<menuitem id="cxwpg"></menuitem>
    <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
  1. <option id="cxwpg"></option>
    <div id="cxwpg"><td id="cxwpg"></td></div>
        1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
        2. <track id="cxwpg"><span id="cxwpg"></span></track>
          <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>
          返回首頁
          當前位置: 主頁 > 其他教程 > 電腦教程 >

          扁平網絡環境下實現Eduroam的溯源審計

          時間:2018-10-16 12:54來源:Office教程學習網 www.12042044.com編輯:麥田守望者

          Eduroam的實現,很好地解決了高校教育機構之間跨區域學術交流,所有已加入Eduroam聯盟的機構,用戶可以使用原單位提供的網絡賬號,在全球范圍內連接已加入Eduroam機構的無線網絡。Eduroam很好地滿足了授權用戶在成員教育機構可以安全暢享無線網絡,從而減輕了訪問高校網絡的工作,提高了各項辦事效率。目前,歐美國家和日本幾乎所有大學都是Eduroam成員,我國的跨域無線漫游技術還處于發展階段,但是隨著國內外高校的交流增多,提供便利的網絡接入、加入Eduroam聯盟將是大勢所趨。

            認證機制

            Eduroam是由歐洲研究與教育協會提出的,一種應用了802.1x協議的專為研究和教育機構開發的國際無線漫游接入認證服務。Eduroam認證機制是在全球范圍內為加入的機構建立了Radius代理服務器的樹形結構,該架構主要包括下面幾部分:頂級認證服務器(TLR)、聯盟級的認證服務器(FLRS)、校園級認證服務器、級聯認證服務器、身份管理系統。用戶在連接到訪機構的無線網絡時,身份認證信息將從到訪機構的認證服務器通過上述的樹形架構傳送用戶認證信息到所在機構的認證服務器中進行身份的識別。具體認證過程如圖1所示。

            1.當來自機構B的用戶在機構A連接無線網時,發起Eduroam網絡認證請求,機構B用戶的認證信息含有機構B的域名通過無線AP發送到Authenticator,啟動802.1x認證過程。

            2.交換機將請求信息發送到機構A認證服務器,對認證信息進行判斷,將認證請求轉發到聯盟級認證服務器以及頂級認證服務器,對訪問請求信息進行判斷,如果@機構B域名屬于聯盟用戶,轉發到機構B認證服務器。

            3.機構B認證服務器對請求進行認證,認證完畢將認證信息通過Radius代理服務器轉發回機構A認證服務器。

            4.機構A將結果轉發到Authenticator。Authenticator對機構B用戶授權無線網絡。

            使用特色

            訪問學者和訪問學生日漸增加,國際國內相互間交流非常頻繁,學校交換生數量逐年遞增,校內師生國內外開會學習時使用網絡的需求也在日益增加,部署Eduroam無線漫游認證可以很好的解決以上問題,同時,我們學校根據學校實際情況,為更好地實現網絡安全和審計,搭建了扁平化網絡架構。

            扁平化網絡架構設計

            當前很多學校網絡采用三層網絡架構,即接入-匯聚-核心。接入至匯聚為二層鏈路,匯聚至核心為三層鏈路,為了確保終端用戶的安全接入以及網絡的穩定運行,往往在接入與匯聚設備上部署特別多的完全策略,并且盡可能地簡化核心的配置,確保核心高速轉發流量(包括正常流量、異常攻擊流量、非法接入的流量)。同時,校園網采用上述粗放型的網絡架構設計,網絡仍然存在無法實現差異化服務,簡單互通,無法針對不同群體用戶實現不同的服務;用戶之間互相影響,網絡中的攻擊泛濫;無序使用,訪問過程沒有完整的記錄、審計和基于用戶的控制等諸多問題。

            結合上述問題,經過多方調研和探討,決定采用扁平化網絡架構設計來解決傳統校園網的問題。全新的網絡業務處理流程如圖2所示,可以很好地定位和溯源網絡用戶,解決了安全審計等問題。

            對于學校未來的網絡發展,我們為學校引入了IPoE的接入方式。IPoE是一種新型的接入方式,后臺BAS在給前端每一個接入用戶分配IP地址時,BAS都將配合后臺的Radius進行相關DHCP Option信息認證,然后會在內部生成一個針對此用戶的邏輯通道DSI(Dynamic ServiceInterface),并可以配合認證結果在此邏輯DSI接口上下發相應的用戶策略,從而實現差異化的服務和精細化的管理。每個用戶的DSI通道完全獨立和隔離,換個角度而言這實際上是:“賬號-IP地址-MAC地址-DSI session ID”的綁定,任何盜用IP甚至盜用賬號的問題將不復存在,真正實現了PUPSPV(Per User Per ServicePer VLAN)。

            SSID使用隱藏式發布

            Eduroam的SSID是隱藏式的發布,并沒有對全校師生進行公開。只有涉外的部門掌握Eduroam的使用方法,通知官方訪問團或交換生使用,訪客信息可控。Eduroam只是針對于來校的訪問學者和訪問學生以及到其他高校訪問的我校師生使用,并不需要面向全校師生,隱藏式發布同時可以使網絡更加的安全。因此,Eduroam的SSID是隱藏式的發布。

            在Eduroam審計上的思考

            采用扁平化網絡結構設計,學校實現了“賬號-IP地址-MAC地址-DSIsession ID”的關聯,通過接入端口的采集信息,可以查詢接入用戶獲得的IP地址、終端MAC、上線準確的時間、甚至從哪個設備來、出口在哪里,這樣利于接入定位。其次,還可以通過計費系統進行數據的采集信息,可以記錄IP、用戶的賬號及上線的時間等。最后,通過出口日志采集到的信息與接口采集信息、計費系統采集信息關聯進行查詢,最終能得到哪一個用戶、在什么時候、從哪兒接入網絡最終去了哪里,更有效地實現了對網絡的監控,可以分層次、分等級的多維梯次審計。另外,校園網絡結構的不同,對Eduroam的服務支持也會有所差異,我們的網絡結構支撐審計策略。

            Eduroam展現的是一個高校的情懷,不應拒絕,而應敞開懷抱,同時,也是高校意識形態和辦學理念的一種體現形式,基于Eduroam無線漫游認證很好地為高校師生的訪學提供網絡資源。本文主要針對學校Eduroam的部署和特點的考慮做了闡述,用戶的使用體驗是Eduroam得以發展壯大的基本前提,分層級、分等級的多維梯次的審計,能更有效地控制訪客的信息。(責編:楊燕婷)

            (作者單位為北京建筑大學)

          本文刊載于《中國教育網絡》2018年5月刊

          ------分隔線----------------------------
          標簽(Tag):扁平網絡環境 Eduroam的溯源審計
          ------分隔線----------------------------
          推薦內容
          猜你感興趣
          内蒙古11选5计划
          <menuitem id="cxwpg"></menuitem>
            <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
          1. <option id="cxwpg"></option>
            <div id="cxwpg"><td id="cxwpg"></td></div>
                1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
                2. <track id="cxwpg"><span id="cxwpg"></span></track>
                  <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>
                  <menuitem id="cxwpg"></menuitem>
                    <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
                  1. <option id="cxwpg"></option>
                    <div id="cxwpg"><td id="cxwpg"></td></div>
                        1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
                        2. <track id="cxwpg"><span id="cxwpg"></span></track>
                          <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>