基于802.1X的認(rèn)證計(jì)費(fèi)在校園網(wǎng)中的應(yīng)用

摘要：互聯(lián)網(wǎng)發(fā)展至今，許多高校正在或已經(jīng)完成了校園網(wǎng)的建設(shè)，校園網(wǎng)已為教育的信息化做出了巨大貢獻(xiàn)。本文通過對(duì)基于IEEE 802.1X的認(rèn)證計(jì)費(fèi)的研究，論述其如何實(shí)現(xiàn)在校園網(wǎng)中的認(rèn)證計(jì)費(fèi)管理。

關(guān)鍵詞：802.1X協(xié)議；校園網(wǎng)；認(rèn)證計(jì)費(fèi)

中圖分類號(hào)：TP311.13 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 17-0000-02

1 網(wǎng)絡(luò)現(xiàn)狀與需求分析

四川華新現(xiàn)在職業(yè)學(xué)院于2008年7月開始建設(shè)校園網(wǎng)。迄今為止，校園網(wǎng)使用總?cè)藬?shù)已達(dá)2000人，工程總投入資金約500萬。現(xiàn)已建成高速校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，采用千兆以太網(wǎng)三層交換技術(shù)，整個(gè)校園網(wǎng)分為核心層、匯聚層、接入層三層。核心層采用銳捷S6800三層交換機(jī)，匯聚層采用銳捷S3760和S5750三層交換機(jī)，接入層采用銳捷S2126交換機(jī)。校園網(wǎng)主干線路使用1Gbps光纖；100Mbps到桌面，主干線路采用多模、單模混合光纖敷設(shè)，連接了校內(nèi)的辦公綜合樓、教學(xué)樓、學(xué)生宿舍樓、教師宿舍樓?；ヂ?lián)網(wǎng)總出口由建校初期的10M電信光纖，現(xiàn)已擴(kuò)充為80M電信和50M網(wǎng)通。

隨著網(wǎng)絡(luò)在教學(xué)中的應(yīng)用不斷增加，學(xué)生宿舍的網(wǎng)絡(luò)建設(shè)成為網(wǎng)絡(luò)建設(shè)的重點(diǎn)。在網(wǎng)絡(luò)的應(yīng)用過程中，我們遇到很多認(rèn)證、計(jì)費(fèi)、管理等方面的問題，學(xué)生宿舍網(wǎng)絡(luò)問題尤為突出，經(jīng)常出現(xiàn)賬號(hào)盜用、IP沖突、架設(shè)代理、非法設(shè)備接入、用戶欠費(fèi)等情況。使用一般的IP地址與MAC地址綁定的方式，雖然可以一定程度的解決此類問題，但隨著用戶數(shù)量的不斷增加，在網(wǎng)絡(luò)安全問題和用戶計(jì)費(fèi)問題上的矛盾越來越明顯，傳統(tǒng)認(rèn)證方式對(duì)于校園網(wǎng)用戶數(shù)據(jù)包的繁復(fù)檢測(cè)，使得網(wǎng)絡(luò)傳輸出現(xiàn)瓶頸，無法滿足用戶對(duì)網(wǎng)絡(luò)安全性、高效率和低成本的要求。給校園網(wǎng)的管理帶來極大難度。

2 設(shè)計(jì)原則

2.1 兼容性。所選設(shè)備必須要與現(xiàn)有設(shè)備互相兼容，從而保證網(wǎng)絡(luò)的整體性，并且兼容現(xiàn)有的網(wǎng)絡(luò)設(shè)備。

2.2 可管理性。所有設(shè)備能夠通過WEB、TELNET等多種方式進(jìn)行管理，可以管理到交換機(jī)的每個(gè)端口。計(jì)費(fèi)系統(tǒng)操作方便、準(zhǔn)確、高效、靈活。

2.3 可擴(kuò)充性。隨著校園網(wǎng)中網(wǎng)絡(luò)應(yīng)用越來越多，越來越復(fù)雜，為更好的保證投資的有效性和延續(xù)性，所選解決方案必須在可擴(kuò)充性方面有優(yōu)秀表現(xiàn)。

2.4 先進(jìn)性。采用先進(jìn)成熟的設(shè)計(jì)技術(shù)。能夠保障在未來一段時(shí)期的主流網(wǎng)絡(luò)應(yīng)用，具有發(fā)展升級(jí)潛力。在一些建設(shè)方案、管理方案、升級(jí)方案上都要有所體現(xiàn)。

2.5 靈活性。依照層次化、統(tǒng)一化的設(shè)計(jì)原則，使網(wǎng)絡(luò)具有良好的擴(kuò)展性，可根據(jù)網(wǎng)絡(luò)建設(shè)的不同時(shí)期靈活升級(jí)擴(kuò)展。

2.6 可靠性。能夠依靠其自身優(yōu)勢(shì)，支撐整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定、可靠、高效運(yùn)行。

