龔文濤， 郎穎瑩

(中國石油大學(xué)(華東) 信息化建設(shè)處1,教育發(fā)展中心2, 青島 266580)

0 引言

隨著學(xué)校信息化建設(shè)步伐的不斷深入，校園網(wǎng)建設(shè)從規(guī)模和深度均有加強(qiáng)，從單一的有線網(wǎng)變成了無線網(wǎng)和有線網(wǎng)融合的園區(qū)網(wǎng)，接入設(shè)備從單一的臺式電腦和筆記本逐步發(fā)展為手機(jī)和各種移動終端，如何將校園網(wǎng)中的無線網(wǎng)和有線網(wǎng)做到認(rèn)證的融合，如何有效管理校園網(wǎng)中的學(xué)生網(wǎng)賬號，在教學(xué)區(qū)和辦公區(qū)及學(xué)生區(qū)實(shí)現(xiàn)差異化的網(wǎng)絡(luò)計(jì)費(fèi)控制策略變成一個研究熱點(diǎn)和難點(diǎn)[1、2]。

有線網(wǎng)絡(luò)區(qū)域的認(rèn)證計(jì)費(fèi)主要是通過有線網(wǎng)中的認(rèn)證設(shè)備檢測學(xué)生用戶上網(wǎng)請求包，依據(jù)認(rèn)證的賬號和密碼信息對其能否上網(wǎng)做出判決，最基本的認(rèn)證模式是基于按月計(jì)費(fèi)的認(rèn)證模式，有的高校開啟了認(rèn)證依托流量來計(jì)費(fèi)，隨著有線網(wǎng)和無線網(wǎng)的不斷深入建設(shè)[3、4]，有線網(wǎng)和無線網(wǎng)的架構(gòu)如何融合，認(rèn)證如何有效聯(lián)動，如何對學(xué)生上網(wǎng)賬號做好精細(xì)化的認(rèn)證計(jì)費(fèi)管理變成一個研究難點(diǎn)，高校網(wǎng)絡(luò)管理人員和建設(shè)人員面對日益龐大無序的賬號管理任務(wù)，如何協(xié)調(diào)好網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)管理的關(guān)系變得必要和重要[5]。

本文分析和總結(jié)了校園網(wǎng)中有線網(wǎng)和無線網(wǎng)的架構(gòu)及相互關(guān)系，提出了一種基于課表聯(lián)動的認(rèn)證計(jì)費(fèi)控制策略，為靈活和精細(xì)化管理學(xué)生賬號在教學(xué)區(qū)的上網(wǎng)認(rèn)證計(jì)費(fèi)提供了思路。

1 學(xué)生網(wǎng)絡(luò)架構(gòu)及認(rèn)證流程需求設(shè)計(jì)

1.1 學(xué)生有線網(wǎng)架構(gòu)

學(xué)生網(wǎng)絡(luò)架構(gòu)介紹：單就學(xué)生網(wǎng)絡(luò)內(nèi)部來說，是典型的3層架構(gòu)，核心、匯聚及接入等3個層次，具體來說在學(xué)校的學(xué)生宿舍有線網(wǎng)絡(luò)里，有一臺學(xué)生核心、4臺學(xué)生匯聚、分布近50個學(xué)生接入機(jī)房，所有接入機(jī)房的接入交換機(jī)達(dá)到近300臺，每個學(xué)生宿舍有的住6人，有的住4人，需要通過小型的交換機(jī)接入到學(xué)校的交換機(jī)端口上。

校園網(wǎng)絡(luò)架構(gòu)，如圖1所示。

學(xué)生匯聚中將所有的接入Vlan的網(wǎng)關(guān)設(shè)置在匯聚層面，核心和匯聚層走路由，而接入交換機(jī)通過配置靜態(tài)默認(rèn)路由指向匯聚的管理接口地址，實(shí)現(xiàn)了學(xué)生網(wǎng)絡(luò)的內(nèi)部互聯(lián)互通。

