劉世注

（廣東外語外貿(mào)大學(xué) 網(wǎng)絡(luò)中心，廣東 廣州 510006）

校園網(wǎng)家屬區(qū)認(rèn)證系統(tǒng)研究

劉世注

（廣東外語外貿(mào)大學(xué) 網(wǎng)絡(luò)中心，廣東 廣州 510006）

文章介紹了PPPoE，Web/Portal 及802.1x 3種常用認(rèn)證方式的原理，根據(jù)校園網(wǎng)家屬區(qū)的特點(diǎn)，從校園網(wǎng)家屬區(qū)認(rèn)證需求的角度，對(duì)比分析了3種認(rèn)證方式的優(yōu)缺點(diǎn)、配置需求等，最后作出選擇并對(duì)其部署提出建議。

PPPoE；Web/Portal；802.1x；校園網(wǎng)家屬區(qū)

隨著信息化的發(fā)展，很多高校在大力推行數(shù)字化校園建設(shè)。作為接入網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，校園網(wǎng)于教職工和學(xué)生的意義已經(jīng)不言而喻。雖然現(xiàn)在諸如手機(jī)、電腦等智能移動(dòng)設(shè)備較為普遍，且大多室外廣場都已安裝無線網(wǎng)絡(luò)，但廣外教職工家屬區(qū)網(wǎng)絡(luò)接入設(shè)備為Cisco2950（不支持Web認(rèn)證），只能通過電腦使用銳捷客戶端進(jìn)行認(rèn)證上網(wǎng)，因此，解決多人多設(shè)備同時(shí)上網(wǎng)的問題在應(yīng)用中不可避免。

1　廣東外語外貿(mào)大學(xué)校園網(wǎng)家屬區(qū)認(rèn)證需求分析

從無線接入點(diǎn)考慮，如果加裝無線接入點(diǎn)，成本龐大，施工難度大，設(shè)備利用率低，且機(jī)房需加裝poe設(shè)備，此種方法暫時(shí)放棄。從認(rèn)證方式考慮，有2種方法：

第一種，將全部接入設(shè)備（cisco2950）換成銳捷交換機(jī)，但需替換的設(shè)備數(shù)量巨大，操作復(fù)雜。

第二種，另辟蹊徑，在匯聚層加設(shè)一臺(tái)銳捷S5750作為認(rèn)證匯聚網(wǎng)關(guān)，將現(xiàn)有客戶端認(rèn)證全部改成Web/portal認(rèn)證，教職員工可以下接路由器，設(shè)備改造小，滿足了上網(wǎng)需求，故選擇第二種。

2　以太網(wǎng)接入認(rèn)證方式介紹

2.1PPPoE認(rèn)證優(yōu)缺點(diǎn)

2.1.1PPPoE認(rèn)證優(yōu)點(diǎn)

（1）PPPoE認(rèn)證不僅具有廣泛、成熟的優(yōu)點(diǎn)，也具有良好的互通性與標(biāo)準(zhǔn)性。

（2）現(xiàn)有主流的PC操作系統(tǒng)基本上自帶PPPoE認(rèn)證端，不需要另外安裝，無兼容性問題；用戶比較容易接受。

（3）PPPoE通過唯一的Session-ID可以很好地保障用戶的安全性。

2.1.2PPPoE認(rèn)證的缺點(diǎn)

（1）在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量，認(rèn)證機(jī)制比較復(fù)雜，對(duì)網(wǎng)絡(luò)性能影響大，對(duì)設(shè)備性能要求較高。

（2）需要客戶終端軟件，維護(hù)工作量過大。

（3）隨著網(wǎng)絡(luò)應(yīng)用層出不窮，也逐漸暴露出BAS設(shè)備在業(yè)務(wù)支持上的局限性問題，很難開展組播業(yè)務(wù)。究其原因，還是因?yàn)樵赑PP協(xié)議中，對(duì)一個(gè)端對(duì)端關(guān)系進(jìn)行定義時(shí)，有多個(gè)網(wǎng)絡(luò)設(shè)備和主機(jī)通信，但主機(jī)的可選擇性較為單一，只能從中選取一個(gè)。為此，在認(rèn)證時(shí)采用PPPOE方式，組播復(fù)制點(diǎn)的最終“落腳處”就在BAS設(shè)備上。

3　Web/Portal認(rèn)證原理

Web/Portal認(rèn)證，顧名思義就是利用Web頁面進(jìn)行認(rèn)證。這種認(rèn)證方法不需要用戶安裝專用的客戶端認(rèn)證軟件，使用普通的瀏覽器就可以進(jìn)行身份認(rèn)證。

