構(gòu)建中小學(xué)城域網(wǎng)集中網(wǎng)絡(luò)管理體系

于東 安胤舉

一、問(wèn)題的提出

鐵西區(qū)現(xiàn)有中小學(xué)77所，基本實(shí)現(xiàn)了“校校通”、“班班通”，55所學(xué)校及教育局直屬單位通過(guò)自建光纖與區(qū)教育網(wǎng)絡(luò)中心實(shí)現(xiàn)互聯(lián)，其余學(xué)校通過(guò)租用聯(lián)通公司裸纖與區(qū)教育網(wǎng)絡(luò)中心實(shí)現(xiàn)互聯(lián)。但隨著網(wǎng)絡(luò)應(yīng)用的增加，一些問(wèn)題隨之而來(lái)。已經(jīng)影響到網(wǎng)絡(luò)的正常運(yùn)行。主要表現(xiàn)在以下幾個(gè)方面：城域網(wǎng)接人不可控，出現(xiàn)安全事件時(shí)很難定位最終用戶(hù)，用戶(hù)網(wǎng)絡(luò)行為無(wú)法控制，無(wú)法提供差異化的服務(wù)，多個(gè)應(yīng)用系統(tǒng)登錄存在問(wèn)題。特別是多個(gè)應(yīng)用系統(tǒng)登錄問(wèn)題，鐵西區(qū)現(xiàn)有教育網(wǎng)站和視頻點(diǎn)播兩套應(yīng)用系統(tǒng)，還將陸續(xù)引進(jìn)流媒體廣播、數(shù)字圖書(shū)館、基礎(chǔ)教育電子期刊庫(kù)、教育資源中心等應(yīng)用系統(tǒng)，這些分屬不同廠(chǎng)商的系統(tǒng)都有各自獨(dú)立的用戶(hù)身份識(shí)別系統(tǒng)，且互不兼容，要多次輸入賬戶(hù)和密碼，非常不方便。

二、解決方案

要想解決上述問(wèn)題，必須解決網(wǎng)絡(luò)行為審計(jì)和用戶(hù)實(shí)名制登錄兩個(gè)關(guān)鍵問(wèn)題，還城域網(wǎng)一個(gè)安全和綠色的本來(lái)面目。通過(guò)對(duì)國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)品的調(diào)研，初步選定了銳捷RG-EGl000系列易網(wǎng)關(guān)和RG－SMP統(tǒng)一身份認(rèn)證系統(tǒng)。即每所中小學(xué)在出口部署一臺(tái)RG－EG1000系列易網(wǎng)關(guān)，區(qū)教育網(wǎng)絡(luò)管理中心部署RG-SMP統(tǒng)一身份認(rèn)證系統(tǒng)。具體架構(gòu)見(jiàn)圖1。在對(duì)這套方案的論證過(guò)程中。發(fā)現(xiàn)存在一些不足：

第一，學(xué)校規(guī)模不同。有的學(xué)校上網(wǎng)計(jì)算機(jī)數(shù)量接近400臺(tái)，有的學(xué)校上網(wǎng)計(jì)算機(jī)數(shù)量?jī)H為20多臺(tái)，而且同一學(xué)校不同時(shí)間上網(wǎng)的計(jì)算機(jī)數(shù)量也會(huì)發(fā)生變化，這就要求選擇不同配置的產(chǎn)品。第二，學(xué)校的信息技術(shù)專(zhuān)業(yè)人員的能力和水平參差不齊，對(duì)設(shè)備的使用和管理千差萬(wàn)別。第三，不排除個(gè)別學(xué)校會(huì)擅自摘掉該設(shè)備，脫離監(jiān)管。

為解決這些不足。我們提出了集中進(jìn)行網(wǎng)絡(luò)管理的思路，即將所有的RG-EG1000系列易網(wǎng)關(guān)與RG-SMP統(tǒng)一身份認(rèn)證系統(tǒng)全部部署在區(qū)教育網(wǎng)絡(luò)管理中心。具體架構(gòu)見(jiàn)圖2。在這套方案中，若干學(xué)校為一組，共同接入一臺(tái)二層全千兆交換機(jī)，每臺(tái)交換機(jī)連接一臺(tái)RG-EGl000系列易網(wǎng)關(guān)。這套方案既實(shí)現(xiàn)了網(wǎng)絡(luò)集中管理，又合理利用了設(shè)備。在具體實(shí)施過(guò)程中，有幾個(gè)問(wèn)題需要進(jìn)行考慮。