3 協(xié)議的比較

經(jīng)以上考慮，決定在目前比較常用的PPPOE、Web+Portal、802.1x，在這3種認(rèn)證計(jì)費(fèi)協(xié)議中，選擇最適合的一種作為校園網(wǎng)的認(rèn)證計(jì)費(fèi)管理協(xié)議。

3.1 PPPOE協(xié)議。pppoe是Point To Point Protocol Over Ethernet的簡(jiǎn)稱，可以使以太網(wǎng)的主機(jī)通過一個(gè)簡(jiǎn)單的橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上。通過pppoe協(xié)議，能在遠(yuǎn)端接入設(shè)備上實(shí)現(xiàn)對(duì)每個(gè)接入用戶的控制與計(jì)費(fèi)。

優(yōu)點(diǎn)：（1）由傳統(tǒng)PSTN撥號(hào)技術(shù)延伸出來的一種撥號(hào)技術(shù)。（2）與傳統(tǒng)窄帶撥號(hào)屬于同一網(wǎng)絡(luò)認(rèn)證方式，實(shí)施起來便于用戶接受。

缺點(diǎn)：（1）PPoE協(xié)議與以太網(wǎng)技術(shù)有所不同，PPPoE協(xié)議使用時(shí)需要被再次封裝至Ethernet幀中，導(dǎo)致數(shù)據(jù)包的封裝效率很低。（2）PPPoE在連接階段會(huì)產(chǎn)生大量的廣播包，這便對(duì)網(wǎng)絡(luò)性能造成很大的影響。（3）PPPoE認(rèn)證一般還需加設(shè)BAS設(shè)備，在認(rèn)證通過后業(yè)務(wù)數(shù)據(jù)流還需通過BAS設(shè)備，這樣就容易造成BAS設(shè)備負(fù)載過大。而且BAS設(shè)備通常價(jià)格不菲。

3.2 Web+Portal協(xié)議。Web+Portal認(rèn)證原理：用戶首先通過DHCP服務(wù)器獲取到IP地址，獲取到的IP只能用作訪問某些特定的頁面，并不能直接連接Internet，只有通過訪問這些特定的頁面，并通過認(rèn)證，才能接入Internet。

優(yōu)點(diǎn)：（1）無需增加客戶端軟件，便于實(shí)現(xiàn)，同時(shí)降低運(yùn)營(yíng)成本及網(wǎng)絡(luò)維護(hù)量。（2）便于服務(wù)商開展增值業(yè)務(wù)。

缺點(diǎn)：（1）WEB頁面工作在OSI模型第7層協(xié)議上，對(duì)于設(shè)備需求高，直接導(dǎo)致建網(wǎng)成本增高。（2）檢測(cè)用戶離線狀態(tài)有一定困難，導(dǎo)致基于時(shí)長(zhǎng)方式的計(jì)費(fèi)難以實(shí)現(xiàn)。（3）不便于內(nèi)網(wǎng)用戶使用。用戶在訪問Internet前，不管是FTP、TELNET或是其它一些內(nèi)部業(yè)務(wù)，都必須利用WEB頁面進(jìn)行認(rèn)證后方實(shí)現(xiàn)。（4）IP地址被浪費(fèi)。用戶在未通過認(rèn)證前，也能獲取到一個(gè)IP地址，使得IP地址浪費(fèi)。（5）認(rèn)證前與認(rèn)證后業(yè)務(wù)數(shù)據(jù)無法區(qū)分，導(dǎo)致網(wǎng)絡(luò)計(jì)費(fèi)不準(zhǔn)確。

3.3 802.1x協(xié)議。802.1x協(xié)議是基于端口的網(wǎng)絡(luò)認(rèn)證協(xié)議。其認(rèn)證原理是將未通過認(rèn)證的用戶和設(shè)備，在端口一級(jí)作出限制，使其無法訪問Internet。只有通過認(rèn)證的用戶，交換機(jī)才轉(zhuǎn)發(fā)提交的數(shù)據(jù)包。未認(rèn)證時(shí)，只有EAPoL數(shù)據(jù)能夠通過交換機(jī)端口轉(zhuǎn)發(fā)，認(rèn)證通過以后，提交的數(shù)據(jù)才能夠順利通過交換機(jī)轉(zhuǎn)發(fā)。

優(yōu)點(diǎn)：（1）對(duì)設(shè)備整體性能要求不高，能有效降低建網(wǎng)成本。（2）兼容傳統(tǒng)的PPP認(rèn)證架構(gòu)。（3）業(yè)務(wù)與認(rèn)證相互分離。

缺點(diǎn)：（1）每臺(tái)客服機(jī)必須安裝客戶端軟件才能使用。（2）由于是較新的二層協(xié)議，要求所使用交換機(jī)必須支持認(rèn)證數(shù)據(jù)包的透?jìng)鳎虼嗽诓捎迷搮f(xié)議時(shí)，要確?，F(xiàn)在有交換機(jī)能支持此協(xié)議。（3）802.1x協(xié)議只關(guān)注交換機(jī)端口的認(rèn)證控制，當(dāng)用戶完成端口認(rèn)證后，數(shù)據(jù)包便進(jìn)入第三層網(wǎng)絡(luò)，還需要解決用戶IP地址獲取及第三層網(wǎng)絡(luò)的安全等問題。因此單靠802.1x協(xié)議，是無法完全解決網(wǎng)絡(luò)可管理性及安全性等方面的問題。（4）802.1x協(xié)議不能按照用戶網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，因此無法滿足基于流量的計(jì)費(fèi)要求。