當(dāng)使用瀏覽器上網(wǎng)時(shí)，未認(rèn)證用戶HTTP報(bào)文都會(huì)被接入NAS設(shè)備截獲。交換機(jī)偽裝成用戶期望訪問的站點(diǎn)，與用戶建立TCP連接后，通過HTTP重定向?qū)㈩A(yù)先設(shè)定好的認(rèn)證頁面推送給用戶，portal服務(wù)器攜帶用戶的認(rèn)證信息，向radius服務(wù)器發(fā)認(rèn)證請(qǐng)求，radius服務(wù)器返回認(rèn)證成功或失敗信息，如果認(rèn)證成功后，由Web portal服務(wù)器向NAS設(shè)備通過SNMP下發(fā)IP+MAC或者IP的綁定信息，同時(shí)發(fā)記賬開始信息到radius服務(wù)器開始記賬，以達(dá)到用戶在線認(rèn)證且不用安裝認(rèn)證客戶端的目的。詳細(xì)的原理如圖1所示。

圖1　認(rèn)證原理

其認(rèn)證處理階段流程如圖2所示。

（1）Portal發(fā)起認(rèn)證請(qǐng)求主要利用HTTP協(xié)議。接入設(shè)備在感受到HTTP報(bào)文經(jīng)過時(shí)，針對(duì)設(shè)定可訪問地址的HTTP報(bào)文，或訪問Portal服務(wù)器的可對(duì)其放行；而對(duì)于訪問其它地址的HTTP報(bào)文，接入設(shè)備對(duì)其進(jìn)行強(qiáng)制重定向。當(dāng)用戶輸入用戶名和密碼進(jìn)行認(rèn)證時(shí)，Portal服務(wù)器則讓其通過Web頁面。

（2）Portal服務(wù)器和接入設(shè)備進(jìn)行CHAP認(rèn)證交互時(shí)，如果采用的是密碼驗(yàn)證協(xié)議，即PAP，認(rèn)證則省略了其它環(huán)節(jié)，直接進(jìn)入下一步。

（3）Portal服務(wù)器組裝用戶輸入用戶名與密碼且以報(bào)文的形式將其發(fā)往接入設(shè)備，并將定時(shí)器開啟，以等待認(rèn)證應(yīng)答報(bào)文。

（4）接入設(shè)備和RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互。

（5）接入設(shè)備將認(rèn)證應(yīng)答報(bào)文發(fā)送至Portal服務(wù)器。

（6）Portal服務(wù)器將認(rèn)證通過報(bào)文發(fā)送給客戶端，告知客戶端上線成功。

（7）當(dāng)認(rèn)證通過報(bào)文順利到達(dá)客戶端后，借助DHCP以獲得新公網(wǎng)IP地址，并將這一消息告知Portal服務(wù)器用戶。

（8）Portal服務(wù)器將新公網(wǎng)IP地址告知接入設(shè)備客戶端。

（9）接入設(shè)備對(duì)ARP協(xié)議報(bào)文進(jìn)行檢測時(shí)發(fā)現(xiàn)用戶IP發(fā)生改變，并顯示Portal服務(wù)器已將用戶IP變化檢測出來。

（10）Portal服務(wù)器將客戶端上線成功消息告知給客戶。

（11）Portal服務(wù)器將IP變化確認(rèn)報(bào)文發(fā)送給接入設(shè)備。

圖2　認(rèn)證處理階段流程

3.1Web/Portal認(rèn)證優(yōu)缺點(diǎn)

3.1.1Web/Portal認(rèn)證優(yōu)點(diǎn)

（1）認(rèn)證客戶端不需要安裝，只需對(duì)后臺(tái)進(jìn)行維護(hù)，以讓維護(hù)工作量減少。

（2）可以在Portal頁面上推送校園信息或者業(yè)務(wù)拓展。

（3）技術(shù)成熟，兼容性好。

3.1.2Web/Portal認(rèn)證缺點(diǎn)

（1）Web/Portal認(rèn)證是基于7層的認(rèn)證模式， 設(shè)備性能要求高。

（2）漫游時(shí)用戶需重新連接，不能很好地體驗(yàn)，進(jìn)而無法對(duì)用戶離線進(jìn)行檢測，很難時(shí)間對(duì)時(shí)間的計(jì)費(fèi)。

（3）需要增加radius服務(wù)器（用于儲(chǔ)存客戶端用戶名和密碼的設(shè)備）、內(nèi)置portal服務(wù)功能弱。

（4）認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流混在一起無法有效區(qū)分。

3.2802.1x認(rèn)證優(yōu)缺點(diǎn)

3.2.1802.1x認(rèn)證優(yōu)點(diǎn)

