从校园网络环境改变看校园网需求

在信息技术瞬息万变的环境下，校园网伴随着规模的扩大、业务的丰富及流量的增加而产生了深刻的变化，这些变化主要体现在以下几个方面：

网络业务不断丰富

最初校园网建设主要是为教学和科研服务的，其主要目的是完成研究实验，为极少数的教师服务。但伴随着网络内容的逐渐丰富，校园网同时具有不断增加的OA、档案管理、网上选课、视频等诸多应用，校园网正逐渐成为学校的主要运行基础之一，用户涵盖办公、管理、教学、科研、学生各种校内人员，从而导致了网络建设从原有的关注连通性向关注整体业务提供能力方面迁移。这一切对校园网设备的业务提供能力提出了很高的要求。

网络规模不断扩大 

接入信息点的数量迅速增加，接入用户的种类越来越多，出口带宽进一步扩展,校园网的流量不断加大，网络规模的扩大对设备的性能等各方面都提出了很高的要求。

网络处于内外夹击状态 

由于当前网络蠕虫、网络病毒及黑客攻击事件层出不穷，加上校园网独有的开放性，以及校园网用户强大的求知欲望和探索欲望，使得校园网络经常处于内外夹击的状态。因此必须提供内外兼顾的校园网网络安全解决方案，保证校园网的可信运行。

网络管理难度加大 

相对于校园网设备和流量的发展速度,校园网网络管理部门人员增长还是太慢。因此随着网络管理难度加大，要求网络设备必须能够自动或半自动地处理一些网络维护及安全管理工作，降低网络维护的复杂度。

港湾CUS校园网解决方案 

由于校园网的整体业务越来越复杂，网络流量越来越大，因此网络安全越来越难以保证。同时，在网络的业务规划中，很多业务例如组播必须提供自上而下所有网络设备的支持才能保障该业务的提供，网络安全也由原来的关注服务器群转向关注整个网络，整体的网络应该包括网络设备和管理系统，只有各个部分协调工作，整个网络才能确保可信运行。

通过对整个校园网的分析，我们可以很容易地看出，网络可信运行的关键在于基础的性能提供能力和业务提供能力，没有网络设备自身的基本性能和业务提供能力的保证，所谓的安全和业务只能是空中楼阁，甚至无法保证网络在正常情况下运行或提供一定的业务。网络设备的基本性能提供能力和业务提供能力决定了网络的基本状况，但仅仅提供了基本的性能和业务还不足以保证网络的可信运行，还必须提供一套管理系统，管理应同时包括用户管理、网络管理和安全管理三个方面，而用户管理和网络管理又构成了安全管理的基础，因此整个网络不能单独割裂开来。

港湾网络经过深入调研，开发出一整套的网络安全解决方案——CUS（Campus Union System）校园网综合系统平台，其中包括USS（User Support System）用户支撑系统、NSS（Network Support System）网络支撑系统及SSS（Security Support System）安全支撑系统。这三个支撑系统相互配合，对整个网络提供支撑，确保网络的用户管理、设备管理和安全管理能力，并为网络管理部门提供更为简化的维护和管理支撑。

用户支撑系统USS（User Support System）

校园网用户主要由两个部分组成：一部分为教师，另外一部分为学生。针对教师的网络中，用户管理的主要目标是提供后续安全的基础数据，提供一定的计费能力。而针对学生的用户管理除去满足安全基础数据提供和计费外，还必须提供对学生上网的管理，保证其正常的学习时间。因此作为校园网络的用户支撑系统，必须能够在以下几点提供全面的支持和简化的操作：

提供计费的功能，保证校园网可以实施正常的计费能力，并且提供有效的手段来避免收入的流失。

提供后期网络安全管理的基本支撑数据，包括用户地址情况的收集和用户连接的物理情况的收集。

提供一定的针对校园网用户的管理能力，例如学生上网地址管理、时间限制等等。

提供用户管理如开户、地址信息等等的简化配置以降低工作量，并提供丰富的用户自理功能，来降低用户信息维护的工作量。

提供一定的接口，可以满足后续安全策略和动态安全策略的下发。

港湾网络提供的USS系统由802.1x认证客户端软件、支持802.1x认证协议的网络设备和与西安信利联合开发的蓝信认证计费系统共同组成。

USS系统的计费能力

在该系统中USS可以提供包月无上限、计时、 计流量等多种计费能力,同时可以根据学校的需求提供灵活的计费方式，例如假期自选停止计费及各种优惠政策。

在现实应用中，客户开设代理或采用双网卡逃避交费的方式非常普遍，因此在校园网的计费系统中必须考虑对收入流失的控制，港湾公司通过对该系统的扩展完全解决了这个棘手问题。

用户逃避收费主要有两种方式：一种是在网络接口下面加挂HUB或交换机，采用代理服务器使其他用户免费上网；另外一种方式是在PC中安装两片网卡，然后通过HUB链接其他用户使其免费上网。针对这两种方式，港湾公司提供了如下解决方案：

对于双网卡，认证客户端在认证过程中会发送客户具有两片网卡的信息，如果认证服务器要求禁止使用两片网卡，用户无法通过认证，并提示原因，从而避免用户使用双网卡。

对于采用代理服务器的方式，要根据不同情况进行控制。如果校方允许采用HUB等设备扩展接入端口，认证客户端会检测用户PC是否安装了代理软件，会上报到认证服务器，认证服务器再根据实现部署的策略禁止用户认证通过；更为严格的方式是，如果校方禁止使用HUB，港湾网络设备可以通过在交换机中配置NO HUB命令，严格禁止HUB的使用。