國內(nèi)高等院校的校園網(wǎng)建設(shè)飛速發(fā)展，多數(shù)學(xué)校已基本完成教學(xué)、科研、圖書館等部門的網(wǎng)絡(luò)建設(shè)。校園網(wǎng)建設(shè)的下一個重點是學(xué)生宿舍網(wǎng)。目前學(xué)生宿舍聯(lián)網(wǎng)已成為迫切的需求，是校園網(wǎng)不可缺少的組成部分，更是高等院校信息化水平的一個重要標(biāo)志。

但是學(xué)生宿舍網(wǎng)作為校園網(wǎng)重要組成部分，與校園網(wǎng)其他部分相比，具有非常多的要求，也是校園網(wǎng)建設(shè)和管理中比較難的部分，是值得探討和研究的問題。

與校園網(wǎng)其他部分相比，宿舍網(wǎng)的主要特點有：

(1)信息點多，網(wǎng)絡(luò)規(guī)模大。一所高校的學(xué)生公寓宿舍往往要容納七八千甚至數(shù)萬學(xué)生，學(xué)生公寓宿舍網(wǎng)絡(luò)建設(shè)中需對上萬個節(jié)點進行管理，這是園區(qū)網(wǎng)其他部分不會出現(xiàn)的。 (2)網(wǎng)絡(luò)流量峰值流量非常明顯，應(yīng)用豐富，網(wǎng)絡(luò)負(fù)載重，容易造成網(wǎng)絡(luò)阻塞。

(3)網(wǎng)絡(luò)安全問題非常突出。由于學(xué)生對于計算機的維護情況差別比較大，往往病毒比較猖獗；對于校園網(wǎng)重要網(wǎng)段和外網(wǎng)的攻擊屢見不鮮，我們校園網(wǎng)曾經(jīng)由于學(xué)生對外發(fā)起攻擊，兩次被外網(wǎng)用戶向中國教育科研網(wǎng)投訴，十分被動。

(4)可網(wǎng)管性要求較高。為了給學(xué)生提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)，滿足廣大學(xué)生學(xué)習(xí)和生活需要，同時避免濫用網(wǎng)絡(luò)帶來的危害，網(wǎng)絡(luò)管理的功能要求非常突出。

(5)網(wǎng)絡(luò)交換設(shè)備運行環(huán)境差，接人設(shè)備端口密度高，用戶設(shè)備質(zhì)量良莠不齊。

(6)由于傳統(tǒng)的以太網(wǎng)沒有提供相應(yīng)的安全防范機制，任何用戶都能夠不受控制地進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源，而且對于假冒IP地址和MAC地址的手段，沒有提供有效的控制和解決辦法，使得宿舍網(wǎng)的管理難度非常大。

對于網(wǎng)絡(luò)管理者來說，校園網(wǎng)內(nèi)部學(xué)生宿舍網(wǎng)是難管理的，也是管理成本的。有一些學(xué)校干脆把學(xué)生宿舍網(wǎng)直接轉(zhuǎn)給了一些社會ISP經(jīng)營，但是這樣實際上學(xué)生宿舍網(wǎng)完全不在學(xué)校的控制掌握之中，對于學(xué)生面對信息化大潮正確使用網(wǎng)絡(luò)，消除網(wǎng)絡(luò)的負(fù)面影響是有百害而無一利的，是完全不可取的，而且在學(xué)生宿舍區(qū)建設(shè)計算機網(wǎng)絡(luò)的目的實際上是要把基于校園網(wǎng)的數(shù)字校園延伸到學(xué)生宿舍，如果學(xué)生宿舍網(wǎng)外包經(jīng)營，那么就不能夠建設(shè)真正的數(shù)字校園，即使在學(xué)生宿舍網(wǎng)和校園網(wǎng)之間互連，也很難保證學(xué)生宿舍網(wǎng)對城域網(wǎng)、甚至中國教育科研網(wǎng)的完全訪問，那么就很難做到基于城域網(wǎng)或者中國教育科研網(wǎng)的資源共享。因此，筆者認(rèn)為，學(xué)生宿舍網(wǎng)的建設(shè)和管理，必須在校園網(wǎng)的統(tǒng)籌之下進行，必須作為校園網(wǎng)的一部分建設(shè)，必須保證學(xué)生宿舍網(wǎng)可以成為數(shù)字校園的基礎(chǔ)網(wǎng)絡(luò)設(shè)施平臺的一部分。

我們在考察、調(diào)研天津商學(xué)院校園網(wǎng)學(xué)生宿舍網(wǎng)解決方案的時候，也評測了不少的網(wǎng)絡(luò)產(chǎn)品，甚至放到實際應(yīng)用環(huán)境中測試，本著先保證高可靠性，再考慮高性能的基本原則，終選擇了國產(chǎn)港灣交換機作為學(xué)生宿舍網(wǎng)的網(wǎng)絡(luò)交換設(shè)備，主要原因是：

