沈達(dá)峰

(淮陰工學(xué)院 信息化建設(shè)與管理中心，江蘇 淮安 223003)

?

校園網(wǎng)多區(qū)域用戶接入認(rèn)證技術(shù)的研究

沈達(dá)峰

(淮陰工學(xué)院 信息化建設(shè)與管理中心，江蘇 淮安 223003)

高校校園網(wǎng)除了教學(xué)辦公和學(xué)生宿舍兩大區(qū)域外，還有涉及各種人群、各種不同網(wǎng)絡(luò)需求的一些區(qū)域。為了解決這些區(qū)域因其人員結(jié)構(gòu)復(fù)雜、計(jì)算機(jī)網(wǎng)絡(luò)水平參差不齊帶來的網(wǎng)絡(luò)管理問題，本文以某校園網(wǎng)實(shí)際應(yīng)用為例，通過對(duì)常用的接入認(rèn)證方式的比較，就如何為這些區(qū)域用戶提供較好的網(wǎng)絡(luò)體驗(yàn)與管理，給出了合理有效的網(wǎng)絡(luò)接入與管理解決方案。

接入認(rèn)證；802.1x；PPPoE；QinQ

0 引言

伴隨互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)應(yīng)用越來越多，范圍越來越廣，從早期的瀏覽、聊天及游戲，到目前的網(wǎng)上支付、理財(cái)、網(wǎng)上銀行與旅游預(yù)訂等，不勝枚舉。而這些應(yīng)用的主體是人，是使用各種終端借助于網(wǎng)絡(luò)滿足各種不同目的與不同需求的形形色色的網(wǎng)絡(luò)用戶。由于中國高等教育發(fā)展的特殊歷程，很多高校存在一些相似的狀況：多校區(qū)；學(xué)校發(fā)展需引進(jìn)人才，在校園內(nèi)建有人才公寓；校園行業(yè)服務(wù)對(duì)社會(huì)的開放程度越來越高，形形色色的服務(wù)機(jī)構(gòu)進(jìn)駐學(xué)校，等等。一般為保證校園環(huán)境井然有序，校園網(wǎng)會(huì)根據(jù)需求覆蓋這些區(qū)域或場(chǎng)所。因此，校園網(wǎng)從地域上可分為教學(xué)辦公網(wǎng)絡(luò)、學(xué)生宿舍網(wǎng)絡(luò)、其他區(qū)域網(wǎng)絡(luò)。本文主要就其他區(qū)域網(wǎng)絡(luò)的特點(diǎn)，對(duì)其接入方式進(jìn)行討論。這些區(qū)域的情況比較特殊，其用戶不像教學(xué)辦公區(qū)域和學(xué)生宿舍，是文化層次較高的教師和學(xué)生，而是些遍布社會(huì)各種人群、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用能力參差不齊的各色人等。如何使他們有好的網(wǎng)絡(luò)體驗(yàn)、減輕網(wǎng)絡(luò)管理人員低技術(shù)含量的維護(hù)工作是校園網(wǎng)管理部門不得不面對(duì)的問題。

其他區(qū)域網(wǎng)絡(luò)作為校園網(wǎng)的一個(gè)特殊組成部分，對(duì)其接入的終端進(jìn)行身份確認(rèn)，是校園網(wǎng)管理不可或缺的環(huán)節(jié)。合理的接入認(rèn)證方案可以很大程度地改善用戶使用網(wǎng)絡(luò)的體驗(yàn)。

1 幾種常用接入認(rèn)證方式

1.1 802.1x認(rèn)證方式

802.1x是一種基于端口的訪問控制協(xié)議，客戶機(jī)/服務(wù)器模式，只允許通過授權(quán)的終端通過接入設(shè)備相應(yīng)端口訪問網(wǎng)絡(luò)。802.1x體系包括三個(gè)部分：客戶端系統(tǒng)；認(rèn)證系統(tǒng)；認(rèn)證服務(wù)器，一般為Radius服務(wù)器，用來對(duì)用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)。

802.1x只允許EAPOL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過端口，通過認(rèn)證后，數(shù)據(jù)可以順利地通過以太網(wǎng)端口[1]。

1.1.1 802.1x認(rèn)證方式的優(yōu)點(diǎn)

該方式優(yōu)點(diǎn)：802.1x認(rèn)證采用接入設(shè)備加后臺(tái)的全交換模式，易組建高速網(wǎng)絡(luò)；802.1x認(rèn)證是一種分布式系統(tǒng)，效率高；在二層網(wǎng)絡(luò)上對(duì)用戶進(jìn)行認(rèn)證，安全性高。

1.1.2 802.1x認(rèn)證方式的缺點(diǎn)

該方式缺點(diǎn)：各廠商都對(duì)客戶端進(jìn)行了定制，以實(shí)現(xiàn)不同的功能需求，致客戶端兼容性差；客戶端在安全方面擔(dān)任的角色極其重要，容易和流行安全軟件沖突，導(dǎo)致認(rèn)證困難；客戶端必須通過其他渠道下發(fā)；802.1x認(rèn)證系統(tǒng)不具備用戶帶寬控制功能；容易因IP地址沖突及ARP病毒等因素導(dǎo)致認(rèn)證成功但無法上網(wǎng)的現(xiàn)象；須部署支持802.1x協(xié)議的接入設(shè)備，投入高；

家用無線路由器可選型號(hào)極少，新款家用路由器幾乎沒有支持802.1x協(xié)議的。

1.2 Web/Portal

Web認(rèn)證起源于網(wǎng)絡(luò)業(yè)務(wù)的認(rèn)證，例如：網(wǎng)上銀行、基于Web的電子郵件等。后來被網(wǎng)絡(luò)設(shè)備提供商在網(wǎng)絡(luò)設(shè)備上進(jìn)行實(shí)現(xiàn)，用于驗(yàn)證網(wǎng)絡(luò)用戶是否具有使用網(wǎng)絡(luò)的權(quán)限[2]。

1.2.1 Web/Portal認(rèn)證方式的優(yōu)點(diǎn)

該方式優(yōu)點(diǎn)：無需客戶端，任何一款瀏覽器都可以用來進(jìn)行認(rèn)證，極其方便；可以定制推送的信息，個(gè)性化服務(wù)用戶。

1.2.2 Web/Portal認(rèn)證方式的缺點(diǎn)

該方式缺點(diǎn)：認(rèn)證服務(wù)器對(duì)所有聯(lián)網(wǎng)設(shè)備都是可達(dá)的，不安全；易用性差，不論什么終端什么應(yīng)用，都必須先打開瀏覽器進(jìn)行認(rèn)證；用戶在線情況不容易檢測(cè)，難以精確計(jì)時(shí)；容易因IP地址沖突及ARP病毒等因素導(dǎo)致無法認(rèn)證的現(xiàn)象；家用無線路由器體驗(yàn)差，須在終端上使用瀏覽器登錄。

1.3 PPPoE認(rèn)證方式

PPPoE(Point-to-Point Protocol over Ethernet)是基于以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議，是將點(diǎn)對(duì)點(diǎn)協(xié)議封裝在以太網(wǎng)框架中的一種網(wǎng)絡(luò)隧道協(xié)議。通過PPPoE協(xié)議，可以實(shí)現(xiàn)基于用戶的接入認(rèn)證、計(jì)費(fèi)、帶寬控制等管理手段，是目前應(yīng)用最為普遍的家庭用戶接入模式。PPPoE認(rèn)證系統(tǒng)由客戶端和寬帶接入服務(wù)器(BRAS)組成，會(huì)話過程經(jīng)歷發(fā)現(xiàn)階段和會(huì)話階段。發(fā)現(xiàn)階段用戶主機(jī)以廣播方式尋找所連接的所有BRAS獲取PPPoE終端的以太網(wǎng)MAC地址，然后選擇需要連接的BRAS，并建立唯一的會(huì)話識(shí)別標(biāo)號(hào)PPPoE SESSION_ID?成功完成發(fā)現(xiàn)后，客戶端與BRAS都在以太網(wǎng)上建立PPP連接，根據(jù)發(fā)現(xiàn)階段所協(xié)商的PPP會(huì)話連接參數(shù)進(jìn)行PPP會(huì)話。一旦會(huì)話開始PPP數(shù)據(jù)就可以任何PPP封裝形式發(fā)送,且所有數(shù)據(jù)包都要通過BRAS進(jìn)行PPPoE封裝或解封裝。[1]

