无锡广电局域网统一认证管理系统建设
开篇:润墨网以专业的文秘视角,为您筛选了一篇无锡广电局域网统一认证管理系统建设范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着局域网应用普及和重要性的提升,网络运行效率和安全要求愈来愈高。该文结合无锡广电实际,介绍了局域网统一认证管理平台、用户准入策略、逃生舱建设等局域网统一认证管理系统方案,通过认证管理系统实现网络运行的安全高效和科学管理。
关键词:统一认证管理;iMC;EAD;dot1X
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)29-7125-02
The Construction of the System of LAN Unified Authentication Management of Wuxi radio and Television Group
LIU Ye, XU Chuang-yi
(The Technology center of Wuxi Radio and Television Group 214061 China)
Abstract: The summary: As the application of the LAN and the improvement of the importance, the efficiency and security of the internet have been more and more important. This article is aimed to introduce the programs of the system of LAN unified authentication management associated with the current situation of Wuxi radio and Television Bureau such as LAN unified authentication management platform, the strategy of user access, construction of escape cabin etc. By using the system of LAN unified authentication management to achieve safe, efficient, and scientific management of the internet.
Key words: unified authentication management; iMC; EAD; dot1X
无锡广电局域网从1998年开始建设启用,期间经过多次升级改造,目前局域网用三级网络模式,即核心层、汇聚层和接入层,采用6台核心交换机,70台接入交换机,设备均为H3C公司产品,在线人数800人左右,提供互联网接入、OA、媒资检索、新闻文稿、IP收录等网络服务。随着使用网络人数增加和网络使用要求的提高, 客户端私自配置IP地址导致IP地址冲突、网络带宽利用率不高导致内外网传输文件时断时续、用户的网络安全意识不强导致感染网络病毒和整个Vlan拥塞、对存在问题的PC接入局域网的控能力较为薄弱等问题日益严重[1]。为摆脱“硬件不软,软件不硬”的局面,我们实施了无锡广电局域网统一认证管理系统建设。
1 统一认证系统方案
无锡广电局域网统一认证管理选用终端PC接入的合法性和安全性进行甄别的方案,符合入网要求的便提供局域网接入服务,否则,系统拒绝用户接入网络。方案的基础是H3C智能管理中心(iMC),该中心中有一个端点准入防御(EAD)安全组,通过iNode智能客户端,利用dot1x上传用户信息至安全策略服务器进行用户身份认证,通过用户认证后再对用户使用计算机系统安全状态进行检查,全部符合安全要求,才能接入局域网。认证过程如图1所示。
利用EAD的相关功能,结合无锡广电传媒中心局域网使用情况,我们制定了对使用局域网用户采取用户和IP地址绑定策略、对接入的PC其防病毒软件和病毒定义进行检测、对接入PC的系统关键补丁进行检测等三项准入策略。在满足全部3项准入策略的PC方能接入局域网,不满足的PC将被定向到相应的服务进行升级,待升级完毕符合要求后方能接入局域网。
同时对与IP收录、素材上传设备共用一台接入交换机的其它PC进行流量控制,当其用户流量超过所规定伐值,将自动断网同时告知断网原因,实现网络流量管理。
2 统一认证支撑平台
考虑iCM和EAD对内存较高的要求,统一认证支撑平台服务器为双 24线程CUP、32GB内存、硬盘采用RAID10+Hotspare,并部署微软最新服务器操作系统windows 2008 64位标准和最新数据库SQL 2008 64位企业版。服务器的4块网卡和交换机端口之间建立4Gb的链路聚合组,提高iMC平台的日常使用带宽。系统架构如图2所示[2]。
3 有线用户认证部署
有线局域网用户根据方案确定的用户名和IP地址进行一一绑定等准入策略认证入网。然而,无锡广电网络业务的不断增加,用户呈现一定的多样性,考虑如下情况用户进行,我们对有线局域网用户认证部署进行调整。
接PC的交换机端口启用dot1x认证服务,接独立网络应用设备例如网络打印机、网络存储等的交换机端口不启用dot1x服务[3]。
疏理用户,疏理出使用到多个IP地址用户,例如办公室终端和演播室终端。将此类用户设置成一个用户名对应多个IP地址。
修改准入安全策略,将病毒定义有效期由原来的3天更改为7天,避免PC准入机制要求就过高,特别是防病毒定义要求过高,导致很多用户在使用中频繁掉线。将无网络流量自动掉线的时间由30分钟内调整为120分钟,避免和减少用户的无故障掉线。
4 无线用户认证部署
根据方案规划,无线设备上网也要用inode客户端通过dot1x进行认证。
在部署过程中发现,使用无线网络的设备是笔记本电脑可以进行谁,但使用无线服务的掌上设备和智能手机,如iPad、iPhone等,此类设备上无法安装inode客户端。
经过反复试验和测试,我们将原先的iNode+dot1x的论证方式更改为三层portal+用户名的方式认证,利用无线控制器和iMC的联动配合实现规范无线管理和应用便利的平衡点,认证流程如图3所示。无线接入用户接入局域网首先通过AP上联到无线控制器AC,再由AC将用户强制登陆到iMC认证页面,用户只有通过认证后方才有权利访问局域网,否则AC将自动切断用户的各类连接请求,从而实现对无线用户认证的管理。
5 逃生舱建设
随着统一认证系统的投入使用,局域网所有用户都需依赖于此系统,不经过此系统认证就无法接入局域网,意味着最基本的网络应用都无法完成。整个认证系统的稳定性和可靠性显得尤为总要,虽然我们已经将系统平台搭建的比较健壮,但是一旦操作系统出现故障,iMC应用出现异常,将对局域网正常应用造成较大影响。
为此,我们引入“逃生舱”的概念,即部署一台装有逃生工具的iMC旁路服务器,该服务器通过实时监控IMC应用服务来判断服务运行状态。当出现诸如进程异常、数据库服务停止、性能下降等故障,导致用户无法处理认证请求时,逃生工具暂时替代iMC管理请求报文以保障用户的业务不中断。逃生工具不验证用户信息与用户口令,不做绑定、授权处理,也不启用安全认证,对于请求报文都直接回应成功。消除整个系统中最关键的单点故障,提高系统的健壮性和稳定性。
6 结束语
无锡广电局域网统一认证管理系统上线使用,随意更改IP地址的现象基本杜绝,网络应用带宽提高了20%,由各种网络病毒引起的带宽波动降低了34%,局域网的利用率全面提升,广电局域网管理更加科学、更加高效,有力地保障广电局域网各项业务的开展。
参考文献:
[1] 梁宇烨.广州电视台全台业务网络互联互通一体化改造[J].广播电视信息,2009(5):93-94.
[2] 迪尤逊,董明.SQLServer2008基础教程[M].北京:人民邮电出版社,2009(5).
[3] 江小云.企业网络信息建设中网络安全的探讨[J].微计算机信息,2007,23(8):69-71.