范華峰

摘 要：穩(wěn)定可靠、安全高可控、易維護(hù)等諸多優(yōu)點(diǎn)的運(yùn)營商扁平化網(wǎng)絡(luò)正在逐步影響著高校，利用核心設(shè)備Bras路由器和接入控制系統(tǒng)實(shí)現(xiàn)對(duì)用戶接入控制。本文將基于Juniper MX 960多業(yè)務(wù)路由器為核心，通過對(duì)接入控制原理的分析，設(shè)計(jì)了扁平化網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)，滿足高校網(wǎng)絡(luò)精細(xì)化管理的需求。

關(guān)鍵詞：COA；扁平化網(wǎng)絡(luò)；接入認(rèn)證

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A

Design Flat Network Access Authentication System

FAN Huafeng

（Changzhou Institute of Mechatronic Technology，Changzhou 213164，China）

Abstract：Reliable，secure high controllability，easy maintenance and many other advantages of the flat network operators are gradually affecting the universities，the use of core equipment Bras routers and access control system to realize the user access control.This article is based on Juniper MX 960 Services Router as the core，through the access control principle of analysis，design a flat network access authentication system to meet the needs of the university network meticulous management.

Keywords：COA；flat network；access authentication

1 引言（Introduction）

隨著應(yīng)用與管理的深入，以Cisco為代表的三層網(wǎng)絡(luò)構(gòu)建模式面臨著諸多難以解決的問題，越來越多的高校在參考各大運(yùn)營商的網(wǎng)絡(luò)發(fā)展經(jīng)驗(yàn)后，網(wǎng)絡(luò)結(jié)構(gòu)正在從復(fù)雜的多層結(jié)構(gòu)轉(zhuǎn)向以Juniper為代表的簡單扁平化結(jié)構(gòu)[1]發(fā)展。在校園網(wǎng)中，通過部署Juniper MX960作為核心路由器，利用其Bras功能通過radius協(xié)議與接入認(rèn)證系統(tǒng)交互，實(shí)現(xiàn)靈活的網(wǎng)絡(luò)接入控制、認(rèn)證和計(jì)費(fèi)等方面功能。

2 Radius協(xié)議（Radius protocol）

RADIUS協(xié)議（Remote Access Dail-In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)協(xié)議）主要提供三個(gè)基本功能：Authentication（認(rèn)證）、Authorization（授權(quán)）、Accounting（計(jì)費(fèi)），即AAA功能[2]。該協(xié)議是一種可擴(kuò)展的協(xié)議，采用C/S構(gòu)架模型，以UDP作為傳輸協(xié)議（1812認(rèn)證授權(quán)端口，1813記賬端口），具有強(qiáng)大的認(rèn)證能力，是管理遠(yuǎn)程用戶驗(yàn)證和授權(quán)的常用方法。

3 接入控制原理（Access control principle）

用戶設(shè)備（有線、無線）通過采用QinQ的方式連接至核心路由器，接入控制將進(jìn)行如下步驟：（1）用戶設(shè)備配置DHCP動(dòng)態(tài)獲取IP地址，發(fā)起Dhcp Discovery。（2）核心路由器根據(jù)用戶的DHCP請(qǐng)求（包含設(shè)備MAC地址、接入QinQ編號(hào)或VLAN號(hào)、設(shè)備指紋等）信息生成唯一會(huì)話編號(hào)，同時(shí)將DHCP請(qǐng)求轉(zhuǎn)換成Radius請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求至接入認(rèn)證系統(tǒng)做DHCP認(rèn)證，對(duì)該設(shè)備進(jìn)行合法性校驗(yàn)。（3）接入認(rèn)證系統(tǒng)查詢相關(guān)數(shù)據(jù)判斷用戶設(shè)備是否允許接入，若允許接入則回應(yīng)Accept，同時(shí)下發(fā)radius的相關(guān)屬性包含訪問策略、帶寬管理策等。（4）路由器根據(jù)接入認(rèn)證系統(tǒng)返回的數(shù)據(jù)生成一個(gè)動(dòng)態(tài)邏輯接口并將相關(guān)的Radius屬性應(yīng)用到該接口上下發(fā)用戶獲取到的IP地址。此時(shí)就完成了對(duì)用戶設(shè)備的初始化控制。（5）路由器將用戶設(shè)備獲取的IP地址、會(huì)話編號(hào)和認(rèn)證的相關(guān)信息生成Radius記賬開始報(bào)文發(fā)送給接入認(rèn)證系統(tǒng)。（6）在用戶設(shè)備上打開瀏覽器打開任意網(wǎng)頁。（7）web請(qǐng)求被將進(jìn)入核心路由器上用戶設(shè)備對(duì)應(yīng)的動(dòng)態(tài)邏輯接口，動(dòng)態(tài)邏輯接口此時(shí)策略會(huì)將用戶請(qǐng)求重定向到認(rèn)證設(shè)備上的PORTAL登錄頁面，當(dāng)打開登錄頁面時(shí)，認(rèn)證設(shè)備將根據(jù)設(shè)備的IP地址找到相應(yīng)的會(huì)話編號(hào)，認(rèn)證設(shè)備根據(jù)用戶輸入用戶名和密碼，查找相關(guān)數(shù)據(jù)得到用戶的策略信息，認(rèn)證設(shè)備使用會(huì)話編號(hào)和用戶策略信息向核心路由器發(fā)起Radius COA擴(kuò)展協(xié)議報(bào)文，通知路由器修改該會(huì)話編號(hào)對(duì)應(yīng)的邏輯接口的策略信息。（8）路由器收到接入認(rèn)證系統(tǒng)的發(fā)來的COA報(bào)文后，修改邏輯接口相關(guān)策略。（9）成功后向接入認(rèn)證系統(tǒng)發(fā)送Ack報(bào)文和發(fā)生記賬更新報(bào)文，此時(shí)可以實(shí)現(xiàn)設(shè)備、賬號(hào)、訪問權(quán)限的完全綁定。如圖1所示。

