文/ 張潔卉

校園網(wǎng)認(rèn)證系統(tǒng)運(yùn)維之經(jīng)驗(yàn)

文/ 張潔卉

華中科技大學(xué)信息化專(zhuān)欄

華中科技大學(xué)是CERNET華中地區(qū)主節(jié)點(diǎn)。經(jīng)過(guò)20年的持續(xù)投入建設(shè)，華中科技大學(xué)信息化建設(shè)取得了很大成績(jī)，成為學(xué)校重要的信息基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)研究平臺(tái)和人才培養(yǎng)基地。華中科技大學(xué)信息化部門(mén)非常注重基于校園網(wǎng)平臺(tái)的研究，他們?cè)诟咝阅苡?jì)算、實(shí)驗(yàn)室平臺(tái)建設(shè)以及校園網(wǎng)基礎(chǔ)設(shè)施方面進(jìn)行了諸多探索與實(shí)踐。從本期開(kāi)始，本刊將連續(xù)刊載華中科技大學(xué)在校園網(wǎng)安全、運(yùn)維以及開(kāi)放實(shí)驗(yàn)室方面的實(shí)踐經(jīng)驗(yàn)文章。

認(rèn)證系統(tǒng)作為用戶接入校園網(wǎng)的首要環(huán)節(jié)，對(duì)提高校園網(wǎng)的管理和運(yùn)維質(zhì)量起到重要作用。華中科技大學(xué)認(rèn)證系統(tǒng)在維護(hù)過(guò)程中，結(jié)合用戶需求提供了無(wú)感認(rèn)證方式，用戶需求精細(xì)化管理，主校區(qū)與同濟(jì)校區(qū)間校際認(rèn)證及認(rèn)證服務(wù)性能波動(dòng)情況下的簡(jiǎn)單認(rèn)證模式等運(yùn)維管理方式。

校園網(wǎng)認(rèn)證系統(tǒng)概述

圖1 用戶數(shù)量

圖2 24小時(shí)用戶使用情況

校園網(wǎng)認(rèn)證方式

我校有線及無(wú)線網(wǎng)絡(luò)使用統(tǒng)一身份認(rèn)證，目前采取兩種認(rèn)證方式，其中有線區(qū)域使用802.1x認(rèn)證方式 、無(wú)線區(qū)域包括Portal認(rèn)證方式及802.1x無(wú)感知認(rèn)證方式。

1.有線802.1x認(rèn)證區(qū)域使用客戶端認(rèn)證，可實(shí)現(xiàn)較嚴(yán)格的接入控制，包括防代理、防破解等功能。客戶端包括支持Windows、MACos及Linux的版本，其中使用MAC筆記本的用戶近年來(lái)快速增長(zhǎng)，同時(shí)MACos升級(jí)頻繁，客戶端的更新需十分及時(shí)。從目前使用情況來(lái)看，客戶端對(duì)各版本操作系統(tǒng)的支持較好。

2.我校無(wú)線網(wǎng)已覆蓋所有教學(xué)樓，大部分公共區(qū)域及部分學(xué)生宿舍。無(wú)線Portal認(rèn)證方式使用瀏覽器認(rèn)證頁(yè)面，可適用于絕大部分無(wú)線設(shè)備，并支持校際認(rèn)證。

3.對(duì)于公共區(qū)域用戶提供802.1x無(wú)感知認(rèn)證，選擇HUST_WIRELESS_AUTO信號(hào)后，只需首次輸入用戶名密碼，此后用戶只要處于無(wú)線網(wǎng)覆蓋區(qū)域即可自動(dòng)聯(lián)網(wǎng)，無(wú)感上線。

用戶需求精細(xì)化管理

賬號(hào)類(lèi)型

我校賬號(hào)類(lèi)型主要分為圖3所示6種，除了學(xué)生賬號(hào)外，其他賬號(hào)均為免費(fèi)賬號(hào)。各類(lèi)型賬號(hào)的區(qū)別主要在于可使用的區(qū)域、可使用的方式（有線/無(wú)線）不同。