為進(jìn)一步豐富學(xué)生宿舍網(wǎng)絡(luò)資源，學(xué)校還特意引入了運(yùn)營商的資源，包括聯(lián)通的出口資源及移動公司的無線硬件資源等，通過校企合作，豐富了學(xué)校網(wǎng)絡(luò)資源，擴(kuò)展了學(xué)校網(wǎng)絡(luò)規(guī)模，豐富了廣大學(xué)生的學(xué)習(xí)和生活網(wǎng)絡(luò)資源，減少了學(xué)校建網(wǎng)成本，然而，多種用戶組下的統(tǒng)一管理變得日益復(fù)雜，需求也更加迫切，從學(xué)校管理層面，要求能夠?qū)W(xué)校的每一個在網(wǎng)注冊的學(xué)生的信息和賬號做到精確的管理，避免社會上非學(xué)校人員進(jìn)入學(xué)校網(wǎng)絡(luò)，將學(xué)校網(wǎng)絡(luò)整體打造為一個相對內(nèi)部放開，對外封閉的利于學(xué)生學(xué)習(xí)和生活的網(wǎng)絡(luò)平臺。需要對學(xué)生在網(wǎng)用戶的認(rèn)證計(jì)費(fèi)提出更加高的要求和更加嚴(yán)格的標(biāo)準(zhǔn)。

圖1 學(xué)生網(wǎng)絡(luò)架構(gòu)圖

1.2 無線網(wǎng)絡(luò)架構(gòu)

隨著學(xué)校無線網(wǎng)絡(luò)的不斷深入建設(shè)，在學(xué)校教學(xué)區(qū)的每一個教室，已經(jīng)布設(shè)了無線網(wǎng)絡(luò)，依據(jù)教室大小和人數(shù)多少來規(guī)劃布設(shè)的AP的數(shù)量。

目前學(xué)校針對不同需求布設(shè)了3種不同類型的無線AP，室外公共區(qū)域選擇了布設(shè)室外AP，其特點(diǎn)是性能優(yōu)越，通過天線將信號覆蓋到學(xué)校熱點(diǎn)區(qū)域。第一期建設(shè)布設(shè)了44個室外AP，主要覆蓋了學(xué)校的熱點(diǎn)步行街，包括學(xué)校北門、南門、講堂群等教學(xué)區(qū)域附近、逸夫樓、圖書館、體育館等重要的公共場所，覆蓋了圖文中心、文理樓、工科樓A座B座C座D座等4座學(xué)院樓宇等重要的科研區(qū)域、辦公區(qū)域，AP露天布置，外面有特制的小柜子作為防護(hù)，下接電源模塊到特制的交換機(jī)網(wǎng)口上。

教學(xué)區(qū)域布設(shè)了無線，其架構(gòu)主要是通過光纖將接入pppoe交換機(jī)下聯(lián)到無線AP中，廣大教工和學(xué)生通過無線AP實(shí)現(xiàn)上網(wǎng)。目前學(xué)校無線已經(jīng)涵蓋了所有教室，以講堂群為例，如拓?fù)鋱D2所示。

圖2 教學(xué)區(qū)無線架構(gòu)圖

大部分公共區(qū)域，諸如活動室和會議室均已經(jīng)有無線網(wǎng)絡(luò)覆蓋，這樣豐富廣大教工和學(xué)生的學(xué)習(xí)和生活的網(wǎng)絡(luò)資源的同時，也加大了網(wǎng)絡(luò)管理部門的認(rèn)證管理難度。

1.3 基于有線鏈路的無線網(wǎng)

校園網(wǎng)歷經(jīng)數(shù)十年發(fā)展，有得今日規(guī)模，有線覆蓋全校園網(wǎng)的房間，無線網(wǎng)絡(luò)起步較晚，建設(shè)力度較大，目前覆蓋了校園網(wǎng)中所有教學(xué)區(qū)域，所有學(xué)校會議室和重點(diǎn)公共區(qū)域，諸如圖書館和逸夫樓會議室等，覆蓋了校園熱點(diǎn)街道。