(1)學(xué)校如何分組。應(yīng)把握這么幾個(gè)原則：第一，根據(jù)學(xué)校上網(wǎng)計(jì)算機(jī)數(shù)量分組，即多少搭配；第二，根據(jù)近幾年的流量監(jiān)控分組，即大小搭配；第三，根據(jù)學(xué)校的性質(zhì)分組，即中小學(xué)搭配。對(duì)于一些規(guī)模大的學(xué)?；蛑匾块T(mén)，應(yīng)單獨(dú)設(shè)為一組。

(2)交換機(jī)的選擇。國(guó)內(nèi)外可供選擇的產(chǎn)品非常多，指標(biāo)千差萬(wàn)別，質(zhì)量參差不齊，選擇時(shí)應(yīng)把握這么幾個(gè)原則：第一，應(yīng)支持IPv6協(xié)議；第二，普通的二層交換機(jī)即可；第三，至少應(yīng)提供16個(gè)全千兆電口；第四，能夠劃分VLAN；第五，背板帶寬盡可能高；第六，功耗盡可能小，最好是無(wú)風(fēng)扇設(shè)計(jì)。通過(guò)比較，我們選擇了銳捷RG-S2928G-E交換機(jī)。

(3)易網(wǎng)關(guān)的選擇。選擇時(shí)應(yīng)把握幾個(gè)原則：第一，高性能轉(zhuǎn)發(fā)；第二，集成豐富的防火墻功能；第三，專(zhuān)業(yè)流控功能：第四，豐富并能實(shí)時(shí)更新的中文URL數(shù)據(jù)庫(kù)；第五，深層次內(nèi)容審計(jì)，本地化日志記錄，基于用戶(hù)身份的審計(jì)功能；第六，設(shè)備軟、硬件高可靠性；第七，可快速部署。通過(guò)比較，我們選擇了銳捷RG-EG1000S易網(wǎng)關(guān)。

(4)統(tǒng)一身份認(rèn)證系統(tǒng)的選擇。銳捷RG-SMP統(tǒng)一身份認(rèn)證系統(tǒng)具備的身份認(rèn)證功能、主機(jī)端點(diǎn)防護(hù)功能、基于客戶(hù)端和基于Web認(rèn)證的安全域管理、客戶(hù)機(jī)進(jìn)程列表獲取功能、主機(jī)硬件變動(dòng)日志功能、用戶(hù)端軟硬件信息學(xué)習(xí)和統(tǒng)計(jì)功能,ARP攻擊三重立體防御功能、基于網(wǎng)絡(luò)攻擊的自動(dòng)隔離和阻斷功能等特征是業(yè)界很多產(chǎn)品所不具備的，能夠較好地服務(wù)于教育城域網(wǎng)的集中管理。在這套方案中，通過(guò)銳捷RG-EGl000S易網(wǎng)關(guān)與RG-SMP統(tǒng)一身份認(rèn)證系統(tǒng)的組合，實(shí)現(xiàn)了實(shí)名制的訪(fǎng)問(wèn)權(quán)限控制、實(shí)名制的流量控制、實(shí)名制的行為管理及日志審計(jì)。

此外，為解決多個(gè)應(yīng)用系統(tǒng)重復(fù)輸入賬戶(hù)和密碼的問(wèn)題，我們選擇了銳捷的RG-SSO組件來(lái)實(shí)現(xiàn)單點(diǎn)登錄問(wèn)題，真正做到了“統(tǒng)一身份，統(tǒng)一認(rèn)證，統(tǒng)一登錄，統(tǒng)一入口”。

由于城域網(wǎng)用戶(hù)數(shù)眾多，所以必須利用分布式身份認(rèn)證去滿(mǎn)足城域網(wǎng)用戶(hù)的高速進(jìn)網(wǎng)認(rèn)證的實(shí)名制上網(wǎng)需求：同時(shí)，安全策略卻正好相反，需要一套統(tǒng)一的安全管理中心實(shí)現(xiàn)安全策略的快速部署與執(zhí)行，并能夠有機(jī)地將城域網(wǎng)的各種安全手段充分調(diào)動(dòng)起來(lái)，實(shí)現(xiàn)基于用戶(hù)身份的安全控制。

(編輯：王天鵬)