李漢斌　任翔　任博

摘要：隨著高校校園網(wǎng)IPV6應(yīng)用的啟用，校園網(wǎng)網(wǎng)絡(luò)帶寬速率得到進(jìn)一步提高，多媒體網(wǎng)絡(luò)應(yīng)用已經(jīng)成為主流，校園網(wǎng)接入認(rèn)證問題突顯出來，這對于常用的三種接入控制協(xié)議PPPoE、L2TP和DHCP+WebPortal增加了許多變數(shù)。該文在分析比較上述三種協(xié)議部署利弊的基礎(chǔ)上，提出了一種基于BRAS的校園網(wǎng)接入認(rèn)證模式。該模式針對不同的用戶及網(wǎng)絡(luò)資源管理，及應(yīng)用類型，采用不同的認(rèn)證接入組合協(xié)議，并以某大學(xué)新老校區(qū)校園網(wǎng)接入認(rèn)證模式為例，進(jìn)行了較為詳實(shí)的說明。該模式采用BRAS來完成校園網(wǎng)接入方式的認(rèn)證，實(shí)現(xiàn)了用戶的精細(xì)化和個(gè)性化管理和全網(wǎng)的可控接入，從而降低用戶終端對校園網(wǎng)主干的影響，對IPV6應(yīng)用有良好的支持作用。

關(guān)鍵詞：校園網(wǎng)；PPPoE協(xié)議；L2TP協(xié)議；Web認(rèn)證；BRAS

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）07-1509-04

1 BRAS在不同接入?yún)f(xié)議中部署上的特點(diǎn)

PPPoE協(xié)議在部署上的特點(diǎn)：

PPPoE是Point to Point Protocol over Ethernet的簡稱，廣泛的應(yīng)用于接入主機(jī)密集的網(wǎng)絡(luò)中，如學(xué)生宿舍與住宅小區(qū)。PPPoE在網(wǎng)絡(luò)中是一個(gè)二層協(xié)議，它將PPP協(xié)議承載在以太網(wǎng)上，利用廉價(jià)的以太網(wǎng)組建點(diǎn)對點(diǎn)的網(wǎng)絡(luò)。PPPoE連接分為兩個(gè)階段，發(fā)現(xiàn)階段和會話階段，發(fā)現(xiàn)階段是無狀態(tài)的，采用廣播的方式是獲得PPPoE終結(jié)端（服務(wù)端設(shè)備）的以太網(wǎng)MAC地址，并建立一個(gè)唯一的PPPoESESSION-ID，發(fā)現(xiàn)階段結(jié)束后，就進(jìn)入標(biāo)準(zhǔn)的PPP會話階段，從而實(shí)現(xiàn)PPPoE的連接。因此使用PPPoE協(xié)議時(shí)，BRAS 是寬帶遠(yuǎn)程接入服務(wù)器 （Broadband Remote Access Server）的簡稱，BRAS設(shè)備必須位于用戶子網(wǎng)中或同一個(gè)Vlan中，以確保二層以太網(wǎng)廣播報(bào)文能夠到達(dá)BRAS，如圖1所示。[1]

L2TP協(xié)議在部署上的特點(diǎn)：

L2TP是Layer 2 Tunneling Protocol的簡稱，是一個(gè)可以跨越三層的協(xié)議的二層協(xié)議。即在三層上通過隧道的方式建立用戶端與BRAS之間用的二層鏈路。與PPPoE不同，L2TP是通過指定接入服務(wù)端IP地址來進(jìn)行連接，而PPPoE則采用以太網(wǎng)廣播的方式來發(fā)現(xiàn)接入服務(wù)端，使用L2TP作為用戶接入?yún)f(xié)議，則可以將BRAS設(shè)備可以部署在IP可達(dá)的網(wǎng)絡(luò)中，服務(wù)于三層結(jié)構(gòu)中的校園網(wǎng)用戶，增加了接入網(wǎng)絡(luò)的靈活性如圖2所示。

采用L2TP進(jìn)行接入，完全不需要對原有網(wǎng)絡(luò)進(jìn)行改造，只需要保證用戶IP和BRAS設(shè)備路由可達(dá)即可。在L2TP鏈路之上，用戶與BRAS之間建立了一個(gè)跨越三層的二層連接。