無線網(wǎng)需要光纖解決鏈路問題，結(jié)合有線網(wǎng)絡(luò)豐富的鏈路資源，部分無線網(wǎng)絡(luò)需要和有線網(wǎng)絡(luò)融合，從核心層面說：無線網(wǎng)絡(luò)需要借助有線網(wǎng)的物理鏈路資源，需要借助有線網(wǎng)絡(luò)校園核心和重要匯聚。從接入層面說：因?yàn)闊o線網(wǎng)絡(luò)分布范圍廣，分布離散性，使得其光纖鏈路成本和交換機(jī)成本均居高不下，目前借助有線網(wǎng)絡(luò)，將無線網(wǎng)絡(luò)融合到有線網(wǎng)中，將無線網(wǎng)VLAN透傳到現(xiàn)有接入辦公網(wǎng)絡(luò)接入交換機(jī)和學(xué)生區(qū)域接入交換機(jī)中，無線網(wǎng)絡(luò)大部分流量通過有線鏈路將全校無線網(wǎng)絡(luò)互聯(lián)起來，有線網(wǎng)和無線網(wǎng)做到了融合統(tǒng)一，統(tǒng)一的身份計(jì)費(fèi)和訪問權(quán)限控制，統(tǒng)一的賬號管理。

1.4 學(xué)生統(tǒng)一賬號認(rèn)證流程

所有學(xué)生均能夠通過學(xué)生唯一指定合法賬號一卡通來實(shí)現(xiàn)網(wǎng)絡(luò)的開通和注銷工作，所有在校生有且僅有一個一卡通，有且僅有一個上網(wǎng)賬號。

通過唯一賬號來完成網(wǎng)絡(luò)上網(wǎng)權(quán)限管理，學(xué)生網(wǎng)分為校園網(wǎng)普通教育網(wǎng)、校園網(wǎng)聯(lián)通組和校園網(wǎng)移動組。為此，不同的組的學(xué)生制定不同的網(wǎng)絡(luò)訪問權(quán)限。訪問的對象包括有線網(wǎng)和無線網(wǎng)，而通常的上網(wǎng)計(jì)費(fèi)流程，如圖3所示。

圖3 無線網(wǎng)管認(rèn)證架構(gòu)

學(xué)生請求通過通道登錄無線，其認(rèn)證計(jì)費(fèi)信息要發(fā)送到無線計(jì)費(fèi)服務(wù)器，計(jì)費(fèi)服務(wù)器通過后，才允許其上網(wǎng)，而無線網(wǎng)管則是管理所有無線AP的核心設(shè)備。

默認(rèn)的認(rèn)證流程如下：認(rèn)證計(jì)費(fèi)通過互動方式，每個學(xué)生在上網(wǎng)的時候，主動彈出一個portal認(rèn)證頁面，通過該頁面來輸入用戶名和密碼，授權(quán)服務(wù)器將認(rèn)證后的信息反饋回學(xué)生，若是賬號或者密碼錯誤，則拒絕其上網(wǎng)，否則，允許其上網(wǎng)。

2 基于上課時間的無線網(wǎng)控制策略設(shè)計(jì)

2.1 認(rèn)證控制策略思路

為做到學(xué)生上網(wǎng)賬號和上課時間的聯(lián)動綁定，需要將學(xué)生上網(wǎng)賬號和學(xué)生課表信息對接關(guān)聯(lián)起來，需要在課表數(shù)據(jù)庫里面抽取每一個在網(wǎng)注冊學(xué)生用戶，每隔一段很小時間，可以設(shè)定幾分鐘來讀取其是否有課，重點(diǎn)區(qū)域在每節(jié)課的上課前10分鐘，將所有有課學(xué)生的賬號踢下線，這樣能夠完成對學(xué)生賬號上課期間不能夠使用無線網(wǎng)的功能。

2.2 基于上課時間的默認(rèn)控制策略

就學(xué)生賬號在上課期間內(nèi)，在無線網(wǎng)絡(luò)范圍下管理其上線或者下線的管理流程，其學(xué)生賬號的認(rèn)證思路有如下兩種，第一種是基于默認(rèn)上課期間關(guān)閉上網(wǎng)功能的認(rèn)證思路，其流程如下：

第一步：學(xué)生在有無線覆蓋的地方，打開WLAN，選擇發(fā)布的SSID，比如學(xué)校的無線特定標(biāo)示。

第二步：打開認(rèn)證頁面，輸入用戶名和密碼，默認(rèn)的用戶名和密碼是和有線網(wǎng)絡(luò)使用的同一個用戶名和密碼。

第三步：學(xué)生用戶輸入用戶名和密碼后，將其信息發(fā)送給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器遍歷后臺數(shù)據(jù)庫中的數(shù)據(jù)表和相應(yīng)字段，找到該用戶名和密碼，若是錯誤，發(fā)送錯誤報(bào)，此次登陸認(rèn)證被拒絕，其登陸行為結(jié)束，否則，跳到第四步。