(1)港灣交換機有良好的網(wǎng)絡(luò)管理功能，能夠滿足校園網(wǎng)對于學(xué)生宿舍網(wǎng)的網(wǎng)絡(luò)管理功能。

(2)港灣交換機是為小區(qū)寬帶設(shè)計的以太網(wǎng)交換機，學(xué)生宿舍區(qū)不同于校園網(wǎng)的其他節(jié)點，有一些特性與小區(qū)類似，可以充分發(fā)揮港灣交換機的網(wǎng)絡(luò)管理功能。

(3)港灣交換機性價比比較高，在國產(chǎn)交換機屬于產(chǎn)品，性能，運行穩(wěn)定性好。

(4)獨有的H．Link命令集，使得網(wǎng)絡(luò)安全系數(shù)比較高。

這批設(shè)備替換原有學(xué)生宿舍網(wǎng)中使用的非網(wǎng)管交換機后，經(jīng)過實際運行近一年以來，取得良好的效果。我們現(xiàn)在學(xué)生宿舍網(wǎng)的連接環(huán)境如圖1所示。

其中CISCO Catalyst 6509交換機為校園網(wǎng)的交換機，學(xué)生宿舍區(qū)的主交換機選擇港灣的Flex24三層交換機，接人交換機選擇可以簡單網(wǎng)管的港灣U1016交換機。

在使用的過程中，我們不斷總結(jié)經(jīng)驗教訓(xùn)，對于校園網(wǎng)學(xué)生宿舍網(wǎng)絡(luò)管理模式有一些理解，供大家參考，我們認(rèn)為校園網(wǎng)學(xué)生宿舍網(wǎng)的網(wǎng)絡(luò)管理模式可以用圖2表示。

圖2所示的網(wǎng)絡(luò)管理基本模式包含以下內(nèi)容：

(1)學(xué)生宿舍網(wǎng)使用自己單獨的交換機，采用路由方式與校園網(wǎng)的交換機連接，學(xué)生宿舍網(wǎng)成為自成體系的一個網(wǎng)絡(luò)，再與校園網(wǎng)連接，地保障了校園網(wǎng)關(guān)鍵應(yīng)用和關(guān)鍵用戶的正常使用。

(2)使用防火墻來保護校園網(wǎng)的主干和重要用戶：校園網(wǎng)與傳統(tǒng)的企業(yè)網(wǎng)的不同就是大量的網(wǎng)絡(luò)安全隱患來自內(nèi)部，量的、危險的攻擊都來自內(nèi)部，尤其是學(xué)生宿舍網(wǎng)，因此使用防火墻來解決這個問題，首先是使用防火墻防護來自校園網(wǎng)以外的攻擊，其次是將學(xué)生宿舍區(qū)也作為外網(wǎng)加以防護，這樣在合理的安全策略的配置下，可以盡可能減少甚至消除學(xué)生宿舍區(qū)對于校園網(wǎng)重要網(wǎng)段和外部網(wǎng)絡(luò)的攻擊，提高網(wǎng)絡(luò)安全性能。

(3)對于目前使用的港灣交換機采用MAC地址和IP地址的綁定策略；港灣的U1016交換機不支持端口綁定MAC地址，所以只在Flex24的相應(yīng)端口做MAC地址和IP地址的綁定。這樣，一個非法的地址，多只能在15臺計算機的小網(wǎng)絡(luò)內(nèi)部興風(fēng)作浪了(即一臺U1016交換機上)。當(dāng)然，MAC地址和IP地址的綁定還是有很多局限性的，還需要更多的安全策略。

(4)802．1X。使用802．1X，與其他的網(wǎng)絡(luò)安全策略結(jié)合，是實現(xiàn)學(xué)生宿舍網(wǎng)網(wǎng)絡(luò)管理基本模式的，下面我們還要詳細(xì)探討。

(5)學(xué)生宿舍網(wǎng)的管理與校園網(wǎng)的統(tǒng)一身份相整合。校園網(wǎng)的統(tǒng)一身份一般會使用目錄服務(wù)，將學(xué)生宿舍網(wǎng)的管理與目錄進行整合，就可以通過目錄的管理，賦予學(xué)生應(yīng)當(dāng)享有的網(wǎng)絡(luò)服務(wù)權(quán)限。這是保證學(xué)生宿舍網(wǎng)可以成為數(shù)字校園的基礎(chǔ)網(wǎng)絡(luò)設(shè)施平臺的一部分的關(guān)鍵，但不是本文主要討論的問題，因此不做過多探討。