DHCP+Web Portal在部署上的特點(diǎn)：

Portal認(rèn)證的基本過程是： 客戶機(jī)首先通過DHCP協(xié)議通過BRAS分配到IP地址（客戶端也可以使用靜態(tài)IP地址），但是這時(shí)客戶使用獲取到的IP地址并不能訪問上Internet，處于受限狀態(tài)?？蛻舳薎P地址在認(rèn)證通過前只能訪問事先設(shè)定的一些IP地址，這些地址通常是DNS、Portal服務(wù)器的IP地址、自助服務(wù)區(qū)地址等。[2]當(dāng)用戶需要在瀏覽器地址欄訪問一個(gè)可被當(dāng)前系統(tǒng)DNS解析的域名或一個(gè)合法的IP地址，當(dāng)BRAS收到一個(gè)合法的IP地址后會向客戶端瀏覽器推送一個(gè)認(rèn)證登錄頁面來觸發(fā)認(rèn)證，認(rèn)證通過后，BRAS根據(jù)預(yù)設(shè)的接入控制策略來修改其訪問控制表（ACL）使該用戶IP可以訪問INTERNET或規(guī)定的地址。在實(shí)際應(yīng)用中客戶端收到BRAS推送的認(rèn)證頁面后，可以瀏覽上面的內(nèi)容，比如校園新聞、公告等校園信息、自助服務(wù)信息，同時(shí)用戶還可以在網(wǎng)頁上輸入用戶名和密碼并提交給Portal Server，如果用戶名和密碼有效，Portal Server則通知BRAS修改該客戶IP的ACL使其能訪問預(yù)設(shè)的網(wǎng)絡(luò)資源，并在客戶瀏覽器上顯示認(rèn)證成功的信息。如圖3所示。采用Portal認(rèn)證的接入設(shè)備必須具備這種能力。

圖3 WebPortal+DHCP在校園網(wǎng)中的部署

2 BRAS在不同認(rèn)證方式上的優(yōu)缺點(diǎn)

PPPoE接入的優(yōu)點(diǎn)與缺點(diǎn)：

優(yōu)點(diǎn)：采用PPPoE 協(xié)議部署時(shí)，支持的操作系統(tǒng)眾多用戶幾乎零配置即可完成連接，PPP在匯聚層終結(jié)（BRAS設(shè)備）對網(wǎng)絡(luò)的性能取決于BRAS的性能，但BRAS需要部署到網(wǎng)絡(luò)的匯聚層，投資較大；PPPoE是電信運(yùn)營商傳統(tǒng)PSTN窄帶撥號接入技術(shù)在以太網(wǎng)接入技術(shù)的延伸，即用帶寬更大的以太網(wǎng)取代傳統(tǒng)PSTN，和原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致。因此，采用 PPPoE可以不改變用戶的上網(wǎng)習(xí)慣，減少用戶的培訓(xùn)；可以在廣播型的網(wǎng)絡(luò)上實(shí)現(xiàn)接入用戶與接入設(shè)備的端到端的連接，可以有效的進(jìn)行用戶隔離，從而防范病毒，如ARP攻擊病毒，用戶廣播數(shù)據(jù)包對其他接入用戶的影響；可以通過接入設(shè)備對每一個(gè)用戶連接下發(fā)個(gè)性化的管理策略；對用戶在線感知的較為靈敏，計(jì)費(fèi)精度高。

缺點(diǎn)：由于PPPoE是將個(gè)PPP數(shù)據(jù)包封裝在以太網(wǎng)的幀內(nèi)實(shí)現(xiàn)PPP在以太網(wǎng)傳輸，因此增加了網(wǎng)絡(luò)流量，耗費(fèi)客戶端的CPU資源。因此對需要高帶寬的多媒體應(yīng)用非常不利。PPPoE認(rèn)證與接入需要高性能的BRAS設(shè)備，認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過BRAS設(shè)備，容易造成單點(diǎn)瓶頸和故障。但在實(shí)際應(yīng)用中，這些降低的開銷非常小?？疾炀W(wǎng)絡(luò)上實(shí)測得到的數(shù)據(jù)報(bào)文，報(bào)文長度基本符合高斯分布，絕大部分長度在200～500字節(jié)之間，而PPPoE和PPP封裝的總長度一般為9個(gè)字節(jié)，對效率的影響在2%～5%之間。實(shí)際上，PPP還可以選擇進(jìn)行Van Jacobson報(bào)文首部壓縮，可以減小TCP首部和IP首部的長度，最終帶來的結(jié)果是PPP/PPPoE報(bào)文的傳輸效率完全可以不輸與一般的以太網(wǎng)報(bào)文；對于封裝開銷來說，隨著接入服務(wù)器硬件的發(fā)展和網(wǎng)絡(luò)處理器封裝轉(zhuǎn)發(fā)機(jī)制的引入，很多接入服務(wù)器上，所有的封裝解封裝都是利用硬件完成，對系統(tǒng)的性能基本沒有影響。實(shí)際上，對于一臺以網(wǎng)絡(luò)處理器和硬件轉(zhuǎn)發(fā)為核心的接入服務(wù)器來說，網(wǎng)絡(luò)的瓶頸已經(jīng)不在設(shè)備本身，而在傳輸鏈路上；對于報(bào)文分片問題，可以通過對應(yīng)用服務(wù)器進(jìn)行設(shè)置來解決。網(wǎng)絡(luò)中出現(xiàn)的長包基本上都是流媒體服務(wù)器為了提高傳輸效率而發(fā)出的，對于這類報(bào)文，我們可以通過對流媒體服務(wù)器進(jìn)行配置，設(shè)置服務(wù)器的分片長度，使得報(bào)文長度即使加上封裝后其總長度也不超過以太網(wǎng)的MTU（1500）就可以避免分片。

