实现网络运营-----防代理、防假冒
　　网络运营实际是对网络用户的管理，在对网络用户的管理现在最好的解决方案是通过认证的方式，只有认证才能使用网络。在众多的认证方式中，IEEE 802．1x通过对认证方式和认证体系结构进行优化，有效地解决了传统PPPoE和Web／Portal认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本，从而成为当前校园网选型的一个热点。通过使用802．1x人证协议使校园网简洁高效、容易实现、安全可靠、易于运营。

　　但传统的802.1x的基本思想是端口的控制，"端口"的概念可以是物理端口，一般是在二层交换机上实现，需要接入的所有交换机都需要支持802.1x协议，才能实现整网的认证。这种具有对接入层交换机要求高、功能简单、管理不方便等弱点。

　　顶联网络切实分析用户的需要，提出基于流的认证方式。基于流的认证方式是指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制，即无需与物理端口对应，而是基于用户认证控制，一个物理端口上实现多个用户的接入控制。在接入层的交换设备不需要支持802.1x。同时能解决传统802.1x无法解决但对于运营是十分重要的一些问题，如果代理、假冒IP和MAC、假冒DHCP SEVER。

　　1．防代理

　　目前在校园网网络建设中，利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍，如Wingate、Sygate、Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。这样学校提供给学生一条上网的线路，就会给多个学生使用，大大消耗了网络资源，给学校的运营带来很大的损失。使用顶联的三层交换机上的802.1x扩展功能和802.1x客户端，就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源，需侦测出被代理用户和代理服务器之间代理关系，已认证通过的客户端被当作代理服务器使用。真正做到学校提供一个网络端口只能一个用户上网。

　　2．专业打假

　　学生是一个不安分，好奇心强的群体，他们会一方面把学校的网络当作一个实验环境，测试各种网络功能，另一方面，他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。现在遇到的除了代理外还有假冒DHCP SEVER和假冒IP、MAC给学校的运营管理带来很大的麻烦。一些活跃的学生用自己的计算机和操作系统配置一个DHCP SEVER，使在网络上的计算机从假冒的DHCP SEVER学习到IP地址，导致合法用户不能学校到的DHCP提供的正确IP地址而无法使用网络资源。顶联网络通过在会聚三层交换机和客户端软件配合，如果发现有假冒的DHCP SEVER，将立即封掉该账户，让他不能享用网络资源。

　　传统的认证方式一般是通过IP、MAC地址确定物理端口是否合法，在认证端如果收到合法的IP和MAC地址信息就认为这是合法的用户，许多学生就会利用这种方式的弱点，把自己计算机的IP和MAC修改成合法的地址，这样自己就能使用网络资源。顶联网络提出基于流的认证方式，认证方式是基于用户流而不是物理端口，假冒的IP和MAC在这里就起不到任何作用。

　　顶联网络针对学校网络安全和运营管理上最弱的环节提出了自己独特的解决方案，这些内部网络安全和防止不法用户的技术在校园网中，将给学校网络带来一个安全和真正可以运营的网络，给学校的维护带来方便，给学校运营带来最大的利润。