下面我們主要討論一下我們學(xué)生宿舍網(wǎng)管理模式的-1EEE802．1X協(xié)議：

IEEE802．1X協(xié)議是標(biāo)準(zhǔn)化的符合IEEE802協(xié)議集的局域網(wǎng)接人控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議(Port Base Network Access Control Protoc01)，能夠在利用IEEE802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)用戶的和授權(quán)手段，達(dá)到接受合法用戶接人，保護網(wǎng)絡(luò)安全的目的。在802．1X協(xié)議中，必備的3個元素是Supplicant(客戶端)、Authenticator(系統(tǒng))、Authentication Server(服務(wù)器)。

802．1X的基本過程包括以下6個步驟，

(1)用戶上網(wǎng)時，打開802．1X客戶端程序，輸入用戶名和口令，發(fā)起連接。此時，客戶端程序(Supplicant)將發(fā)出"請求"的報文給交換機(Authenticator)，啟動過程。

(2)交換機收到"請求"的數(shù)據(jù)幀后，將發(fā)出一個請求幀，要求用戶的客戶端程序?qū)⒂脩裘麄魉蜕蟻怼?(3)客戶端程序響應(yīng)交換機的請求，將"用戶名"信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包(1P數(shù)據(jù)包)處理后送給服務(wù)器。

(4)服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的"用戶名"信息后，將該信息與數(shù)據(jù)庫中的"用戶名"表項相比對，找到該"用戶名"對應(yīng)的"口令"。用隨機生成一個加密字對他進行加密處理(MD5加密算法)，同時也將此加密字傳送給交換機，由交換機轉(zhuǎn)傳給客戶端程序。

(5)客戶端程序收到由交換機轉(zhuǎn)傳來的加密字后，用該加密字對"口令"部分進行加密處理，并通過交換機轉(zhuǎn)傳給服務(wù)器。 (6)服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認(rèn)為該用戶為合法用戶，反饋通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則反饋失敗的消息，并保持交換機的端口的關(guān)閉狀態(tài)，只允許信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

IEEE802．1X協(xié)議是非常可靠的：

(1)在客戶端與服務(wù)器交換口令信息的時候，沒有將口令明文直接送到網(wǎng)絡(luò)上進行傳輸，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ稀?/P>

(2)802．1X協(xié)議中，規(guī)定了對于已經(jīng)通過進入網(wǎng)絡(luò)系統(tǒng)的用戶進行重新的一個機制，從策略上進一步保證了接人用戶的合法性，也避免了由于用戶的終端設(shè)備死機，長期占用一個開放的端口而導(dǎo)致的一些安全上的漏洞。

(3)對于可能發(fā)生的其他一些異常情況，802．1X協(xié)議也進行了相應(yīng)的定義。如與端口相對應(yīng)的MAC地址出現(xiàn)故障，用戶終端設(shè)備故障而未響應(yīng)交換機發(fā)出的重信息，用戶終端設(shè)備與交換機之間的物理連接斷開等，都將導(dǎo)致用戶在此后對網(wǎng)絡(luò)資源進行召問時需要用戶自己發(fā)起重新進行、授權(quán)操作。從而保證網(wǎng)絡(luò)系統(tǒng)的安全，可靠。 我們使用港灣交換機作為學(xué)生宿舍網(wǎng)的交換茜備，港灣交換機的802．1X解決方案中，采用的是基3MAC地址的端口訪問控制模式。因為接人級交換期U1016仍然是港灣公司的產(chǎn)品，實現(xiàn)MAC地址+端口+IP地址的綁定。通過港灣網(wǎng)絡(luò)交換機Flex21與港灣網(wǎng)絡(luò)接人交換機U1016之間H．Link協(xié)議的交互，對接人用戶所使用的接人交換機的端口信息進行交換和控制，達(dá)到將端口作為綁定元素的目的。從而實現(xiàn)更為嚴(yán)格的安全保證和安全控制。

在使用802．1X協(xié)議的系統(tǒng)中，用戶口令失竊和口令擴散的情況非常多，我們通過在服務(wù)器上限定同時接人具有同一用戶名和口令的信息的用戶的數(shù)量來達(dá)到控制用戶非法接入網(wǎng)絡(luò)的目的。 我們是根據(jù)使用港灣交換機的體會來討論學(xué)生宿舍網(wǎng)的基本管理模式的，實際上這個結(jié)論并不僅限于港灣交換機，對于業(yè)界主流的網(wǎng)管型交換機，一般都可以按照這個模式實施。

我們結(jié)合本職工作，僅僅從技術(shù)層面討論了學(xué)生宿舍網(wǎng)的基本管理模式，疏漏與管見之處在所難免，敬請大家指正!同時只有多項技術(shù)和相關(guān)的管理規(guī)定有機結(jié)合，才能構(gòu)建一個真正安全、可靠的網(wǎng)絡(luò)環(huán)境，才能夠真正管理好學(xué)生宿舍網(wǎng)。