L2TP接入的優(yōu)點(diǎn)與缺點(diǎn)：

優(yōu)點(diǎn)：采用L2TP 協(xié)議部署對原有網(wǎng)絡(luò)幾乎不做任何改動(dòng)，采用L2TP接入方式，用戶在使用校園網(wǎng)時(shí)不需要做任何事情，當(dāng)需要訪問校園網(wǎng)外的網(wǎng)絡(luò)資源時(shí)，則使用L2TP連接到BRAS 設(shè)備上，通過用戶認(rèn)證后在校園網(wǎng)上建立一個(gè)與BRAS的虛擬連接并分配到一個(gè)可以訪問外網(wǎng)的IP地址。

缺點(diǎn)：L2TP 承載在UDP 協(xié)議之上，而UDP本身是無連接的不可靠傳輸協(xié)議，容易受到網(wǎng)絡(luò)中的病毒、線路質(zhì)量的影響，例如ARP欺騙類的蠕蟲病毒，就會對L2TP 隧道產(chǎn)生很大的影響，當(dāng)用戶子網(wǎng)中發(fā)生ARP 欺騙時(shí)，就會導(dǎo)致用戶的L2TP 隧道斷開，連接中斷。因此L2TP 隧道的健壯性相對較弱，存在服務(wù)健壯性相對較弱、用戶配置步驟較多的問題。

WebPortal接入的優(yōu)點(diǎn)與缺點(diǎn)：

優(yōu)點(diǎn)：采用DHCP+WebPortal方式時(shí)，不需要安裝任何客戶端軟件，降低了網(wǎng)絡(luò)維護(hù)工作量，可穿越二、三層混合網(wǎng)絡(luò)，用戶使用門檻低，用戶只要會使用瀏覽器就可完成網(wǎng)絡(luò)的接入與認(rèn)證。

缺點(diǎn)：WEB承載在7層協(xié)議上，對于設(shè)備的要求較高，建網(wǎng)成本高；系統(tǒng)對用戶在線感知靈敏度低，不容易檢測用戶離線，基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)；易用性不夠好，用戶在訪問網(wǎng)絡(luò)前，必須通過瀏覽器進(jìn)行觸發(fā)接入認(rèn)證；IP地址在用戶終端開機(jī)時(shí)由DHCP分配，并不需要用戶認(rèn)證，如果用戶不上網(wǎng)，則會造成地址的浪費(fèi)，而且接入與認(rèn)證跨了網(wǎng)絡(luò)的7層，當(dāng)出現(xiàn)故障時(shí)難以準(zhǔn)確定位。對用戶的管理、安全特性較弱；認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。

3 一種基于BRAS的校園網(wǎng)接入認(rèn)證模式

BRAS主要完成兩方面功能，一是網(wǎng)絡(luò)承載功能：負(fù)責(zé)終結(jié)用戶的PPPoE、L2TP連接、推送WebPortal接入認(rèn)證頁面、匯聚用戶的流量功能；二是控制實(shí)現(xiàn)功能：與認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)和客戶管理系統(tǒng)及服務(wù)策略控制系統(tǒng)相配合實(shí)現(xiàn)用戶接入的認(rèn)證、計(jì)費(fèi)和管理功能，有效地完成用戶的個(gè)個(gè)性化接入，如QOS、接入帶寬和訪問控制等。BRAS可以使用設(shè)備內(nèi)部的用戶管理功能實(shí)現(xiàn)用戶的接入與認(rèn)證管理，也可采用設(shè)備外部Radius服務(wù)器作為用戶認(rèn)證方式，這樣就可以非常方便地使用校園網(wǎng)原有的用戶數(shù)據(jù)庫（如LDAP），也可以對接統(tǒng)一身份認(rèn)證系統(tǒng)，對于用戶數(shù)多，個(gè)性化要求高的將采用后一種方式。