接入控制及計(jì)費(fèi)方式

第一，采用AUT檢測(cè)：AUT理論上來(lái)說(shuō)可以檢測(cè)，利用A掃描來(lái)完成。由于TOFD存在固有檢測(cè)盲區(qū)2～3mm，所以AUT如果檢測(cè)根焊TOFD不需要使用。存在問(wèn)題及難點(diǎn)：“金口”由于占整體管道數(shù)量極小，采用AUT檢測(cè)需要準(zhǔn)備的很多，軌道、對(duì)比試塊（加工難度較大，估計(jì)價(jià)格在3.2萬(wàn)元左右），設(shè)備的利用率，技術(shù)參數(shù)設(shè)置（大量試驗(yàn)，成本嚴(yán)重增加）。由于“金口”組對(duì)是質(zhì)量的重中之重，所以組對(duì)的對(duì)口間隙、焊縫上下寬度等對(duì)檢測(cè)影響較大，端角反射會(huì)極為強(qiáng)烈，不利于判定和操作。從技術(shù)角度來(lái)說(shuō)，AUT適合批量、焊接成形有規(guī)律、坡口角度、寬度固定（偏差極?。┑暮缚p，所以不推薦使用AUT。

為取得更好的用戶體驗(yàn)，認(rèn)證系統(tǒng)對(duì)校園網(wǎng)用戶計(jì)費(fèi)及接入進(jìn)行了精細(xì)化管理，主要包括五個(gè)方面：

賬號(hào)類(lèi)型：根據(jù)管理需求分為4個(gè)類(lèi)型，即新生、本科生、研究生及教工；

圖3 用戶賬號(hào)分配

圖4 4種類(lèi)型用戶

套餐類(lèi)型：我校采取包時(shí)段計(jì)費(fèi)方式，為滿足學(xué)生用戶對(duì)開(kāi)網(wǎng)時(shí)段的需求，分為5種套餐；其中因?yàn)樾律鶕?jù)規(guī)定不能在寢室上網(wǎng)，只能使用公共區(qū)域無(wú)線，因此特別設(shè)置了包3月送1月的優(yōu)惠套餐。

上網(wǎng)時(shí)段：為保證本科生的學(xué)習(xí)作息時(shí)間，對(duì)其設(shè)置了6：00～24：00點(diǎn)的上網(wǎng)時(shí)段限制，研究生有科研需求，對(duì)上網(wǎng)時(shí)段無(wú)限制；

所處區(qū)域：分為宿舍區(qū)及辦公區(qū)。教工賬號(hào)只能在辦公區(qū)使用，學(xué)生賬號(hào)可在辦公區(qū)及學(xué)生區(qū)使用，其中在學(xué)生區(qū)上網(wǎng)需收費(fèi)，在辦公區(qū)上網(wǎng)使用漫游機(jī)制為免費(fèi)；

接入方式：有線區(qū)域使用802.1x認(rèn)證方式，無(wú)線區(qū)域使用802.1x及Portal認(rèn)證方式。對(duì)于本科新生，不允許在寢室使用網(wǎng)絡(luò)，因此只開(kāi)放公共區(qū)域的網(wǎng)絡(luò)認(rèn)證。

搶占模式

我校收費(fèi)賬號(hào)計(jì)費(fèi)方式為包月不計(jì)時(shí)長(zhǎng)，要求賬號(hào)同時(shí)只能一個(gè)在線，因此采用搶占模式認(rèn)證。同一個(gè)賬號(hào)，后上線的會(huì)將前一個(gè)踢下線，保持同一時(shí)間點(diǎn)賬號(hào)只能在一臺(tái)終端上使用。

自助與充值

我校一卡通業(yè)務(wù)處于建設(shè)中，目前校園網(wǎng)費(fèi)用充值主要采取3種途徑：服務(wù)大廳出售紙質(zhì)充值卡、網(wǎng)絡(luò)店鋪出售電子充值卡，自助網(wǎng)站提供網(wǎng)銀接口直接充值入校園網(wǎng)賬號(hào)。

消息推送與服務(wù)反饋

由客戶端的彈出窗口推送各類(lèi)實(shí)時(shí)信息；右鍵點(diǎn)擊客戶端，可進(jìn)行服務(wù)反饋，反饋信息在24小時(shí)內(nèi)處理完成。