綜上所述，鑒于802.1x協(xié)議在認(rèn)證計(jì)費(fèi)方面的突出優(yōu)點(diǎn)，而且便于實(shí)現(xiàn)、效率高、安全可靠。無需添加更多的網(wǎng)絡(luò)設(shè)備，就能保證校園網(wǎng)絡(luò)的可靠互聯(lián)。同時(shí)消除了校園網(wǎng)絡(luò)在認(rèn)證計(jì)費(fèi)上的瓶頸。并且只需要在二層網(wǎng)絡(luò)上就可以實(shí)現(xiàn)用戶認(rèn)證計(jì)費(fèi)，這便大大降低了整個(gè)校園網(wǎng)絡(luò)的建網(wǎng)成本。

4 解決方案

四川華新現(xiàn)代職業(yè)學(xué)院網(wǎng)絡(luò)建設(shè)共有6棟大樓，信息點(diǎn)3240多個(gè)，建筑物之間通過6芯單模光纖連接，光纖匯集到綜合樓4樓中心機(jī)房?jī)?nèi)。樓內(nèi)采用超五類雙絞線綜合布線，接入交換機(jī)集中放置于每層樓道配線間。

經(jīng)過多次對(duì)認(rèn)證系統(tǒng)的比較、實(shí)驗(yàn)，學(xué)校決定采用銳捷網(wǎng)絡(luò)SAM認(rèn)證計(jì)費(fèi)系統(tǒng)。中心機(jī)房購置專用服務(wù)器用作SAM、DHCP、DNS等服務(wù)，全網(wǎng)采用DHCP自動(dòng)獲取IP地址，接入層交換機(jī)統(tǒng)一開啟IEEE802.1X協(xié)議，校內(nèi)用接入戶統(tǒng)一安裝銳捷認(rèn)證客服端軟件。802.1X協(xié)議僅對(duì)端口的打開與關(guān)閉進(jìn)行控制，在未通過認(rèn)證時(shí)，交換機(jī)端口是關(guān)閉的，此時(shí)用戶無法使用交換機(jī)的交換功能，用戶自然也就無法接入Internet，當(dāng)用戶通過認(rèn)證后，此時(shí)交換機(jī)端口打開，與傳統(tǒng)的網(wǎng)絡(luò)交換方式一致，用戶便可連接DHCP服務(wù)器獲取到IP地址，網(wǎng)絡(luò)數(shù)據(jù)包便通過交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。因此校園網(wǎng)采用802.1X認(rèn)證計(jì)費(fèi)后，對(duì)于接入用戶再進(jìn)行賬號(hào)、MAC、IP、端口等多元素綁定，用于確定用戶的唯一身份，而網(wǎng)絡(luò)中的非法用戶由于無法通過認(rèn)證，就會(huì)被交換機(jī)在物理鏈路上將其隔離與網(wǎng)絡(luò)之外，只有通過認(rèn)證的用戶，交換機(jī)才保證正常傳輸數(shù)據(jù)包，有效的防止IP盜用、賬號(hào)盜用、非法設(shè)備接入、架設(shè)代理等情況的發(fā)生。

在計(jì)費(fèi)策略方面也比較靈活，可實(shí)現(xiàn)計(jì)天、計(jì)時(shí)長(zhǎng)、包月以及充值卡業(yè)務(wù)功能。支持設(shè)置優(yōu)惠時(shí)段、包月限最大時(shí)長(zhǎng)，支持時(shí)長(zhǎng)卡、包月卡等多種卡業(yè)務(wù)。還可以生成充值卡，學(xué)生購買充值卡以后，只需要在寢室直接登錄充值頁面，輸入充值卡號(hào)，密碼就能進(jìn)行充值續(xù)費(fèi)。對(duì)于每一個(gè)接入交換機(jī)的端口來說，其相當(dāng)于是一個(gè)獨(dú)立認(rèn)證者，在最大程度上實(shí)現(xiàn)了分布式認(rèn)證，既減少了單點(diǎn)故障發(fā)生的機(jī)率，同時(shí)也避免了傳統(tǒng)網(wǎng)關(guān)設(shè)備進(jìn)行認(rèn)證時(shí)所造成的設(shè)備負(fù)載過大，形成網(wǎng)絡(luò)瓶頸。

參考文獻(xiàn)：

[1]周克復(fù).WLAN安全認(rèn)證與管理方案的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù)，2006，9.

[2]羅益榮.基于802.1X認(rèn)證和旁路流控的校園網(wǎng)管理策略[J].福建電腦，2007，2.