Radius 服務(wù)器除了完成用戶認(rèn)證工作外，還可以利用Radius自定義字段來定義用戶的個(gè)性化屬性，如接入帶寬、QOS、訪問控制等。BRAS根據(jù)Radius服務(wù)器返回的用戶帶寬屬性，為不同的用戶分配不同的帶寬，還可以通過用戶自定義屬性來限制用戶的TCP/UDP連接的數(shù)量，這樣就可以較好地控制用戶的P2P 流量，而不需要完全禁止P2P應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)資源的合理使用。[1]BRAS可通過定義domain（用戶域）來區(qū)分不同使用范圍內(nèi)的用戶服務(wù)或不同的接入認(rèn)證方式。用戶在接入時(shí)使用user@domain作為用戶名進(jìn)行接入認(rèn)證，其中user是認(rèn)證系統(tǒng)中的用戶名，domain 是用來區(qū)分不同的接入與認(rèn)證類型（PPPoE、L2TP、WebPort），實(shí)現(xiàn)靈活的用戶管理策略。[3]例如將三種認(rèn)證方式劃分成三個(gè)domain，PPPoE接入的為ppp，WebPortal接入的為web，L2TP為vpdn等，當(dāng)然同一種接入方式也可以劃分為多個(gè)domain，不同的domain對應(yīng)不同的網(wǎng)絡(luò)訪問策略，如帶寬、路由、計(jì)費(fèi)策略等。

BRAS擁有強(qiáng)大接入功能和豐富的管理特性，應(yīng)用在校園網(wǎng)中較傳統(tǒng)方式有了很多的優(yōu)越性?？梢栽赗adius和LDAP的基礎(chǔ)之上自行開發(fā)適合自己的用戶認(rèn)證系統(tǒng)和管理系統(tǒng)，也可在此基礎(chǔ)上實(shí)現(xiàn)網(wǎng)絡(luò)使用的計(jì)費(fèi)管理是校園網(wǎng)資源得到有效的利用。不過在校園網(wǎng)中部署B(yǎng)RAS設(shè)備，仍然有一些問題需要解決。用戶使用PPPoE、L2TP或WebPortal連接到BRAS后，這樣所有數(shù)據(jù)都會通過這個(gè)新連接發(fā)送。這導(dǎo)致所有校內(nèi)數(shù)據(jù)都會使用新連接，這將使校內(nèi)外的訪問受到BRAS策略的控制，這就需要BRAS設(shè)備有強(qiáng)大的負(fù)載能力和可靠性。

根據(jù)三種接入方式的特點(diǎn)，根據(jù)在校園不同接入?yún)^(qū)域來選擇接入認(rèn)證模式。筆者把大學(xué)校園網(wǎng)絡(luò)接入?yún)^(qū)域分為三種類型：公共教學(xué)區(qū)和辦公區(qū)、學(xué)生宿舍區(qū)、公共機(jī)房和實(shí)驗(yàn)室。公共教學(xué)區(qū)和辦公區(qū)有如下特點(diǎn)：接入計(jì)算機(jī)的密度低應(yīng)用相對單一和固定，這一區(qū)域的用戶主要為教師和行政工作人員，用戶數(shù)量相對較少，采用WebPortal作為接入認(rèn)證方式不會造成IP地址的浪費(fèi)，其用戶界面友好不需要進(jìn)行用戶培訓(xùn)，容易開展IP組播應(yīng)用；根據(jù)筆者在多個(gè)學(xué)校的調(diào)研學(xué)生宿舍區(qū)有如下的特點(diǎn)：計(jì)算機(jī)的密度高，應(yīng)用復(fù)雜，容易爆發(fā)廣播型病毒和攻擊，大部分學(xué)校的學(xué)生宿舍都實(shí)行收費(fèi)運(yùn)營因此計(jì)費(fèi)精度要求高，學(xué)生宿舍采用PPPoE方式接入具有以下優(yōu)勢：節(jié)約IP地址，由于PPPoE接入的用戶互相隔離由此可以有效的阻止有病毒的用戶計(jì)算機(jī)對其他用戶的傳染和攻擊，用戶接入管控粒度細(xì)和用戶狀態(tài)變化反應(yīng)靈敏（上線、下線和異常掉線）適合收費(fèi)運(yùn)營；公共機(jī)房和實(shí)驗(yàn)室計(jì)算機(jī)數(shù)量眾多而卻自成一個(gè)相對獨(dú)立的子網(wǎng)，而且訪問內(nèi)部資源的概率較大，筆者所在學(xué)校的各學(xué)院的實(shí)驗(yàn)室子網(wǎng)都按統(tǒng)一規(guī)劃的保留地址作為實(shí)驗(yàn)室子網(wǎng)地址，因而采用L2TP方式接入，這種接入認(rèn)證方式不影響原有網(wǎng)絡(luò)的架構(gòu)和使用，只有需要訪問校園網(wǎng)或INTERNET時(shí)才需要進(jìn)行L2TP撥號認(rèn)證，連接認(rèn)證成功后分配校園網(wǎng)的IP地址到該計(jì)算機(jī)，使校園網(wǎng)與實(shí)驗(yàn)室網(wǎng)有清晰的管理邊界，實(shí)驗(yàn)室內(nèi)部的數(shù)據(jù)流不會跑到校園主干網(wǎng)上，這樣既節(jié)約了校園網(wǎng)的IP地址又減少了主干網(wǎng)的帶寬占用。實(shí)驗(yàn)室接入如圖4所示。