1.3.1 PPPoE認(rèn)證方式的優(yōu)點(diǎn)

該方式優(yōu)點(diǎn)：安全性高，PPPoE會(huì)話中，對(duì)每個(gè)進(jìn)程應(yīng)用CHAP(Challenge-Handshake Authentication Protocol，挑戰(zhàn)握手驗(yàn)證協(xié)議)，或PAP(Password Authentication Protocol，密碼驗(yàn)證協(xié)議)，用戶上網(wǎng)更安全；方便管理，PPPoE能為用戶提供動(dòng)態(tài)IP地址，網(wǎng)絡(luò)維護(hù)簡單；方便用戶，PPPoE協(xié)議撥號(hào)方式的客戶端配置非常簡單,而且用戶各種操作系統(tǒng)都支持，無需安裝特殊的軟件；家用路由器選擇范圍廣，市場(chǎng)上的家用路由器基本都支持PPPoE上網(wǎng)方式。

1.3.2 PPPoE認(rèn)證方式的缺點(diǎn)

該方式缺點(diǎn)：認(rèn)證過程中，系統(tǒng)要將數(shù)據(jù)包拆解才能鑒定用戶的合法性，在用戶量大及認(rèn)證集中時(shí)，易形成網(wǎng)絡(luò)瓶頸；用戶數(shù)據(jù)包的拆包識(shí)別和封裝轉(zhuǎn)發(fā)由BRAS進(jìn)行，系統(tǒng)對(duì)BRAS的要求高，易形成單點(diǎn)故障，降低網(wǎng)絡(luò)性能；對(duì)組播及廣播的支持差，相關(guān)業(yè)務(wù)難以開展。

2 場(chǎng)景

目前，很多高校都存在多個(gè)校區(qū)，校區(qū)數(shù)量、間距不盡相同，網(wǎng)絡(luò)拓?fù)湟哺鞑幌嗤?。校區(qū)位于同一個(gè)城市的學(xué)校一般采取將核心網(wǎng)絡(luò)及出口部署在主校區(qū)、租用運(yùn)營商裸纖連接主分校區(qū)網(wǎng)絡(luò)，如圖1所示的拓?fù)浞桨浮?/p>

圖1 多校區(qū)多區(qū)域網(wǎng)絡(luò)基本拓?fù)?/p>

如圖1所示，各個(gè)校區(qū)都有可能存在教學(xué)辦公區(qū)、學(xué)生宿舍區(qū)及其他區(qū)域?；谛@網(wǎng)的優(yōu)勢(shì)：與教育科研網(wǎng)、中國電信、中國聯(lián)通等主干網(wǎng)都有接口互通，網(wǎng)絡(luò)訪問更快捷；學(xué)校購買了各種數(shù)據(jù)庫資源，方便文獻(xiàn)檢索等，對(duì)用戶有相當(dāng)?shù)奈?。但其他區(qū)域用戶成員繁雜，需求繁多：有離退休人員炒股的，有為孩子學(xué)習(xí)檢索資料的，不一而足。但用戶對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技能的掌握非常有限，即使文化層次較高的，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用能力也是參差不齊。10多年管理校園網(wǎng)的經(jīng)歷，以及對(duì)幾種接入方式的體驗(yàn)和分析，筆者個(gè)人認(rèn)為，從考慮提升用戶上網(wǎng)體驗(yàn)、減輕網(wǎng)管員工作負(fù)擔(dān)方面考慮，其他區(qū)域網(wǎng)絡(luò)適宜使用PPPoE接入認(rèn)證方案。

3 PPPoE接入認(rèn)證系統(tǒng)部署方案

為減少用戶間的相互影響，目前流行的方案是細(xì)化網(wǎng)絡(luò)，每個(gè)用戶單獨(dú)使用一個(gè)VLAN，雖然削弱了以太網(wǎng)的共享功能，但對(duì)其他區(qū)域用戶來說，共享功能使用的場(chǎng)合還是極其少見的，不影響用戶的主要體驗(yàn)。

