基于BAS設(shè)備的802.1X校園網(wǎng)二次認(rèn)證用戶接入

文/沈宏

受限于高成本帶寬及校園用戶不斷增長的剛性需求，高校校園網(wǎng)絡(luò)的壓力與日俱增。為減輕帶寬壓力、降低建設(shè)成本和提供更好質(zhì)量的帶寬，很多高校都在宿舍區(qū)引入運營商運營。本文從校園網(wǎng)建設(shè)實踐出發(fā)，提出一種基于BAS設(shè)備的802.1X二次認(rèn)證用戶接入技術(shù)方案，在可管理性和安全性上提高了網(wǎng)絡(luò)運維質(zhì)量，為校園網(wǎng)絡(luò)運維提供了一種新的技術(shù)模式。

BAS設(shè)備的全稱是寬帶接入服務(wù)器（Broadband Access Server），是面向?qū)拵ЬW(wǎng)絡(luò)應(yīng)用的新型接入網(wǎng)關(guān)，一般位于骨干網(wǎng)的邊緣層，可以完成用戶帶寬的IP/ATM網(wǎng)的數(shù)據(jù)接入。以BAS設(shè)備做為用戶接入網(wǎng)關(guān)可以有效減少網(wǎng)絡(luò)管理成本，實現(xiàn)靈活的分組用戶管理策略，實現(xiàn)靈活的策略路由和用戶級安全策略。

而802.1X協(xié)議是典型的基于C/S架構(gòu)的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1X對連接到交換機端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1X只允許EAPoL（基于局域網(wǎng)的擴展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。802.1X協(xié)議還可以根據(jù)用戶完成認(rèn)證和離線間的時間進(jìn)行時長計費。

相對PPPoE協(xié)議來說，802.1X協(xié)議需要使用特定廠商客戶端軟件，可以有效解決客戶端防共享的問題，相對于在校園有限的地理環(huán)境內(nèi)花費一定的成本進(jìn)行客戶端分發(fā)和維護工作還是較容易接受。在這種運營模式中，學(xué)校提供網(wǎng)絡(luò)設(shè)備、綜合布線系統(tǒng)等基礎(chǔ)網(wǎng)絡(luò)設(shè)施，運營商提供帶寬和賬號，通過BAS設(shè)備設(shè)置不同認(rèn)證域為用戶提供教科網(wǎng)和運營商等不同上層鏈路出口，實現(xiàn)學(xué)生流量分流，由學(xué)校統(tǒng)一進(jìn)行網(wǎng)絡(luò)運維，學(xué)生可以根據(jù)自己對網(wǎng)絡(luò)的需求有多種選擇，學(xué)校和運營商能夠保持“相對平等”的關(guān)系，不致被某個運營商一家獨大，可以進(jìn)行“多運營商平等競爭運營”模式的嘗試，從而給校園用戶提供更優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。因此，采用基于BAS設(shè)備的校園網(wǎng)802.1X二次認(rèn)證用戶接入技術(shù)能夠解決以上問題。

我們在具體實施過程中主要進(jìn)行了以下幾個方面的策略選擇。

1.技術(shù)方案選擇

應(yīng)堅持網(wǎng)絡(luò)扁平化、用戶端操作不變的原則，當(dāng)校園網(wǎng)絡(luò)用戶使用運營商賬號上網(wǎng)認(rèn)證時， BAS設(shè)備在收到客戶端認(rèn)證請求時會首先將用戶信息（用戶名、密碼、MAC地址）送到學(xué)校自有Radius認(rèn)證系統(tǒng)進(jìn)行預(yù)認(rèn)證，預(yù)認(rèn)證通過后再將用戶信息（用戶名、密碼）送到運營商Radius認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，兩次認(rèn)證成功后由BAS設(shè)備分配IP地址、掩碼、安全策略等接入互聯(lián)網(wǎng)，其中學(xué)校Radius認(rèn)證系統(tǒng)除了進(jìn)行用戶名、密碼認(rèn)證外，還增加綁定MAC地址的認(rèn)證，解決可管理性和安全性的問題。

2.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和域設(shè)置

在實踐中，為提高宿舍校園網(wǎng)運行的可靠性，我們按每位學(xué)生單獨端口單獨VLAN的標(biāo)準(zhǔn)對宿舍網(wǎng)絡(luò)進(jìn)行“扁平化大二層”改造，增配網(wǎng)絡(luò)布線系統(tǒng)，采用QinQ方式在樓宇匯聚交換機分配內(nèi)、外層Tag VLAN，對用戶實現(xiàn)端口隔離，在BAS設(shè)備開設(shè)三個功能域，一是電信運營商域，域內(nèi)配置“認(rèn)證”和“預(yù)認(rèn)證”參數(shù)，分配運營商IP地址，通過二次認(rèn)證向用戶提供運營商接入服務(wù)；二是教科網(wǎng)域，承載原教科網(wǎng)用戶，使用教科網(wǎng)IP地址和策略路由；三是caijing域，認(rèn)證方式同cnc域，但用戶地址使用教科網(wǎng)地址和策略路由走教科網(wǎng)鏈路，用途是供運營商用戶訪問校外免費數(shù)據(jù)庫網(wǎng)絡(luò)資源。BAS設(shè)備以萬兆鏈路接入運營商城域網(wǎng)，默認(rèn)路由指向運營商，同時運營商鏈路用戶使用靜態(tài)路由訪問Web、Email、教學(xué)信息、數(shù)據(jù)庫等學(xué)校網(wǎng)絡(luò)信息資源。為方便網(wǎng)絡(luò)管理，劃分業(yè)務(wù)流量和網(wǎng)管流量，我們使用單獨網(wǎng)管鏈路連接宿舍網(wǎng)絡(luò)核心設(shè)備和校園網(wǎng)核心交換機。

3.網(wǎng)絡(luò)切換相關(guān)準(zhǔn)備

為實現(xiàn)網(wǎng)絡(luò)平穩(wěn)切換，需要和運營商進(jìn)行管理上的溝通和協(xié)調(diào)，由于運營商鏈路賬號為半年預(yù)付費卡，理論上學(xué)生每半年就會換一張卡，為避免校方和運營商賬號信息不同步問題，運營商取消用戶自助修改密碼功能，統(tǒng)一由學(xué)校處理賬號及MAC地址綁定問題，學(xué)校統(tǒng)一將賬號導(dǎo)入學(xué)校自有Radius認(rèn)證系統(tǒng)，并在卡銷售時記錄用戶信息及聯(lián)系方式，學(xué)校自有Radius認(rèn)證平臺具備賬號MAC地址自動學(xué)習(xí)功能，可以自動綁定用戶第一次認(rèn)證成功時的MAC地址，減少了用戶MAC地址登記的難度，利用原有網(wǎng)絡(luò)用戶自助系統(tǒng)處理MAC地址變更問題。

基于BAS設(shè)備的802.1X二次接入認(rèn)證技術(shù)方案實施后，校園用戶接入方式不變，可以有多種不同層次的網(wǎng)絡(luò)服務(wù)供選擇；運營商通過監(jiān)控BAS設(shè)備和賬號即可掌握運維情況；學(xué)校網(wǎng)管人員能夠在學(xué)校自有認(rèn)證系統(tǒng)中實時檢索用戶登錄錯誤日志、歷史登錄日志等運維信息，對網(wǎng)絡(luò)故障定位和解決用戶問題提供強有力的幫助。由于賬號綁定MAC地址，賬號安全性和可管理性大幅提高，用戶體驗和后續(xù)運維管理反映良好。