<menuitem id="cxwpg"></menuitem>
    <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
  1. <option id="cxwpg"></option>
    <div id="cxwpg"><td id="cxwpg"></td></div>
        1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
        2. <track id="cxwpg"><span id="cxwpg"></span></track>
          <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>
          返回首页
          当前位置: 主页 > 其他教程 > 电脑教程 >

          扁平网络环境下实现Eduroam的溯源审计

          时间:2018-10-16 12:54来源:Office教程学习网 www.12042044.com编辑:麦田守望者

          Eduroam的实现£¬很好地解决了高校教育机构之间跨区域学术交流£¬所有已加入Eduroam联盟的机构£¬用户可以使用原单位提供的网络账号£¬在全球范围内连接已加入Eduroam机构的无线网络¡£Eduroam很好地满足了授权用户在成员教育机构可以安全畅享无线网络£¬从而减轻了访问高校网络的工作£¬提高了各项办事效率¡£目前£¬?#35775;?#22269;家和日本几乎所有大学都是Eduroam成员£¬我国的跨域无线漫游技术还处于发展阶段£¬但是随着国内外高校的交流增多£¬提供便利的网络接入¡¢加入Eduroam联盟将是大势所趋¡£

          ¡¡¡¡?#29616;?#26426;制

          ¡¡¡¡Eduroam是由欧洲研究与教育协会提出的£¬一种应用了802.1x协议的专为研究和教育机构开发的国际无线漫游接入?#29616;?#26381;务¡£Eduroam?#29616;?#26426;制是在全球范围内为加入的机构建立了Radius代理服务器的树形结构£¬该架构主要包括下面几部分£º顶级?#29616;?#26381;务器£¨TLR£©¡¢联盟级的?#29616;?#26381;务器£¨FLRS£©¡¢校园级?#29616;?#26381;务器¡¢级联?#29616;?#26381;务器¡¢身份管理系统¡£用户在连接到访机构的无线网络时£¬身份?#29616;?#20449;息将从到访机构的?#29616;?#26381;务器通过上述的树形架构传送用户?#29616;?#20449;息到所在机构的?#29616;?#26381;务器中进行身份的识别¡£具体?#29616;?#36807;程如图1所示¡£

          ¡¡¡¡1.当来自机构B的用户在机构A连接无线网时£¬发起Eduroam网络?#29616;?#35831;求£¬机构B用户的?#29616;?#20449;息含有机构B的域名通过无线AP发送到Authenticator£¬启动802.1x?#29616;?#36807;程¡£

          ¡¡¡¡2.交换机将请求信息发送到机构A?#29616;?#26381;务器£¬对?#29616;?#20449;息进?#20449;?#26029;£¬将?#29616;?#35831;求转发到联盟级?#29616;?#26381;务器以及顶级?#29616;?#26381;务器£¬对访问请求信息进?#20449;?#26029;£¬如果@机构B域名属于联盟用户£¬转发到机构B?#29616;?#26381;务器¡£

          ¡¡¡¡3.机构B?#29616;?#26381;务器对请求进行?#29616;¤£¬È现?#23436;毕将?#29616;?#20449;息通过Radius代理服务器转发回机构A?#29616;?#26381;务器¡£

          ¡¡¡¡4.机构A将结果转发到Authenticator¡£Authenticator对机构B用户授权无线网络¡£

          ¡¡¡¡使用特色

          ¡¡¡¡访问学者和访问学生日渐增加£¬国?#20351;?#20869;相互间交流非常频繁£¬学校交换生数量逐年递增£¬校内师生国内外开会学习时使用网络的需求也在日益增加£¬部署Eduroam无线漫游?#29616;?#21487;以很好的解决以上问题£¬同时£¬我们学校根据学校实?#26159;?#20917;£¬为更好地实现网络安全和审计£¬搭建了扁平化网络架构¡£

          ¡¡¡¡扁平化网络架构设计

          ¡¡¡¡当前很多学校网络采用三层网络架构£¬即接入-汇聚-核心¡£接入至汇聚为二层链路£¬汇聚至核心为三层链路£¬为了?#32321;?#32456;端用户的安全接入以及网络的稳定运?#26657;?#24448;往在接入与汇聚设备上部署特别多的完全策略£¬并且尽可能地简化核心的配置£¬?#32321;?#26680;心高速转发流量£¨包括正常流量¡¢异常攻击流量¡¢非法接入的流量£©¡£同时£¬校园网采用上述粗?#21028;?#30340;网络架构设计£¬网络仍然存在无法实现差异化服务£¬简单互通£¬无法针对不同群体用户实现不同的服务£»用户之间互相影响£¬网络中的攻击泛?#27169;?#26080;序使用£¬访?#20351;?#31243;没有完整的记录¡¢审计和基于用户的控制等诸多问题¡£

