校園網(wǎng)家屬區(qū)認證系統(tǒng)研究

劉世注

（廣東外語外貿(mào)大學(xué) 網(wǎng)絡(luò)中心，廣東 廣州 510006）

校園網(wǎng)家屬區(qū)認證系統(tǒng)研究

劉世注

（廣東外語外貿(mào)大學(xué) 網(wǎng)絡(luò)中心，廣東 廣州 510006）

文章介紹了PPPoE，Web/Portal 及802.1x 3種常用認證方式的原理，根據(jù)校園網(wǎng)家屬區(qū)的特點，從校園網(wǎng)家屬區(qū)認證需求的角度，對比分析了3種認證方式的優(yōu)缺點、配置需求等，最后作出選擇并對其部署提出建議。

PPPoE；Web/Portal；802.1x；校園網(wǎng)家屬區(qū)

隨著信息化的發(fā)展，很多高校在大力推行數(shù)字化校園建設(shè)。作為接入網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，校園網(wǎng)于教職工和學(xué)生的意義已經(jīng)不言而喻。雖然現(xiàn)在諸如手機、電腦等智能移動設(shè)備較為普遍，且大多室外廣場都已安裝無線網(wǎng)絡(luò)，但廣外教職工家屬區(qū)網(wǎng)絡(luò)接入設(shè)備為Cisco2950（不支持Web認證），只能通過電腦使用銳捷客戶端進行認證上網(wǎng)，因此，解決多人多設(shè)備同時上網(wǎng)的問題在應(yīng)用中不可避免。

1　廣東外語外貿(mào)大學(xué)校園網(wǎng)家屬區(qū)認證需求分析

從無線接入點考慮，如果加裝無線接入點，成本龐大，施工難度大，設(shè)備利用率低，且機房需加裝poe設(shè)備，此種方法暫時放棄。從認證方式考慮，有2種方法：

第一種，將全部接入設(shè)備（cisco2950）換成銳捷交換機，但需替換的設(shè)備數(shù)量巨大，操作復(fù)雜。

第二種，另辟蹊徑，在匯聚層加設(shè)一臺銳捷S5750作為認證匯聚網(wǎng)關(guān)，將現(xiàn)有客戶端認證全部改成Web/portal認證，教職員工可以下接路由器，設(shè)備改造小，滿足了上網(wǎng)需求，故選擇第二種。

2　以太網(wǎng)接入認證方式介紹

2.1PPPoE認證優(yōu)缺點

2.1.1PPPoE認證優(yōu)點

（1）PPPoE認證不僅具有廣泛、成熟的優(yōu)點，也具有良好的互通性與標準性。

（2）現(xiàn)有主流的PC操作系統(tǒng)基本上自帶PPPoE認證端，不需要另外安裝，無兼容性問題；用戶比較容易接受。

（3）PPPoE通過唯一的Session-ID可以很好地保障用戶的安全性。

2.1.2PPPoE認證的缺點

（1）在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，認證機制比較復(fù)雜，對網(wǎng)絡(luò)性能影響大，對設(shè)備性能要求較高。

（2）需要客戶終端軟件，維護工作量過大。

（3）隨著網(wǎng)絡(luò)應(yīng)用層出不窮，也逐漸暴露出BAS設(shè)備在業(yè)務(wù)支持上的局限性問題，很難開展組播業(yè)務(wù)。究其原因，還是因為在PPP協(xié)議中，對一個端對端關(guān)系進行定義時，有多個網(wǎng)絡(luò)設(shè)備和主機通信，但主機的可選擇性較為單一，只能從中選取一個。為此，在認證時采用PPPOE方式，組播復(fù)制點的最終“落腳處”就在BAS設(shè)備上。

3　Web/Portal認證原理

Web/Portal認證，顧名思義就是利用Web頁面進行認證。這種認證方法不需要用戶安裝專用的客戶端認證軟件，使用普通的瀏覽器就可以進行身份認證。

當使用瀏覽器上網(wǎng)時，未認證用戶HTTP報文都會被接入NAS設(shè)備截獲。交換機偽裝成用戶期望訪問的站點，與用戶建立TCP連接后，通過HTTP重定向?qū)㈩A(yù)先設(shè)定好的認證頁面推送給用戶，portal服務(wù)器攜帶用戶的認證信息，向radius服務(wù)器發(fā)認證請求，radius服務(wù)器返回認證成功或失敗信息，如果認證成功后，由Web portal服務(wù)器向NAS設(shè)備通過SNMP下發(fā)IP+MAC或者IP的綁定信息，同時發(fā)記賬開始信息到radius服務(wù)器開始記賬，以達到用戶在線認證且不用安裝認證客戶端的目的。詳細的原理如圖1所示。

圖1　認證原理

其認證處理階段流程如圖2所示。

（1）Portal發(fā)起認證請求主要利用HTTP協(xié)議。接入設(shè)備在感受到HTTP報文經(jīng)過時，針對設(shè)定可訪問地址的HTTP報文，或訪問Portal服務(wù)器的可對其放行；而對于訪問其它地址的HTTP報文，接入設(shè)備對其進行強制重定向。當用戶輸入用戶名和密碼進行認證時，Portal服務(wù)器則讓其通過Web頁面。

（2）Portal服務(wù)器和接入設(shè)備進行CHAP認證交互時，如果采用的是密碼驗證協(xié)議，即PAP，認證則省略了其它環(huán)節(jié)，直接進入下一步。

