楊模和　張俊芳　徐明明

摘要：CAMs作為網(wǎng)絡中的業(yè)務管理核心，支持與路由器、LAN接入設備等網(wǎng)絡產(chǎn)品共同組網(wǎng)，完成終端用戶的認證、授權(quán)、計費和權(quán)限管理，實現(xiàn)網(wǎng)絡的可管理、可運營，保證網(wǎng)絡和用戶信息的安全。本文對CAMS在802.1X認證方式下與H3C公司設備配合組建小區(qū)寬帶網(wǎng)進行了分析。

關(guān)鍵詞：CAMS；802.1X；小區(qū)寬帶網(wǎng)

1CAMS系統(tǒng)概述

CAMS(Comprehensive Access Management Sewer)是H3C公司推出的綜合接入管理服務器。CAMS系統(tǒng)硬件平臺為PC服務器，軟件平臺為LINUX，數(shù)據(jù)庫為ORACLE。CAMS系統(tǒng)采用組件化的結(jié)構(gòu)方式，使得業(yè)務組件可以動態(tài)加載，單獨升級，能有效地適應網(wǎng)絡的擴容帶來的對網(wǎng)絡的管理。CAMS與H3C公司的系列網(wǎng)絡產(chǎn)品無縫集成，支持從低端到高端各種設備的認證和用戶管理。

2802.1X認證

IEEE 802.1X是IEEE(國際電子電器工程師協(xié)會)制定的基于端口的網(wǎng)絡接入控制標準，是一種對用戶進行認證的方法和策略。

3組網(wǎng)方式

CAMS系統(tǒng)可與H3C公司多種設備共同組網(wǎng)，實現(xiàn)對用戶的802.1X接入方式認證。CAMS系統(tǒng)與H3C公司設備配合實現(xiàn)802.1X認證有兩種方式，一種是在接八層啟用802.1X認證，另一種是在匯聚層啟用802.1X認證。

接入層啟用802.1X認證進行組網(wǎng)時，在接入層設備終結(jié)802.1X報文，并轉(zhuǎn)換成Radius協(xié)議報文到CAMS進行認證。這種方式能很好地利用CAMS的功能對用戶進行控制，如用戶通知消息下發(fā)、端口綁定(控制到用戶接入端口)、用戶IP綁定、用戶MAC綁定以及防止用戶使用代理等。

匯聚層啟用802.1X認證進行組網(wǎng)時，在匯聚層設備終結(jié)802.1X報文，并轉(zhuǎn)換成Radius協(xié)議報文到CAMS進行認證。這種方式的配置管理相對于接入層更簡單，但對用戶的控制力度不如接入層強，如對端口綁定功能就控制不到接入端口。

下面就接入層啟用802.1X認證的組網(wǎng)方式進行分析。

4CAMS組網(wǎng)技術(shù)應用

如圖所示，在接入層啟用802.1X認證方式下，CAMS與H3C公司設備配合組建的小區(qū)寬帶網(wǎng)。

4.1網(wǎng)絡結(jié)構(gòu)描述

網(wǎng)絡的總體結(jié)構(gòu)為星型分層次結(jié)構(gòu)，采用核心、層、匯聚層、接入層的三層網(wǎng)絡結(jié)構(gòu)。在核心層采用一臺QUIDWAYS 8505作為核心交換機，實現(xiàn)小區(qū)主干光纜千兆接入企業(yè)信息網(wǎng)，為小區(qū)網(wǎng)絡數(shù)據(jù)提供核心交換和匯聚。各小區(qū)中心匯聚層采用QUIDWAYS 6503作為匯聚設備，實現(xiàn)單模光纜千兆上行連接企業(yè)信息網(wǎng)和多模光纜百兆下行連接樓棟交換機。在樓棟接入層采用QUIDWAYS2403H-EI交換機，滿足多模光口百兆上行連接小區(qū)中心匯聚層全光口交換機、10／100M RJ45口雙絞線連接用戶。

4.2認證管理系統(tǒng)構(gòu)成

圖中所示小區(qū)寬帶網(wǎng)絡的認證管理系統(tǒng)由三部分構(gòu)成：

(1)客戶端

各樓層的PC用戶采用802.1X認證客戶端來完成上網(wǎng)的認證。從安全性和業(yè)務開展的角度考慮，全網(wǎng)采用H3C公司的802.1X客戶端。

(2)認證設備

所有樓棟接入層交換機S2403下行的各個端口啟動802.1X認證，各個樓層的PC必須通過802.1X客戶端進行認證。用戶輸入用戶名和密碼，S2403會通過CAMS服務器對用戶名和密碼進行認證，如果認證通過，用戶PC可以訪問企業(yè)信息網(wǎng)和互聯(lián)網(wǎng)，同時CAMS服務器開始對用戶進行計費。

(3)認證計費平臺

全網(wǎng)采用CAMS綜合認證計費平臺來完成所有的認證和計費過程。

4.3組網(wǎng)特點

在接入層啟用802.1X認證方式下，CAMS與H3C公司設備配合組網(wǎng)具有以下特點：

(1)認證方式高效靈活，認證安全可靠；

(2)通過訪問控制功能可以有效地控制、屏蔽非法用戶的連接；

(3)低成本、高性能，具有較高的性價比。

5結(jié)束語

CAMS組網(wǎng)技術(shù)是適合企業(yè)小區(qū)寬帶網(wǎng)絡建設的一套集Web安全認證、訪問控制、安全審記和單點登錄于一體的解決方案。它提供了高安全性、高穩(wěn)定性、高靈活性、高性價比，實現(xiàn)了小區(qū)寬帶的可管理、可運營，為用戶提供了滿意的服務。