随着数字校园不断深入发展，各高校的校园网发展越来越快，智能化的程度也越来越高，以前的设备、技术、方法不能满足师生的需求，所以加快校园网的智能化发展是未来的趋势，校园网的实名认证又是校园网扩建工程中的重要部分，它能有效支撑校园网的智能化发展。

　　背景

　　在没实施实名认证之前，校园网的用户(包括单位用户和家庭用户)上网都是固定的IP地址。但是也可以说是不固定的，因为我们学院把每个部门和每栋家属楼细化了VLAN，在这个VLAN 中一般IP 地址划分给这个VLAN。

　　所以有的用户知道这种情况后，科室或者家里增加了电脑，就能猜到IP地址，如果和别人的发生了冲突，那么会造成抢网的事件，而且不便于网络中心的工作人员管理网络。对于网络安全也存在很大的隐患，如果用户中毒或者在网上发布影响学校或者国家的帖子，可能找不到本人。

　　正是由于这些不利的因素，学校准备实施校园网扩建工程的实名认证。

　　方案介绍

　　“学院校园网项目”是校园网工程的一部分，包括教师宿舍、教学区、综合楼和老教学区的楼栋汇聚、楼层接入网络交换设备与集成、管理系统和认证计费系统。

　　项目完成后将为整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面，主干双链路千兆到楼宇汇聚，并保证子网的每个信息点有802.1X认证的交换机端口。同时，还要保证在接入层实现安全控制接入。

　　实施要求

　　软件上需要能够提供对学生上网的管理，如用户合法性的验证，IP、MAC的绑定，帐号的分配及管理；日常运营所需要的收费、计费服务；学生自助服务系统和设备管理。

　　交换机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务，汇聚交换机能够提供VLAN划分和三层交换，接入需要支持802.1X以保证运营的实施。

　　学院校园网拓扑图如图1。

图１ 学院校园网拓扑

　　网络拓扑说明

　　出口使用某厂商的RSR50-40路由器作为出口设备与移动网和教育网相连。

　　核心层采用两台RG-S8606核心交换机，负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT，千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G，同时也可提供接入服务，使用双绞线与接入交换机S2026F互联。

　　方案实施

　　首先需要安装SAM 服务器，学院选用的是RG-SAM 2.x企业版,拥有2000用户。

　　其次是安全管理规划，系统使用W i n d o w s 2 0 0 3 Server+SP2，并在相应网站下载补丁程序升级，并建议客户
　　预装杀毒程序以保障机器的安全。

　　同时在交换机上通过ACL做服务器网段和用户网段的隔离，并进行端口过滤，只允许服务器进行所需端口通过。

　　a) 8080.TCP端口.http访问端口
　　b) 8443.TCP端口,https访问端口
　　c) 1812.UDP端口.默认的认证报文接收端口
　　d) 1813.UDP端口.默认的记帐报文接收端口
　　e) 1433.TCP端口.SQL SERVER的默认监听端口
　　f) 1434.UDP端口.SQL SERVER的默认监听端口.
　　g) 8009.TCP端口.ajp端口
　　h) 1099.TCP端口.jnp端口
　　i) 1098.TCP端口.rmi端口
　　j) 8090.TCP端口.JBossMQ OIL service端口
　　k) 8092.TCP端口.JBossMQ OIL2 service端口
　　l) 8093.TCP端口.JBossMQ UIL service端口
　　m 4444.TCP端口.RMIOBJECTPort
　　n) 4445.TCP端口.ServerBindPort
　　o) 1162.UDP端口.JBoss snmp agent端口.

　　数据库系统规划

　　安全管理规划：数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4。

　　数据的备份：

　　1.SQL Server Agent服务启动，建数据库维护计划实现数据库备份，计划的名字为sambackup。

　　2.SQL数据的备份采用完全备份方式，备份目录为k:/ backup，备份时间为每天凌晨三点，保留一个月内的完全备份数据。

　　3.由于RG-SAM的后台数据信息非常重要，需要经常性质地将数据进行备份。

　　数据的恢复：

　　在原服务器上完全备份数据到指定的文件(假定为SAMdata060526)

　　1.手动备份数据库。

　　2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。

　　3.删除原数据库中的sam关联。

　　4.在后台数据库中创建和sam帐号的关联。成功完成后，移到新服务器上，便可在新服务器上启动SAM，注意启动前要将服务器的IP改为原服务器的IP。

　　SAM 系统规划及设置

　　用户开户的方式

　　采用批量导入的方式进行用户开户。

　　将要开户的用户按一定的格式编辑成相应的文本文件，在管理界面中批量导入进行开户。

　　1.在开户之前先要定义组，比如说办公的用户就划分为office组，家庭的划分为home组，学生的划分为student组等等，然后把个人的姓名拼音当做用户名，绑定IP地址，最后选择组(请个人账户的格式是用户名+IP地址+组)。

　　此外，我们为什么没有绑定MAC地址，是因为如果用户电脑换了或者网卡换了就不能上网了，考虑到这原因，我们就没有绑定MAC地址，也是为了便于管理。

　　2.接入交换机sam系统配置

　　Switch#config t 进入全局配置层以后,配置以下: