摘要:互聯(lián)網(wǎng)發(fā)展至今,許多高校正在或已經(jīng)完成了校園網(wǎng)的建設(shè),校園網(wǎng)已為教育的信息化做出了巨大貢獻(xiàn)。本文通過對(duì)基于IEEE 802.1X的認(rèn)證計(jì)費(fèi)的研究,論述其如何實(shí)現(xiàn)在校園網(wǎng)中的認(rèn)證計(jì)費(fèi)管理。
關(guān)鍵詞:802.1X協(xié)議;校園網(wǎng);認(rèn)證計(jì)費(fèi)
中圖分類號(hào):TP311.13 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 17-0000-02
1 網(wǎng)絡(luò)現(xiàn)狀與需求分析
四川華新現(xiàn)在職業(yè)學(xué)院于2008年7月開始建設(shè)校園網(wǎng)。迄今為止,校園網(wǎng)使用總?cè)藬?shù)已達(dá)2000人,工程總投入資金約500萬。現(xiàn)已建成高速校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),采用千兆以太網(wǎng)三層交換技術(shù),整個(gè)校園網(wǎng)分為核心層、匯聚層、接入層三層。核心層采用銳捷S6800三層交換機(jī),匯聚層采用銳捷S3760和S5750三層交換機(jī),接入層采用銳捷S2126交換機(jī)。校園網(wǎng)主干線路使用1Gbps光纖;100Mbps到桌面,主干線路采用多模、單模混合光纖敷設(shè),連接了校內(nèi)的辦公綜合樓、教學(xué)樓、學(xué)生宿舍樓、教師宿舍樓?;ヂ?lián)網(wǎng)總出口由建校初期的10M電信光纖,現(xiàn)已擴(kuò)充為80M電信和50M網(wǎng)通。
隨著網(wǎng)絡(luò)在教學(xué)中的應(yīng)用不斷增加,學(xué)生宿舍的網(wǎng)絡(luò)建設(shè)成為網(wǎng)絡(luò)建設(shè)的重點(diǎn)。在網(wǎng)絡(luò)的應(yīng)用過程中,我們遇到很多認(rèn)證、計(jì)費(fèi)、管理等方面的問題,學(xué)生宿舍網(wǎng)絡(luò)問題尤為突出,經(jīng)常出現(xiàn)賬號(hào)盜用、IP沖突、架設(shè)代理、非法設(shè)備接入、用戶欠費(fèi)等情況。使用一般的IP地址與MAC地址綁定的方式,雖然可以一定程度的解決此類問題,但隨著用戶數(shù)量的不斷增加,在網(wǎng)絡(luò)安全問題和用戶計(jì)費(fèi)問題上的矛盾越來越明顯,傳統(tǒng)認(rèn)證方式對(duì)于校園網(wǎng)用戶數(shù)據(jù)包的繁復(fù)檢測(cè),使得網(wǎng)絡(luò)傳輸出現(xiàn)瓶頸,無法滿足用戶對(duì)網(wǎng)絡(luò)安全性、高效率和低成本的要求。給校園網(wǎng)的管理帶來極大難度。
2 設(shè)計(jì)原則
2.1 兼容性。所選設(shè)備必須要與現(xiàn)有設(shè)備互相兼容,從而保證網(wǎng)絡(luò)的整體性,并且兼容現(xiàn)有的網(wǎng)絡(luò)設(shè)備。
2.2 可管理性。所有設(shè)備能夠通過WEB、TELNET等多種方式進(jìn)行管理,可以管理到交換機(jī)的每個(gè)端口。計(jì)費(fèi)系統(tǒng)操作方便、準(zhǔn)確、高效、靈活。
2.3 可擴(kuò)充性。隨著校園網(wǎng)中網(wǎng)絡(luò)應(yīng)用越來越多,越來越復(fù)雜,為更好的保證投資的有效性和延續(xù)性,所選解決方案必須在可擴(kuò)充性方面有優(yōu)秀表現(xiàn)。
2.4 先進(jìn)性。采用先進(jìn)成熟的設(shè)計(jì)技術(shù)。能夠保障在未來一段時(shí)期的主流網(wǎng)絡(luò)應(yīng)用,具有發(fā)展升級(jí)潛力。在一些建設(shè)方案、管理方案、升級(jí)方案上都要有所體現(xiàn)。
2.5 靈活性。依照層次化、統(tǒng)一化的設(shè)計(jì)原則,使網(wǎng)絡(luò)具有良好的擴(kuò)展性,可根據(jù)網(wǎng)絡(luò)建設(shè)的不同時(shí)期靈活升級(jí)擴(kuò)展。
2.6 可靠性。能夠依靠其自身優(yōu)勢(shì),支撐整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定、可靠、高效運(yùn)行。
3 協(xié)議的比較