（3）Portal服務(wù)器組裝用戶輸入用戶名與密碼且以報文的形式將其發(fā)往接入設(shè)備，并將定時器開啟，以等待認證應(yīng)答報文。

（4）接入設(shè)備和RADIUS服務(wù)器之間進行RADIUS協(xié)議報文的交互。

（5）接入設(shè)備將認證應(yīng)答報文發(fā)送至Portal服務(wù)器。

（6）Portal服務(wù)器將認證通過報文發(fā)送給客戶端，告知客戶端上線成功。

（7）當認證通過報文順利到達客戶端后，借助DHCP以獲得新公網(wǎng)IP地址，并將這一消息告知Portal服務(wù)器用戶。

（8）Portal服務(wù)器將新公網(wǎng)IP地址告知接入設(shè)備客戶端。

（9）接入設(shè)備對ARP協(xié)議報文進行檢測時發(fā)現(xiàn)用戶IP發(fā)生改變，并顯示Portal服務(wù)器已將用戶IP變化檢測出來。

（10）Portal服務(wù)器將客戶端上線成功消息告知給客戶。

（11）Portal服務(wù)器將IP變化確認報文發(fā)送給接入設(shè)備。

圖2　認證處理階段流程

3.1Web/Portal認證優(yōu)缺點

3.1.1Web/Portal認證優(yōu)點

（1）認證客戶端不需要安裝，只需對后臺進行維護，以讓維護工作量減少。

（2）可以在Portal頁面上推送校園信息或者業(yè)務(wù)拓展。

（3）技術(shù)成熟，兼容性好。

3.1.2Web/Portal認證缺點

（1）Web/Portal認證是基于7層的認證模式， 設(shè)備性能要求高。

（2）漫游時用戶需重新連接，不能很好地體驗，進而無法對用戶離線進行檢測，很難時間對時間的計費。

（3）需要增加radius服務(wù)器（用于儲存客戶端用戶名和密碼的設(shè)備）、內(nèi)置portal服務(wù)功能弱。

（4）認證前后業(yè)務(wù)流和數(shù)據(jù)流混在一起無法有效區(qū)分。

3.2802.1x認證優(yōu)缺點

3.2.1802.1x認證優(yōu)點

（1）802.1x協(xié)議不通到3層，其僅為二層協(xié)議，且對設(shè)備的整體性能沒有較高要求，建網(wǎng)成本大大降低。

（2）綁定技術(shù)安全性較高，802.1x在無線局域網(wǎng)環(huán)境中與EAP-TLS，EAP-TTLS結(jié)合，可動態(tài)分配WEP證書密鑰，讓無線局域網(wǎng)中的安全漏洞得到有效防范。

（3）IEEE標準相同于以太網(wǎng)標準，實現(xiàn)了與以太網(wǎng)技術(shù)的無縫銜接，大多數(shù)主流數(shù)據(jù)設(shè)備廠商在路由器、交換機等設(shè)備上均支持了該協(xié)議。

（4）可對認證的顆粒度進行靈活控制，認證單個用戶連接、用戶ID等，且可靈活組合認證層次，讓特定的接入技術(shù)被滿足。

3.2.2802.1x認證缺點

（1）需要特定客戶端軟件，客戶端軟件維護工作量大，嚴重依賴于其它第三方網(wǎng)絡(luò)設(shè)備，對其它設(shè)備要求較高，部署缺乏靈活性和擴展性。

（2）網(wǎng)絡(luò)安全問題：作為一個二層協(xié)議，802.1x協(xié)議的任務(wù)就是認證控制接入用戶的端口，當完成這一任務(wù)后，校園網(wǎng)用戶就將進入3層IP網(wǎng)絡(luò)中，需要對城域網(wǎng)以太接入的多方面問題進行解決，如可運營、可管理和接入安全性等。

（3）計費問題：802.1x協(xié)議在進行時長計費時，主要以用戶完成認證與離線間的時間為參考，因而不能很好地統(tǒng)計流量。

4　以太網(wǎng)接入認證方式總結(jié)

根據(jù)廣外校園網(wǎng)家屬區(qū)的認證需求，總結(jié)3種認證方式的區(qū)別如表1所示。

表1　3種認證方式的區(qū)別

5　結(jié)語

綜上所述，3種方式各自有自己的優(yōu)缺點：802.1x協(xié)議是當前在用的，需PC操作系統(tǒng)使用客戶端，維護工作量大，已經(jīng)不能滿足網(wǎng)絡(luò)需求；基于PPPoE的認證方式管理性強、計費準確、兼容性好、安全性強、適合網(wǎng)絡(luò)運營商，缺點就是PPP限制了網(wǎng)絡(luò)環(huán)境和組播業(yè)務(wù)，點與點相互隔離，雖然確保了安全性，但是限制了組播業(yè)務(wù)，增加了網(wǎng)絡(luò)出口負擔；Web認證方式，在兼容方面具有明顯優(yōu)勢，但在計費準確度以及用戶可管理性方面稍顯滯后。學(xué)?？蓪嶋H情況聯(lián)系起來，采取與之相匹配的認證方式。若偏重的方向是系統(tǒng)的精確性與可管理性，則PPPoE的認證計費方式無疑是最適宜的，但高校也要考慮到用戶的方便性，不能出現(xiàn)過高的計費要求，由于目前包月不限流量的計費方式得到普遍運用，因此，可采用Web認證計費模式。

Study on the Authentication System in GDUFS Campus Network for Dependents' District

Liu Shizhu
（Guangdong Vniversity of Foreign Studies，Network Center，Guangzhou 510006，China）

This paper introduces three authentication methods， PPPoE、Web/Portal and 802.1x， and compare their advantages，disadvantages and configurations according to the characteristics and needs of GDUFS campus network for families， finally make a choice and recommendation.

PPPoE； Web/Portal； 802.1x； campus network for dependents' district

劉世注（1982-），男，廣東梅州；研究方向：校園無線網(wǎng)絡(luò)。