（1）802.1x協(xié)議不通到3層，其僅為二層協(xié)議，且對(duì)設(shè)備的整體性能沒有較高要求，建網(wǎng)成本大大降低。

（2）綁定技術(shù)安全性較高，802.1x在無線局域網(wǎng)環(huán)境中與EAP-TLS，EAP-TTLS結(jié)合，可動(dòng)態(tài)分配WEP證書密鑰，讓無線局域網(wǎng)中的安全漏洞得到有效防范。

（3）IEEE標(biāo)準(zhǔn)相同于以太網(wǎng)標(biāo)準(zhǔn)，實(shí)現(xiàn)了與以太網(wǎng)技術(shù)的無縫銜接，大多數(shù)主流數(shù)據(jù)設(shè)備廠商在路由器、交換機(jī)等設(shè)備上均支持了該協(xié)議。

（4）可對(duì)認(rèn)證的顆粒度進(jìn)行靈活控制，認(rèn)證單個(gè)用戶連接、用戶ID等，且可靈活組合認(rèn)證層次，讓特定的接入技術(shù)被滿足。

3.2.2802.1x認(rèn)證缺點(diǎn)

（1）需要特定客戶端軟件，客戶端軟件維護(hù)工作量大，嚴(yán)重依賴于其它第三方網(wǎng)絡(luò)設(shè)備，對(duì)其它設(shè)備要求較高，部署缺乏靈活性和擴(kuò)展性。

（2）網(wǎng)絡(luò)安全問題：作為一個(gè)二層協(xié)議，802.1x協(xié)議的任務(wù)就是認(rèn)證控制接入用戶的端口，當(dāng)完成這一任務(wù)后，校園網(wǎng)用戶就將進(jìn)入3層IP網(wǎng)絡(luò)中，需要對(duì)城域網(wǎng)以太接入的多方面問題進(jìn)行解決，如可運(yùn)營、可管理和接入安全性等。

（3）計(jì)費(fèi)問題：802.1x協(xié)議在進(jìn)行時(shí)長計(jì)費(fèi)時(shí)，主要以用戶完成認(rèn)證與離線間的時(shí)間為參考，因而不能很好地統(tǒng)計(jì)流量。

4　以太網(wǎng)接入認(rèn)證方式總結(jié)

根據(jù)廣外校園網(wǎng)家屬區(qū)的認(rèn)證需求，總結(jié)3種認(rèn)證方式的區(qū)別如表1所示。

表1　3種認(rèn)證方式的區(qū)別

5　結(jié)語

綜上所述，3種方式各自有自己的優(yōu)缺點(diǎn)：802.1x協(xié)議是當(dāng)前在用的，需PC操作系統(tǒng)使用客戶端，維護(hù)工作量大，已經(jīng)不能滿足網(wǎng)絡(luò)需求；基于PPPoE的認(rèn)證方式管理性強(qiáng)、計(jì)費(fèi)準(zhǔn)確、兼容性好、安全性強(qiáng)、適合網(wǎng)絡(luò)運(yùn)營商，缺點(diǎn)就是PPP限制了網(wǎng)絡(luò)環(huán)境和組播業(yè)務(wù)，點(diǎn)與點(diǎn)相互隔離，雖然確保了安全性，但是限制了組播業(yè)務(wù)，增加了網(wǎng)絡(luò)出口負(fù)擔(dān)；Web認(rèn)證方式，在兼容方面具有明顯優(yōu)勢，但在計(jì)費(fèi)準(zhǔn)確度以及用戶可管理性方面稍顯滯后。學(xué)?？蓪?shí)際情況聯(lián)系起來，采取與之相匹配的認(rèn)證方式。若偏重的方向是系統(tǒng)的精確性與可管理性，則PPPoE的認(rèn)證計(jì)費(fèi)方式無疑是最適宜的，但高校也要考慮到用戶的方便性，不能出現(xiàn)過高的計(jì)費(fèi)要求，由于目前包月不限流量的計(jì)費(fèi)方式得到普遍運(yùn)用，因此，可采用Web認(rèn)證計(jì)費(fèi)模式。

Study on the Authentication System in GDUFS Campus Network for Dependents' District

Liu Shizhu
（Guangdong Vniversity of Foreign Studies，Network Center，Guangzhou 510006，China）

This paper introduces three authentication methods， PPPoE、Web/Portal and 802.1x， and compare their advantages，disadvantages and configurations according to the characteristics and needs of GDUFS campus network for families， finally make a choice and recommendation.

PPPoE； Web/Portal； 802.1x； campus network for dependents' district

劉世注（1982-），男，廣東梅州；研究方向：校園無線網(wǎng)絡(luò)。