802.1x认证方式需要终端用户安装拨号客户端，每次发起的拨号认证的记录，系统都会保存到相应的日志文件中，用户认证通过后，系统会自动记录用户的在线记录和用户的详细信息，下线后会自动保存下线记录。在用户拨号认证时，出现错误，客户端会根据不同情况，弹出不同提示给终端用户，例如，MAC地址绑定错误，您的余额不足等。

　　六．持续稳定的运营和协助公安部完成追查

　　从2005年9月到现在，经过了接近2年的运行，后勤工程学院以稳定和对宽带用户上网的良好控制。保障了运营的良好运行。特别是概要日志系统，最近公安部门在国内发现有不法分子在利用网络在国外进行违法活动。经查这个IP是后勤工程学院校园网络出去的。立刻利用校园网的概要日志系统，对IP和日志进行了追查，短时间就查出了和抓获了不法分子。为公安部的追查贡献了自己的力量。

　　七．长期收益分析

　　从2004年和港湾合作到现在，采用蓝信认证计费概要日志系统解决校园网络的安全接入的已有近百家高校，随着后勤工程学院网络的完善，重庆电信在后勤学院已有了稳定的的市场支持。对重庆电信在当地的高校品牌的树立了良好的榜样。也对电信与高校的合作模式又有了新的促进。 

　　灵活多样的认证方式

　　既可实现集中认证、集中管理，也可实现分布认证、集中管理；