浅谈统一网络接入平台的规划设计

摘要：为解决了中山职业技术学院存在的多业务网络接入核心网络所引起的一些列管理问题，我们设计了统一网络接入平台。通过该平台，我们实现了多业务网络快速接入，并有效管理这些网络接入用户，通过该方案希望能够对正在为多业务网络接入而寻求解决方案的人们提供参考。

关键词：AC；网络接入；WEB认证

中图分类号：TN929文献标识码：A文章编号：1007-9599 (2011) 24-0000-01

The Analysis of Unified Internet Access

Platform Design

Wang Haijun,Liu Chun,Li Zhichao,Lu Jian

(Zhongshan Polytechnic,Zhongshan528404,China)

Abstract:In order to solve some management problems of Zhongshan Polytechnic caused by network,the unified platform for Internet access was designed.Through this platform,a multi-service network was achieved,and the effective management of the users was also achieved.Through this Program,Some solutions for multi-service network were provided.

Keywords:AC;Network access;WEB certification

一、系统背景

中山职业技术学院目前有3个网络，分别是：校内网络（学院自行建设、管理），宿舍网络（市场化运作，厂家投资建设），校内无线网络（运营商投资建设、管理）。通过建设了这一套统标准的接入平台，实现多个网络能够的安全接入到校内网络，并且能够方便的进行业务网络的扩容。本篇论文分析中山职业技术学院的对统一网络接入平台的部署和研究经验。

二、项目规划

中山职业技术学院目前的三个业务网络是独立运作的，为满足学院师生的在日常学习生活中的上网需求，因此需要将这三个网络打通。基本需求是将校内的信息资源开放给所需的用户，同时要保障校内核心网络的安全性。基于这些因素的考虑，我们从以下三个方面对业务网络接入进行规划：

设计目标：建设一套安全认证体系，实现一个或几个业务网络能够方便快捷的接入核心网络。

业务目标：用户能否方便快捷的接入核心网络，访问所需要访问的资源。

管理目标：能够设定用户访问哪些资源，能够分析用户的危险行为，发现内网的安全漏洞，能够对用户日志审计，能够进行流量控制等功能。

（一）项目框架设计。根据设计目标，基本思路是以采用AC认证系统加路由选择模式，实现多网络接入认证管理和路由选择。具体部署是将AC系统以网桥模式部署在校内网络中，实现高效运作；再将宿舍网络和无线网络接入到AC系统中。

1.校内网：校内网是学院核心网络，学院服务器统一布置的网络：172.21.2.X/24。AC系统也布置在这个网段，IP地址设置为：172.21.7.254/24。

2.宿舍网络：宿舍网络是为了给学生提供宿舍上网的需求，其为无线网络用户和宿舍网络用户提供资源服务。

3.无线网络：无线网络的是为了满足学院老师和学生无线上网的需求，其IP段为：172.16.XX.XX/24。

（二）行为管理系统设计。AC系统应该具有以下几个基本功能：

1.拥有全面的防攻击能力。AC管理系统能够有效的识别应用层的行为内容，有效识别内网主机感染木马、间谍软件、识别端口扫描、垃圾邮件外发行为；提供防DOS攻击功能；危险流量识别。

2.日志记录。AC系统详细记录来自互联网以及内网的用户对数据中心服务器的各种访问行为日志，进而AC将向管理者展示数据中心服务器流量组成、使用情况，各服务器的带宽占用细节等信息。

3.日志审计功能根据公安部82号令规定日志文件备查至少60天。能够记录访问学校内网用户每天的各种行为日志记录，并可直接打印和导出报表。

4.流量控制管理。P2P软件流量控制：针对目前P2P软件泛滥，完全影响网络使用带宽的情况。针对每一种P2P应用进行上行流量和下行流量的控制。

5.用户策略管理。为了解决对不用用户能够提供不同的访问权限，我们要求AC系统能够根据用户的角色设定访问权限。

（三）路由设计。

1.宿舍网络路由。宿舍网络的用户如果要访问校内网（172.21.2.x/24），那么将路由信息转发到校内AC系统中；如果访问IP不是校内网IP，那么就直接处外网。

2.无线网络路由。无限网络的用户如果要访问校内网（172.21.2.x/24），那么将路由信息转发到校内AC系统中；如果访问IP不是校内网IP，那么就直接处外网。

（四）域名解释设计。由于校内服务基本是基于域名来访问的，而无线网络和宿舍网络的路由器的路由选择是基于IP的。因此需要在无线网络和宿舍网络中增加一台DNS域名解析服务器，并将该域名解释服务器设为首选域名。将校内域名解释设置到这些DNS服务器上，例如：校内网络：web.省略，域名解释：172.21.2.2。如果用户一旦输入web.省略，解释的地址是172.21.2.2，通过本业务网络的路由进行选择，将用户信息转发给AC进行处理。

（五）用户登录设计。当客户端在浏览器中输入任意网址时，AC安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号，该用户才能够访问校内网络。为了结合学院数字化校园建设，由于我们将学院信息门户与AC系统做了对接。因此跳转的认证页面是学院信息门户页面。这样用户在登录信息门户后，同时会登录AC系统。

三、经验总结

与传统的一对一简单接入相比较，该方案实现了接入系统的统一规划部署，高效管理。实现了核心网络与业务网络的互联互通；用户能够方便的通过认证页面来登录校内系统，访问所需要的内部资源；管理方能够通过AC管理系统，设置用户的访问权限，审计用户的访问日志。

参考文献：

[1]李欣.互联网访问行为管理系统的研究[J].计算机时代,2008

[2]深圳深信服科技有限公司.中国上网行为管理蓝皮书[R].深圳:深信服科技有限公司,2010

[3]瞿燕英,基于Ipsec和SSL的VPN的网络系统的研究与应用[D].西安电子科技大学,2005