主校區(qū)與同濟(jì)校區(qū)間校際認(rèn)證

因我校同濟(jì)校區(qū)與主校區(qū)距離20公里，其中間隔長(zhǎng)江，校區(qū)間網(wǎng)絡(luò)通過(guò)過(guò)江光纜銜接，目前兩校區(qū)認(rèn)證系統(tǒng)為單獨(dú)部署的SAM管理系統(tǒng)。為實(shí)現(xiàn)兩校區(qū)用戶跨校區(qū)認(rèn)證，對(duì)認(rèn)證系統(tǒng)開(kāi)發(fā)了校際認(rèn)證功能。校際認(rèn)證用戶在對(duì)方校區(qū)可使用無(wú)線Portal認(rèn)證方式，在登錄頁(yè)面上勾選相應(yīng)選項(xiàng)即可實(shí)現(xiàn)校際認(rèn)證。校際認(rèn)證實(shí)現(xiàn)賬號(hào)搶占及認(rèn)證觸發(fā)扣費(fèi)等功能，可避免逃費(fèi)問(wèn)題的出現(xiàn)。

校際認(rèn)證的業(yè)務(wù)流程如圖5。

圖5 校際認(rèn)證的業(yè)務(wù)流程

如同濟(jì)校區(qū)用戶使用無(wú)線Portal認(rèn)證方式在華科主校區(qū)上網(wǎng)。華科SAM即漫游地區(qū)SAM在接收到設(shè)備發(fā)送的Radius請(qǐng)求后，根據(jù)用戶名特征判斷出該用戶是否同濟(jì)校區(qū)用戶。在接收到設(shè)備認(rèn)證報(bào)文的基礎(chǔ)之上進(jìn)行Radius屬性的轉(zhuǎn)換，如：用戶名、Nas信息等。完成Radius報(bào)文轉(zhuǎn)換后將Radius報(bào)文轉(zhuǎn)發(fā)給同濟(jì)校區(qū)SAM即歸屬地區(qū)SAM。從歸屬地區(qū)SAM角度出發(fā)，漫游地區(qū)SAM為特殊接入設(shè)備。在認(rèn)證授權(quán)處理過(guò)程中不添加在線用戶信息，因?yàn)闅w屬地區(qū)SAM不具備設(shè)備的相關(guān)特性。歸屬地區(qū)SAM業(yè)務(wù)處理完成后，將返回認(rèn)證結(jié)果給漫游地區(qū)SAM。漫游地區(qū)SAM對(duì)于認(rèn)證失敗用戶，直接回復(fù)Reject，認(rèn)證成功用戶再做本地的業(yè)務(wù)校驗(yàn)，然后下發(fā)認(rèn)證結(jié)果，校際用戶正常上線。

下一步校際認(rèn)證的功能擴(kuò)展包括對(duì)校際認(rèn)證賬號(hào)進(jìn)行精細(xì)化管理，為不同類(lèi)型用戶定制不同校際套餐。同時(shí)在開(kāi)戶SAM上增加校際認(rèn)證用戶認(rèn)證記錄，以便于管理、查詢及統(tǒng)計(jì)。

簡(jiǎn)單認(rèn)證運(yùn)維管理

SAM認(rèn)證系統(tǒng)以集群形式工作，以主備方式提供服務(wù)。正常狀態(tài)下由主服務(wù)器提供服務(wù)，一旦主服務(wù)器出現(xiàn)故障，可將服務(wù)切換至備服務(wù)器上 ，切換時(shí)間約需40秒。

簡(jiǎn)單認(rèn)證模式為認(rèn)證時(shí)，只核對(duì)賬號(hào)及密碼，對(duì)于接入控制、費(fèi)用管理等不進(jìn)行校驗(yàn)，使用簡(jiǎn)單認(rèn)證可大幅提高認(rèn)證效率。在發(fā)生服務(wù)器性能波動(dòng)、或停電來(lái)電后大批量用戶上線等突發(fā)情況時(shí)，同一時(shí)段大量認(rèn)證請(qǐng)求可能導(dǎo)致認(rèn)證服務(wù)癱瘓。為避免這種情況的發(fā)生，可在管理系統(tǒng)中配置簡(jiǎn)單認(rèn)證模式，設(shè)置連續(xù)60秒檢測(cè)緩沖區(qū)使用率大于80%，則啟動(dòng)簡(jiǎn)單認(rèn)證模式，緩解認(rèn)證服務(wù)器壓力，有效抵御認(rèn)證風(fēng)暴的發(fā)生，保證認(rèn)證服務(wù)不中斷，提供排查故障的時(shí)間。

（作者單位為華中科技大學(xué)網(wǎng)絡(luò)中心運(yùn)行部）