經(jīng)以上考慮,決定在目前比較常用的PPPOE、Web+Portal、802.1x,在這3種認(rèn)證計(jì)費(fèi)協(xié)議中,選擇最適合的一種作為校園網(wǎng)的認(rèn)證計(jì)費(fèi)管理協(xié)議。
3.1 PPPOE協(xié)議。pppoe是Point To Point Protocol Over Ethernet的簡(jiǎn)稱,可以使以太網(wǎng)的主機(jī)通過一個(gè)簡(jiǎn)單的橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上。通過pppoe協(xié)議,能在遠(yuǎn)端接入設(shè)備上實(shí)現(xiàn)對(duì)每個(gè)接入用戶的控制與計(jì)費(fèi)。
優(yōu)點(diǎn):(1)由傳統(tǒng)PSTN撥號(hào)技術(shù)延伸出來的一種撥號(hào)技術(shù)。(2)與傳統(tǒng)窄帶撥號(hào)屬于同一網(wǎng)絡(luò)認(rèn)證方式,實(shí)施起來便于用戶接受。
缺點(diǎn):(1)PPoE協(xié)議與以太網(wǎng)技術(shù)有所不同,PPPoE協(xié)議使用時(shí)需要被再次封裝至Ethernet幀中,導(dǎo)致數(shù)據(jù)包的封裝效率很低。(2)PPPoE在連接階段會(huì)產(chǎn)生大量的廣播包,這便對(duì)網(wǎng)絡(luò)性能造成很大的影響。(3)PPPoE認(rèn)證一般還需加設(shè)BAS設(shè)備,在認(rèn)證通過后業(yè)務(wù)數(shù)據(jù)流還需通過BAS設(shè)備,這樣就容易造成BAS設(shè)備負(fù)載過大。而且BAS設(shè)備通常價(jià)格不菲。
3.2 Web+Portal協(xié)議。Web+Portal認(rèn)證原理:用戶首先通過DHCP服務(wù)器獲取到IP地址,獲取到的IP只能用作訪問某些特定的頁面,并不能直接連接Internet,只有通過訪問這些特定的頁面,并通過認(rèn)證,才能接入Internet。
優(yōu)點(diǎn):(1)無需增加客戶端軟件,便于實(shí)現(xiàn),同時(shí)降低運(yùn)營(yíng)成本及網(wǎng)絡(luò)維護(hù)量。(2)便于服務(wù)商開展增值業(yè)務(wù)。
缺點(diǎn):(1)WEB頁面工作在OSI模型第7層協(xié)議上,對(duì)于設(shè)備需求高,直接導(dǎo)致建網(wǎng)成本增高。(2)檢測(cè)用戶離線狀態(tài)有一定困難,導(dǎo)致基于時(shí)長(zhǎng)方式的計(jì)費(fèi)難以實(shí)現(xiàn)。(3)不便于內(nèi)網(wǎng)用戶使用。用戶在訪問Internet前,不管是FTP、TELNET或是其它一些內(nèi)部業(yè)務(wù),都必須利用WEB頁面進(jìn)行認(rèn)證后方實(shí)現(xiàn)。(4)IP地址被浪費(fèi)。用戶在未通過認(rèn)證前,也能獲取到一個(gè)IP地址,使得IP地址浪費(fèi)。(5)認(rèn)證前與認(rèn)證后業(yè)務(wù)數(shù)據(jù)無法區(qū)分,導(dǎo)致網(wǎng)絡(luò)計(jì)費(fèi)不準(zhǔn)確。
3.3 802.1x協(xié)議。802.1x協(xié)議是基于端口的網(wǎng)絡(luò)認(rèn)證協(xié)議。其認(rèn)證原理是將未通過認(rèn)證的用戶和設(shè)備,在端口一級(jí)作出限制,使其無法訪問Internet。只有通過認(rèn)證的用戶,交換機(jī)才轉(zhuǎn)發(fā)提交的數(shù)據(jù)包。未認(rèn)證時(shí),只有EAPoL數(shù)據(jù)能夠通過交換機(jī)端口轉(zhuǎn)發(fā),認(rèn)證通過以后,提交的數(shù)據(jù)才能夠順利通過交換機(jī)轉(zhuǎn)發(fā)。
優(yōu)點(diǎn):(1)對(duì)設(shè)備整體性能要求不高,能有效降低建網(wǎng)成本。(2)兼容傳統(tǒng)的PPP認(rèn)證架構(gòu)。(3)業(yè)務(wù)與認(rèn)證相互分離。
缺點(diǎn):(1)每臺(tái)客服機(jī)必須安裝客戶端軟件才能使用。(2)由于是較新的二層協(xié)議,要求所使用交換機(jī)必須支持認(rèn)證數(shù)據(jù)包的透?jìng)鳎虼嗽诓捎迷搮f(xié)議時(shí),要確?,F(xiàn)在有交換機(jī)能支持此協(xié)議。(3)802.1x協(xié)議只關(guān)注交換機(jī)端口的認(rèn)證控制,當(dāng)用戶完成端口認(rèn)證后,數(shù)據(jù)包便進(jìn)入第三層網(wǎng)絡(luò),還需要解決用戶IP地址獲取及第三層網(wǎng)絡(luò)的安全等問題。因此單靠802.1x協(xié)議,是無法完全解決網(wǎng)絡(luò)可管理性及安全性等方面的問題。(4)802.1x協(xié)議不能按照用戶網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì),因此無法滿足基于流量的計(jì)費(fèi)要求。
