校园网统一认证运营的分析与实现

校园网认证运营现状 

随着教育信息化的高速发展，应用业务的不断增多，基础架构的日益复杂，信息化建设的重点之一就是要实现网络基础架构的融合、应用的融合，从而避免“孤岛效应”带来的危害。在教育信息化建设过程中，各种业务不断变化，方式和手段也在不断翻新。为了使整个信息网络的交互复杂度降到更低，单一业务系统的内敛必不可少。作为校园网核心的业务系统之一，网络身份认证系统和运营系统直接涉及网络访问和网络运营，其重要性不言而喻。但是面对各种业务情况的变化，我们是否需要发散性的处理呢？例如：对于原有的有线网络部署一套认证运营系统，对于无线网络部署一套认证运营系统，对于VPN的接入方式又部署一套认证运营系统，对于不同的认证方式（802.1X、WEB、PPPOE），又需要采购一套认证运营系统。这样的部署方式并不合适，但由于各方面因素的影响，这种状况在高校中却普遍存在。 

统一认证运营的必要性

那么我们是否可以不统一认证运营呢？答案是否定的！如果不统一认证，我们将会付出十分昂贵的成本，却只能得到非常低下的效率。 

在多年的信息化发展中，校园网里众多的分支院系、管理部门都拥有了自己的业务系统。它们彼此之间相互独立，存在着比较严重的资源共享和系统互操作问题，有一种“我的核心业务你们不要碰”的感觉。这样带来的后果是什么呢？用户在使用时，往往需要在多个不同的系统间注册、跳转、重复登录和重复输入信息，系统之间传递数据也需要很多附加的人为操作。举一个典型的例子，各个学校在校园网内都有自己的信息管理系统，上级教育部门也有信息管理系统。各个学校向教育管理部门递交教育管理数据（例如学籍情况）时，往往是从本地系统中导出学籍信息，管理部门拿到学籍信息后，再手动输入到自己的管理信息数据库中。这种情况不仅加大了相关人员的工作量，而且容易造成数据的错漏。有不少的应用系统开发了相应的开发接口，下图显示了传统点对点调用专有接口的方式。在有N个系统的情况下，需要开发N*(N-1)套接口，这样庞杂的接口对接，需要消耗大量的开发成本，而且牵一发动全身，变动十分复杂困难。 

上图中，只是几个简单的应用系统，就需要增加20个业务接口。实际上，校园网的应用系统远远不止如此。一般的高校都有十几个，甚至是几十个大的业务系统。如果作为统一业务的系统，我们都不能做到内部的收敛，而是需要多套系统完成的话，类似N的这个因子就会变得十分庞大。不但需要大量的资金投入，还需要不断地增加人力投入。并且系统之间无法交互、无法漫游，用户体验并不理想。 

如何解决这种状况呢？首先我们要做到同一业务系统的内敛，确保N因子的最小化。如果我们将所有的认证运营系统进行统一化，数据交换的接口情况又是如何呢？　

如上图所示，信息交互变得更加流畅，接口也减少至6个，这是一个非常大的简化和提升，降低了相应的成本和管理难度，极大地提升了用户体验。当然，这并没有完全解决信息孤岛和应用孤岛的问题，最终我们需要统一数据交换平台来解决“信息孤岛问题”，通过统一门户来解决“应用孤岛问题”。不过所有这些，都必须以降低业务因子N为前提。　　

统一认证运营需要注意的问题

性能问题 

随着网络的发展，人数规模的不断递增，在前期的认证运营规划中必须要考虑网络的性能。认证运营系统本身业务的关键性决定了其无故障运营的必要性，如果一旦瘫痪，将造成无法认证和上网，这种压力十分巨大。因此我们要选择高稳定、高可用的技术方案。 

多种接入方式的统一 

当前笔记本等设备价格急剧降低，而无线网络的便利性使得其应用日益广泛。无线网络的发展需要配备相应的管理手段，精细的接入认证和运营必不可少。与此同时，目前不少的校园网提供VPN的接入方式，使得校外的用户也可访问学校的内部资源，这个也是常用的接入方式之一。因此现有的认证运营系统，必须能兼容当前的各种接入方式，通过同一套身份和运营系统，确保多种方式的接入认证和运营需要。 

多种认证方式的统一

高教校园网应用人群多样，应用环境复杂，不同的用户有不同的接入安全需求和运营需求。例如宿舍网用户接入安全级别较高，需要运营，应使用安装客户端的802.1X方式进行认证。办公网、会议室等区域，以简单、易用为目标，无需运营，应通过WEB的方式进行认证。一套成功的认证运营解决方案，需要能支撑多种认证方式的需求。 

复杂环境运营的统一 

在校园网中存在众多的区域，不同的区域在整个学校的业务大环境中承担着不同的角色和职务，它们对认证安全和运营需求也各不相同。例如：在宿舍网、在办公网、在家属区、在图书馆其认证要求和运营要求是不一样的，这也是业务所必需的。因此，认证运营解决方案要能进行区域划分，针对不同的区域、不同的用户进行精细化运营。 

标准的接口问题 

整合已经成为当前教育信息化工作的大趋势。身份的统一和单点登录的实现，是数字化校园建设必不可少的工作之一。新的认证运营解决方案需要提供标准的第三方开发接口，无论是和其他的应用系统，还是和统一数据交换平台，都可以进行快速的开发和对接，确保数据流通的顺畅和高效。 

iSAM解决方案在统一认证运营上的特点

经过七年认证运营系统的不断摸索和完善，锐捷网络于2007年推出了第三代认证运营解决方案——iSAM。该解决方案能全面满足园区网安全运营的需求。不仅在性能方面有RG-AC（锐捷应用集群技术）保障业务的高可靠、高稳定性，其在融合性方面更是业界的倡导者和先进者。iSAM解决方案不仅能满足多种接入方式、多种认证需求的大融合，还能很好地实现分区运营精细化管理，同时其标准第三方接口已有众多成功对接案例，为校园网的数据统一化、帐务统一化提供了强有力的支撑。 

iSAM解决方案具备好融合、高安全、可运营、易管理等众多优点，，为园区网的安全、管理、运营提供了良好的实践体验。　　

-------------------------------------------------------------------　

欢迎登陆俱乐部网站：http://isamclub.ruijie.com.cn
----------------------------