4 系統(tǒng)設(shè)計(jì)（System design）

通過對(duì)接入原理的分析，每一個(gè)認(rèn)證通過的設(shè)備在核心路由器上都會(huì)生成一個(gè)動(dòng)態(tài)邏輯接口，每個(gè)邏輯接口對(duì)應(yīng)一臺(tái)用戶設(shè)備，此時(shí)會(huì)話編號(hào)及邏輯接口和用戶設(shè)備唯一綁定，用戶設(shè)備的所有進(jìn)出流量只能通過該邏輯接口進(jìn)行傳輸，即邏輯接口具有什么權(quán)限，用戶設(shè)備就具有相應(yīng)的權(quán)限。若要向核心路由器發(fā)送指定用戶會(huì)話編號(hào)COA請(qǐng)求，路由器就會(huì)修改該邏輯接口的權(quán)限，從而實(shí)現(xiàn)對(duì)用戶的精細(xì)化管理。如圖2所示。

系統(tǒng)主要由協(xié)議模塊、Radius服務(wù)模塊、Portal服務(wù)模塊、記賬服務(wù)模塊和數(shù)據(jù)庫模塊組成。協(xié)議模塊完成對(duì)Radius協(xié)議進(jìn)行編解碼；Radius服務(wù)模塊接受核心路由器MX960的認(rèn)證請(qǐng)求并查詢數(shù)據(jù)庫模塊來判斷用戶設(shè)備是否允許接入，認(rèn)證結(jié)果通過協(xié)議模塊返回給路由器；Portal服務(wù)模塊向用戶提供用戶名密碼輸入網(wǎng)頁，當(dāng)用戶設(shè)備完成初始化配置后，所以的用戶Web流量都會(huì)重定向至“用戶認(rèn)證頁”，用戶輸入認(rèn)證信息后，Portal將根據(jù)數(shù)據(jù)庫判斷用戶是否有權(quán)改變當(dāng)前策略并返回新的策略名稱，Portal同時(shí)通過協(xié)議模塊向核心路由器發(fā)送改變策略的請(qǐng)求并等待路由器返回執(zhí)行結(jié)果；記賬服務(wù)每隔一段時(shí)間對(duì)Radius的記賬報(bào)文進(jìn)行統(tǒng)計(jì)，實(shí)現(xiàn)對(duì)用戶每次上網(wǎng)的時(shí)間、流量進(jìn)行統(tǒng)計(jì)和管理。

系統(tǒng)采用Java語言，使用Hibernete+Struts2結(jié)合開發(fā)，如圖3和圖4所示。

5 結(jié)論（Conclusion）

本論文結(jié)合實(shí)際高校應(yīng)用的需求，根據(jù)Juniper MX 960多業(yè)務(wù)路由器的接口規(guī)范，設(shè)計(jì)了扁平化網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)，系統(tǒng)實(shí)現(xiàn)了對(duì)用戶接入地點(diǎn)、時(shí)長、流量、帶寬等屬性進(jìn)行精細(xì)化管理，使得網(wǎng)絡(luò)管理與維護(hù)更簡單，改善了用戶的體驗(yàn)。該系統(tǒng)已在常州機(jī)電職業(yè)技術(shù)學(xué)院使用半年來非常穩(wěn)定，最高同時(shí)在線用戶達(dá)6500人。

參考文獻(xiàn)（References）

[1] 覃毅.校園網(wǎng)絡(luò)扁平化架構(gòu)設(shè)計(jì)與實(shí)施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2015（7）：20-22.

[2] RFC2865.Remote Authentication Dial In UserService（RADIUS）[S].

[3] RFC2869 RADIUS Extensions[S].