          ¡¡¡¡结合上述问题£¬经过多方调研和?#25945;à?#20915;定采用扁平化网络架构设计来解决传统校园网的问题¡£全新的网络业务处理流程如图2所示£¬可以很好地定位和溯源网络用户£¬解决了安全审计等问题¡£

          ¡¡¡¡对于学校未来的网络发展£¬我们为学校引入了IPoE的接入方式¡£IPoE是一种新型的接入方式£¬后台BAS在给前端每一个接入用户分配IP地址时£¬BAS都将配合后台的Radius进行相关DHCP Option信息?#29616;¤£?#28982;后会在内?#21487;?#25104;一个针?#28304;?#29992;户的逻辑通道DSI£¨Dynamic ServiceInterface£©£¬并可以配合?#29616;?#32467;果在此逻辑DSI接口上下发相应的用户策略£¬从而实现差异化的服务和精细化的管理¡£每个用户的DSI通道完全独立和隔离£¬换个角度而言这实际上是£º“账号-IP地址-MAC地址-DSI session ID”的绑定£¬任何盗用IP甚至盗用账号的问题将不复存在£¬真正实现了PUPSPV£¨Per User Per ServicePer VLAN£©¡£

          ¡¡¡¡SSID使用隐藏式发布

          ¡¡¡¡Eduroam的SSID是隐藏式的发布£¬并没有对全校师生进行公开¡£只有涉外的部门掌握Eduroam的使用方法£¬通知官方访问团或交换生使用£¬访客信息可控¡£Eduroam只是针对于来校的访问学者和访问学生以及到其他高校访?#23454;?#25105;校师生使用£¬并不需要面向全校师生£¬隐藏式发布同时可以使网络更加的安全¡£因此£¬Eduroam的SSID是隐藏式的发布¡£

          ¡¡¡¡在Eduroam审计上的思考

          ¡¡¡¡采用扁平化网络结构设计£¬学校实现了“账号-IP地址-MAC地址-DSIsession ID”的关联£¬通过接入端口的采集信息£¬可以查询接入用户获得的IP地址¡¢终端MAC¡¢上线准确的时间¡¢甚至从哪个设备来¡¢出口在哪里£¬这样利于接入定位¡£其次£¬还可以通过计费系统进行数据的采集信息£¬可以记录IP¡¢用户的账号及上线的时间等¡£最后£¬通过出口日志采集到的信息与接口采集信息¡¢计费系统采集信息关联进行查询£¬最终能得到哪一个用户¡¢在什么时候¡¢从哪儿接入网络最终去了哪里£¬更有效地实现了对网络的监控£¬可以分层次¡¢分等级的多维梯次审计¡£另外£¬校园网络结构的不同£¬对Eduroam的服务支持?#19981;?#26377;所差异£¬我们的网络结构支撑审计策略¡£

          ¡¡¡¡Eduroam展现的是一个高校的情?#24120;?#19981;应拒绝£¬而应敞开怀抱£¬同时£¬也是高校意识形态和办学理念的一种体现?#38382;„¦?#22522;于Eduroam无线漫游?#29616;?#24456;好地为高校师生的访学提供网络资源¡£本文主要针对学校Eduroam的部署和特点的考虑做了阐述£¬用户的使用体验是Eduroam得以发展壮大的基本前提£¬分层级¡¢分等级的多维梯次的审计£¬能更有效地控制访客的信息¡££¨责编£º杨燕婷£©

          ¡¡¡¡£¨作者单位为?#26412;?#24314;筑大学£©

          本?#30446;?#36733;于¡¶中国教育网络¡·2018年5月刊

          ------分隔线----------------------------
          标签(Tag):扁平网络环境 Eduroam的溯源审计
          ------分隔线----------------------------
          推荐内容
          猜你?#34892;?#36259;
          ÄÚÃɹÅ11Ñ¡5¼Æ»®
          <menuitem id="cxwpg"></menuitem>
            <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
          1. <option id="cxwpg"></option>
            <div id="cxwpg"><td id="cxwpg"></td></div>
                1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
                2. <track id="cxwpg"><span id="cxwpg"></span></track>
                  <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>
                  <menuitem id="cxwpg"></menuitem>
                    <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
                  1. <option id="cxwpg"></option>
                    <div id="cxwpg"><td id="cxwpg"></td></div>
                        1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
                        2. <track id="cxwpg"><span id="cxwpg"></span></track>
                          <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>