加强网络接入管理促进网络管理精细化

此文是一篇网络管理论文范文,网络管理相关论文范文文献,与加强网络接入管理促进网络管理精细化相关毕业论文范文。适合不知如何写网络管理及计算机及网络安全管理方面的风险管理专业大学硕士和本科毕业论文以及网络管理类开题报告范文和职称论文的作为写作参考文献资料下载。

摘 要 ：校园网络接入管理方案和综合布线系统、网络设备等有密切关系,针对校园的不同功能区可根据综合布线的情况实施不同网络接入方案,加强网络接入管理可以让网络管理向网络用户接入端口延伸,使得网络管理更加精细化.

关 键 词 ：校园网络 网络接入 网络管理精细化

中图分类号：G718.5 文献标识码：A 文章编号：1007-9416(2011)12-0200-02

网络接入管理是校园网络管理中重要内容,网络接入管理的方案受到网络综合布线方案、网络设备功能等多方因素影响,同时网络接入方案又将对网络运行管理和网络安全管理产生决定性的影响,网络接入管理要能有效定位网络用户,防止非法用户的接入,保证接入的用户以正确的身份访问网络资源.本文内容以笔者在无锡工艺职业技术学院校园网的网络接入管理的实践为基础,探讨如何通过加强校园网络接入管理对网络管理的精细化所起到的促进作用.

目前无锡工艺职业技术学院的校园网总体情况为采用星形以太网结构,在现有的31幢建筑中布设了网络点一万一千多个,其中用于教学及管理11幢、学生宿舍14幢,整个综合布线系统以计算机楼为中心,楼宇间采用光纤布线系统,教学和办公区域采用六类UTP综合布线,学生宿舍区采用超五类UTP布线系统,网络设备为华为和H3C系列交换系统,核心为Quidway S8512,汇聚交换机有Quidway S8508、Quidway S5624、H3C7506、H3C S5500,接入交换机主要有H3C E152、S3126C等,所有接入交换机都具有较强的端口管理和控制功能.学生宿舍区的有线网络为每人配备独立网络接入端口；办公区域按面积测算布置适量的信息点；每个教室布置四个信息点,其中两个为教室无线网络接入预留.整个校区全面布置了无线网络,建筑内有中国电信和中国移动的无线网络覆盖,室外公共区域由学院进行无线网络覆盖.所有的机房和电子阅览室均通过光纤接入校园网.

可供网络接入管理用的资源有：综合布线工程的资料即综合布线工程竣工图、房间端口和配线架对照表、设备间接入交换机信息表等；用户联网申请登记表（含用户填写的用户信息、计算机MAC地址等）.根据以上综合布线情况和网络设备情况,为了加强网络管理,在不同功能区实施了不同的网络接入管理方案.

1.学院办公区域的网络接入管理

办公区域的网络接入主要面向学院教职员工办公用电脑的网络接入,人员、位置和接入计算机相对固定,接入定位可从房间端口号――配线架表――交换机端口号进行定位,管理的难点在于由于办公区域的信息点的数量是按房间面积测算后进行布置的,可能在实际运行时不能满足实际需求而采用布置小型交换机扩充的办法,甚至布置室内无线路由器以满足手提电脑移动办公需求.根据以上的情况,我们采用接入交换机端口和接入计算机MAC地址、IP地址绑定的办法确定网络接入管理方案.具体工作有收集联网计算机MAC地址,分配固定的IP地址,接入交换机端口VLAN划分、MAC地址绑定、IP地址绑定,网关交换机上对用户IP地址和MAC地址实施绑定.如果在室内布置无线路由器,设置无线接入密钥,绑定IP地址和用户的MAC地址.

2.学生宿舍区域的有线网络接入管理

学生宿舍的网络接入的特点是数量大,分布广,虽然要求填写入网申请登记表,但所收集的信息可信度相对较差,从网络安全上考虑要防止布置“网中网”,尤其要防止布置无线路由器.根据学生宿舍的综合布线方案,由于学生宿舍的布线为每人配置独享网络接入端口,所以采用基于802.1X技术的网络接入认证的办法.由于学院接入交换机为H3C系列交换机,因此配套布置H3C的CAMS系统进行基于认证网络接入管理方案.

IEEE 802.1x称为基于端口的访问控制协议（Port based work access control protocol）.IEEE 802.1x协议的体系结构包括三个重要的部分：客户端、认证系统（设备端）、认证服务器（RADIUS）.客户端系统是一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程；认证系统通常为支持IEEE 802.1x协议的网络设备,可以允许通过EAPOL（Extensible Authentication Protocol over LAN）协议帧,保证客户端始终可以发出或接受认证.在认证通过的状态下端口打开,用于传递网络资源和服务.如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务.认证服务器存储有关用户的信息,网络接入设备信息等.整个认证过程如图1所示：

CAMS可进行对用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等进行绑定认证,增强用户认证的安全性,防止账号盗用和非法接入,可以禁止用户设置和使用代理服务器；可以限制终端用户使用多网卡和拨号网络.通过接入认证访问日志,可以明确知道具体的用户,在交换机的具体的端口,在具体的时间段,以具体的IP地址和MAC地址接入了网络,这对网络安全管理十分有效,同时也便于对用户网络接入问题的排查和解决.表1为用户日志信息：

从表1可以看出,采用CAMS认证接入管理方案可以从接入交换机端口进行严格的接入控制.但为了让学生上网帐户能在不同VLAN中漫游使用,一般不采用对用户帐户和IP地址绑定的操作,由于学生宿舍是每人配备独享网络端口,因此采用将IP地址和交换机端口的绑定操作,即为学生宿舍的网络端口配置固定的IP地址,将IP地址标示在网络端口的面板上,将网络面板上的IP地址和端口对应的交换机端口进行绑定操作.

3.机房、电子阅览室、多媒体教室用计算机网络接入管理

由于这些地方都是用于教学公共场所,因此可以实施基于接入交换机端口的固定IP地址、接入计算机的MAC地址的绑定和VLAN划分操作,同时布置机房管理信息系统,由机房管理信息系统管理用户,对计算机实现用户授权访问,并保留访问日志.

4.无线网络接入管理

由于无锡工艺职业技术学院的无线网络组成的多样性和开放性,为了加强网络安全管理,必须排除非法用户从无线网络接入校园网,因此,在校园网和无线网络的边界处布置反向代理接入认证网关,无线网络用户在接入无线网络后,需要从网络管理部门获得用户名和,通过反向代理接入认证,认证成功后,获取预分配的并同用户绑定的虚拟IP地址访问校园网.

通过以上的网络接入管理,网络管理人员可以对网络管理中以下管理要素进行有效关联：用户、接入交换机端口、上网地点、IP地址、MAC地址、上网时间段、VLAN等.通过对这些管理要素的准确关联,可使网络管理从网络核心、网络汇聚向网络用户接入端口延伸,通过加强网络接入管理,能够准确定位网络接入的地点,使得网络管理中用户、IP地址和MAC地址三者之间的关系的唯一性,使得网络接入问题的排查解决和网络安全管理更加有效和简明.

总之,网络接入管理方案受限于网络综合布线方案和网络接入设备功能,在条件允许下,通过做一定的基础性工作,能使网络接入管理方案更加完善,使得网络管理的精细化得到提升,使得网络安全管理更加有的放矢,使网络能更好服务学校的教学、管理和学生的学习及日常生活