圖4 實(shí)驗(yàn)室L2TP接入

例如，某大學(xué)新校區(qū)占地面積4000畝，距離校本部40余公里。一期建筑面積62多萬平方米，40多棟建筑，約4.3萬個(gè)信息點(diǎn)，網(wǎng)絡(luò)接入端口約2萬個(gè)，服務(wù)用戶數(shù)1.5萬人。第一期工程方案是在校本部和新校區(qū)各部署一臺BRAS設(shè)備，采用統(tǒng)一的Radius服務(wù)器和WebPortal服務(wù)器分區(qū)域?qū)崿F(xiàn)用戶的認(rèn)證接入與用戶管理，網(wǎng)絡(luò)核心層采用三臺電信級多業(yè)務(wù)路由器構(gòu)成環(huán)狀結(jié)構(gòu)，其中兩臺部署在新校區(qū)一臺在校本部，核心設(shè)備之間通過10G以太網(wǎng)連接。隨著新校區(qū)的學(xué)生人數(shù)的增加，將會在第二期工程中在新校區(qū)增加一臺BRAS從而實(shí)現(xiàn)負(fù)責(zé)分擔(dān)和互為備份的網(wǎng)絡(luò)架構(gòu)，將會對網(wǎng)絡(luò)性能和可靠性有較大的提升，如圖5所示。

圖5 某大學(xué)新老校區(qū)網(wǎng)絡(luò)

4 結(jié)束語

采用BRAS是用來完成各種寬帶接入方式的寬帶網(wǎng)絡(luò)用戶的接入、認(rèn)證、計(jì)費(fèi)、控制、管理的網(wǎng)絡(luò)設(shè)備，是寬帶網(wǎng)絡(luò)可運(yùn)營、可管理的基石。某大學(xué)的校園網(wǎng)采用以多業(yè)務(wù)路由器為核心、BRAS為接入設(shè)備，三種接入認(rèn)證技術(shù)靈活應(yīng)，用戶認(rèn)證計(jì)費(fèi)Radius + LDAP的方式，實(shí)現(xiàn)用戶的精細(xì)化和個(gè)性化管理和全網(wǎng)的可控接入，有效將接入層與核心層隔離，用戶與用戶之間的隔離，降低用戶終端對校園網(wǎng)主干的影響，對IPV6也有良好的支持。某大學(xué)新校區(qū)網(wǎng)絡(luò)與2010年9月投入使用至今運(yùn)行穩(wěn)定，用戶體驗(yàn)良好。

參考文獻(xiàn)：

[1] 陶樺. B-RAS在校園網(wǎng)中的應(yīng)用[J].中國教育網(wǎng)絡(luò)，2008（Z1）.2-3.

[2] 周承毅.何大可. 主流寬帶認(rèn)證技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（7）.

[3] 肖天慶，任翔.新一代國際互聯(lián)網(wǎng)協(xié)議IPv6與IPv4的比較研究[J].紅河學(xué)院學(xué)報(bào)，2010 （2）.

[4] A Method for Transmitting PPP Over Ethernet （PPPoE）[EB/OL].http：//www.ietf.org /rfc/rfc2516.txt.

[5] Layer Two Tunneling Protocol "L2TP"[EB/OL].http：//www.ietf.org/rfc/rfc2661.txt.