3.1 主校區(qū)

以圖1所示場(chǎng)景為例，將PPPoE接入認(rèn)證系統(tǒng)部署在主校區(qū)[3-5]，PPPoE認(rèn)證網(wǎng)關(guān)位于匯聚交換機(jī)與核心交換機(jī)之間，接口情況見圖2。

圖2 PPPoE認(rèn)證系統(tǒng)拓?fù)?/p>

總體思路：每個(gè)用戶獨(dú)自占用一個(gè)VLAN，避免相互影響。

相關(guān)設(shè)備配置信息如下：

(1)接入交換機(jī)

所有端口配置不同VLAN，上連端口為TRUNK模式：

#show running-config

……

interface fastEthernet 0/1

switchport protected

switchport access vlan 511

interface fastEthernet 0/2

switchport protected

switchport access vlan 514

……

interface gigabitEthernet 1/1

switchport mode trunk

……

(2)匯聚交換機(jī)

各端口均配置為TRUNK模式，其中第12口用于透?jìng)鞣中^(qū)QinQ信息，VTP經(jīng)過了修剪，只傳VLAN 196。

#show running-config

……

interface GigabitEthernet 0/1

medium-type fiber

switchport mode trunk

!

interface GigabitEthernet 0/2

medium-type fiber

switchport mode trunk

!

……

interface GigabitEthernet 0/11

description PPPoE-in

switchport mode trunk

!

interface GigabitEthernet 0/12

description QinQ-Vlan

switchport mode trunk

switchport trunk allowed vlan remove 1-195,197-4094

……

(3)PPPoE設(shè)備配置

配置管理口地址；

配置內(nèi)外網(wǎng)口工作模式；

配置外網(wǎng)口路由地址，如果需要，配置路由表；

配置地址池、認(rèn)證方式(本地還是遠(yuǎn)程)、如果需要，配置Radius服務(wù)器信息；

配置安全策略。

(4)核心交換機(jī)相關(guān)接口及路由配置

#show running-config

……

interface GigabitEthernet 1/4

no switchport

description PPPoE-Extport

ip address 10.10.10.65 255.255.255.252。

!

interface GigabitEthernet 1/5

description QinQ-Vlan

switchport mode trunk

switchport trunk allowed vlan remove 1-195,197-4094

……

ip route 192.168.41.0 255.255.255.0 GigabitEthernet 0/4 10.10.10.66 1 enabled

ip route 192.168.42.0 255.255.255.0 GigabitEthernet 0/4 10.10.10.66 1 enabled

……

3.2 分校區(qū)

經(jīng)費(fèi)允許的情形下，分校區(qū)最好也部署一臺(tái)PPPoE認(rèn)證設(shè)備，與主校區(qū)PPPoE認(rèn)證設(shè)備使用同一套計(jì)費(fèi)系統(tǒng)。若經(jīng)費(fèi)緊張，可以考慮與主校區(qū)使用同一套PPPoE認(rèn)證計(jì)費(fèi)系統(tǒng)，利用QinQ技術(shù)將用戶VLAN信息使用一個(gè)VLAN傳到主校區(qū)匯聚交換機(jī)[6-8]。本文只介紹后一種方案。

3.2.1 QinQ技術(shù)

QinQ從字面上理解就是VLAN套VLAN的意思。802.1Q協(xié)議中的以太網(wǎng)數(shù)據(jù)幀中用4個(gè)字節(jié)來標(biāo)識(shí)VLAN信息，如圖3所示，其中VLAN號(hào)占12位，取值范圍為1～4094(通常vlan 0和vlan 4095預(yù)留)。

而QinQ的數(shù)據(jù)幀中用8個(gè)字節(jié)來標(biāo)識(shí)VLAN信息，如圖4所示。可以看出，兩個(gè)12位標(biāo)識(shí)VLAN號(hào)，可以組合成4094×4094個(gè)VLAN。

圖3 802.1q數(shù)據(jù)幀

圖4 QinQ數(shù)據(jù)幀

3.2.2 網(wǎng)絡(luò)配置管理

(1)接入交換機(jī)