綜上所述,鑒于802.1x協(xié)議在認(rèn)證計(jì)費(fèi)方面的突出優(yōu)點(diǎn),而且便于實(shí)現(xiàn)、效率高、安全可靠。無需添加更多的網(wǎng)絡(luò)設(shè)備,就能保證校園網(wǎng)絡(luò)的可靠互聯(lián)。同時(shí)消除了校園網(wǎng)絡(luò)在認(rèn)證計(jì)費(fèi)上的瓶頸。并且只需要在二層網(wǎng)絡(luò)上就可以實(shí)現(xiàn)用戶認(rèn)證計(jì)費(fèi),這便大大降低了整個(gè)校園網(wǎng)絡(luò)的建網(wǎng)成本。
4 解決方案
四川華新現(xiàn)代職業(yè)學(xué)院網(wǎng)絡(luò)建設(shè)共有6棟大樓,信息點(diǎn)3240多個(gè),建筑物之間通過6芯單模光纖連接,光纖匯集到綜合樓4樓中心機(jī)房?jī)?nèi)。樓內(nèi)采用超五類雙絞線綜合布線,接入交換機(jī)集中放置于每層樓道配線間。
經(jīng)過多次對(duì)認(rèn)證系統(tǒng)的比較、實(shí)驗(yàn),學(xué)校決定采用銳捷網(wǎng)絡(luò)SAM認(rèn)證計(jì)費(fèi)系統(tǒng)。中心機(jī)房購置專用服務(wù)器用作SAM、DHCP、DNS等服務(wù),全網(wǎng)采用DHCP自動(dòng)獲取IP地址,接入層交換機(jī)統(tǒng)一開啟IEEE802.1X協(xié)議,校內(nèi)用接入戶統(tǒng)一安裝銳捷認(rèn)證客服端軟件。802.1X協(xié)議僅對(duì)端口的打開與關(guān)閉進(jìn)行控制,在未通過認(rèn)證時(shí),交換機(jī)端口是關(guān)閉的,此時(shí)用戶無法使用交換機(jī)的交換功能,用戶自然也就無法接入Internet,當(dāng)用戶通過認(rèn)證后,此時(shí)交換機(jī)端口打開,與傳統(tǒng)的網(wǎng)絡(luò)交換方式一致,用戶便可連接DHCP服務(wù)器獲取到IP地址,網(wǎng)絡(luò)數(shù)據(jù)包便通過交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。因此校園網(wǎng)采用802.1X認(rèn)證計(jì)費(fèi)后,對(duì)于接入用戶再進(jìn)行賬號(hào)、MAC、IP、端口等多元素綁定,用于確定用戶的唯一身份,而網(wǎng)絡(luò)中的非法用戶由于無法通過認(rèn)證,就會(huì)被交換機(jī)在物理鏈路上將其隔離與網(wǎng)絡(luò)之外,只有通過認(rèn)證的用戶,交換機(jī)才保證正常傳輸數(shù)據(jù)包,有效的防止IP盜用、賬號(hào)盜用、非法設(shè)備接入、架設(shè)代理等情況的發(fā)生。
在計(jì)費(fèi)策略方面也比較靈活,可實(shí)現(xiàn)計(jì)天、計(jì)時(shí)長(zhǎng)、包月以及充值卡業(yè)務(wù)功能。支持設(shè)置優(yōu)惠時(shí)段、包月限最大時(shí)長(zhǎng),支持時(shí)長(zhǎng)卡、包月卡等多種卡業(yè)務(wù)。還可以生成充值卡,學(xué)生購買充值卡以后,只需要在寢室直接登錄充值頁面,輸入充值卡號(hào),密碼就能進(jìn)行充值續(xù)費(fèi)。對(duì)于每一個(gè)接入交換機(jī)的端口來說,其相當(dāng)于是一個(gè)獨(dú)立認(rèn)證者,在最大程度上實(shí)現(xiàn)了分布式認(rèn)證,既減少了單點(diǎn)故障發(fā)生的機(jī)率,同時(shí)也避免了傳統(tǒng)網(wǎng)關(guān)設(shè)備進(jìn)行認(rèn)證時(shí)所造成的設(shè)備負(fù)載過大,形成網(wǎng)絡(luò)瓶頸。
參考文獻(xiàn):
[1]周克復(fù).WLAN安全認(rèn)證與管理方案的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù),2006,9.
[2]羅益榮.基于802.1X認(rèn)證和旁路流控的校園網(wǎng)管理策略[J].福建電腦,2007,2.