第四步：依據(jù)特定的時間周期，檢查其課表是否有課，若有課，則提示其上課時間不能夠上網(wǎng)，否則，允許其登陸網(wǎng)絡(luò)。

第五步：依據(jù)時間檢測，若其在上課時間，則讓其下線。

第六步：基于課表的一種聯(lián)動，通過實(shí)時監(jiān)控和精細(xì)化管理，避免學(xué)生在課堂中沉迷無線網(wǎng)絡(luò)。

2.3 基于上課老師靈活授權(quán)的上網(wǎng)控制策略

這是在前面環(huán)節(jié)認(rèn)證管理的思路的基礎(chǔ)上，結(jié)合新課程和網(wǎng)絡(luò)新技術(shù)的發(fā)展需求，有教師可以更加靈活授課方式的，有教師需要在上課期間利用網(wǎng)絡(luò)的，可以發(fā)展為更加靈活的，將上課時間能否上網(wǎng)的權(quán)限交送給上課的老師，由任課老師來決定其是否在上課時間上網(wǎng)的權(quán)限，具體的認(rèn)證流程如下：

第一步：老師在申請教室和具體的課程時間的時候，有一個選擇是否“允許學(xué)生上課期間上網(wǎng)”的選項(xiàng)按鈕，默認(rèn)該按鈕是關(guān)閉的，也即默認(rèn)不讓學(xué)生上課上網(wǎng).轉(zhuǎn)到第二步。

第二步：若是老師認(rèn)為學(xué)生上無線很必要，能夠較好完成課程知識的查詢及授課的互動，可以在網(wǎng)絡(luò)上更加靈活和便捷教授學(xué)生，則老師可以選擇學(xué)生上課，則學(xué)生在上課時間內(nèi)是可以上網(wǎng)的，跳到第第三步，如果老師認(rèn)為開了網(wǎng)絡(luò)后，學(xué)生上網(wǎng)沉迷，比較難控制，或者不需要網(wǎng)絡(luò)了，則將其上網(wǎng)的按鈕關(guān)閉，跳到第四步。

第三步：學(xué)生可以在上課期間，憑借其賬號上網(wǎng)。

第四步：學(xué)生在老師點(diǎn)擊關(guān)閉上課上網(wǎng)網(wǎng)絡(luò)后，將指令發(fā)送給認(rèn)證服務(wù)器，服務(wù)器依靠下線指令，將特定教室特定時間點(diǎn)的學(xué)生的在線或者上線的賬號剔除，讓其下線，則學(xué)生不可以上網(wǎng)。

依托該兩種課表管理機(jī)制結(jié)合后，可以靈活控制學(xué)生在無線區(qū)域的上課課程的聯(lián)動，可以讓其便捷地控制學(xué)生賬號上網(wǎng)的時間。

3 總結(jié)

本文分析和總結(jié)了高校網(wǎng)絡(luò)架構(gòu)和學(xué)生宿舍網(wǎng)絡(luò)賬號情況，針對復(fù)雜網(wǎng)絡(luò)環(huán)境下的多元組的賬號的精確管理需求，提出了一種基于課表的網(wǎng)絡(luò)訪問權(quán)限管理機(jī)制。

通過基于課表的網(wǎng)絡(luò)訪問權(quán)限管理機(jī)制，學(xué)校網(wǎng)絡(luò)管理者能精細(xì)化控制和管理學(xué)生上網(wǎng)賬號上無線網(wǎng)絡(luò)的權(quán)限，對基于安全的精細(xì)化網(wǎng)絡(luò)管理在訪問控制環(huán)節(jié)中夯實(shí)了基礎(chǔ)，能夠靈活控制學(xué)生上網(wǎng)的時間，能夠依據(jù)課程授課老師的需求來開放或者關(guān)閉學(xué)生上網(wǎng)的訪問權(quán)限，一定程度強(qiáng)化了對學(xué)校網(wǎng)絡(luò)管理的精細(xì)度，提升了網(wǎng)絡(luò)管理水平。