所有端口配置不同VLAN，上連端口為TRUNK模式：

(2)匯聚交換機(jī)

各端口均配置為TRUNK模式。

(3)核心交換機(jī)

與主校區(qū)連接端口GigabitEthernet 3/1配置為TRUNK模式，與匯聚交換機(jī)連接端口GigabitEthernet 3/2配置為隧道模式。

#show running-config

……

interface GigabitEthernet 3/1

switchport mode trunk

！

interface GigabitEthernet 3/2

switchport mode dot1q-tunnel

switchport dot1q-tunnel allowed vlan add untagged 196

switchport dot1q-tunnel native vlan 196

spanning-tree bpdufilter enable

description QinQ-tunnel-port

……

所有設(shè)備正確配置，系統(tǒng)運(yùn)轉(zhuǎn)正常，在計(jì)費(fèi)系統(tǒng)中查看用戶在線情況，如圖5。

圖5 PPPoE認(rèn)證計(jì)費(fèi)系統(tǒng)用戶在線情況

4 結(jié)語

通過精細(xì)化網(wǎng)絡(luò)配置管理，結(jié)合PPPoE認(rèn)證方式的優(yōu)點(diǎn)，實(shí)踐證明，其極大改善了用戶上網(wǎng)體驗(yàn)：不必用U盤等介質(zhì)拷貝客戶端程序回來安裝；不必像802.1x認(rèn)證方式那樣為了使手機(jī)與PAD能移動(dòng)設(shè)備上網(wǎng)，到處去尋找購買支持相應(yīng)協(xié)議的路由器；網(wǎng)絡(luò)登錄時(shí)間小于0.1秒、使用順暢、無不明原因掉線等。筆者認(rèn)為，PPPoE是其他區(qū)域網(wǎng)絡(luò)接入認(rèn)證的必然趨勢(shì)。

[1] 湯小康.多校區(qū)校園網(wǎng)接入認(rèn)證技術(shù)分析[J].軟件導(dǎo)刊,2014(5):138-139.

[2] 李志偉.常見寬帶接入認(rèn)證方式及比較[J].中國傳媒科技,2015(6):74-75.

[3] 劉志雄.校園網(wǎng)PPPoE接入認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[J].信息安全與技術(shù),2013(8):36-40+58.

[4] 杜喆,朱俊,沈成彬,等.PPPoE+技術(shù)在寬帶接入網(wǎng)中的應(yīng)用研究[J].電信科學(xué),2014(8):154-158.

[5] 申健,朱婧.校園網(wǎng)認(rèn)證技術(shù)的應(yīng)用和發(fā)展[J].物聯(lián)網(wǎng)技術(shù),2015(5):62-64.

[6] 鄭瑞平.基于 QinQ + Portal 認(rèn)證技術(shù)在校園無線網(wǎng)中的應(yīng)用[J].中國醫(yī)學(xué)教育技術(shù),2014(8):409-412.

[7] 王曉峰.利用QinQ技術(shù)實(shí)現(xiàn)寬帶用戶精確綁定[J].電信技術(shù),2015(6):75-79.

[8] 王志剛,孟罡,向飛. 基于802.1x校園網(wǎng)接入認(rèn)證的安全性分析與防御[J].計(jì)算機(jī)安全,2014(6): 51-53.

(責(zé)任編輯：孫文彬)

Research on the Access Authentication Technology for Multi-zone Users in Campus Network

SHEN Da-feng

(Information Construction and Management Center, Huaiyin Institute of Technology, Huai'an Jiangsu 223003, China)

Campus network includes all other kinds of people and different network demands besides teaching area, office area and student residence. In order to solve the network management problems associated with the complex personnel structure and the different computer network levels in the area, taking a practical application of the campus network, for example, by comparison with the conventional access authentication methods on how to provide better network experience and management for users in these area, effective network access and management solutions are given.

access authentication; 802.1x; PPPOE; QinQ

2016-06-20

沈達(dá)峰(1964-)，男，江蘇沭陽人，工程師，主要從事網(wǎng)絡(luò)管理與維護(hù)研究。

TP393

A

1009-7961(2016)05-0010-05