校园网良好的运行、网络用户方便有效的管理,是保障高校各项工作正常开展的必要前提之一。校园网的认证方式在校园网的运行和管理中起到了非常关键的作用。高校校园网采用的认证方式存在的问题:在接入控制与访问控制不能兼顾;网络稳定与用户有效管理不能兼顾;认证与计费不能兼顾。
现阶段高校普遍采用的校园网认证方式:802.1x 的认证;基于IP 地址的集中式身份认证;WEB 认证。 校园网的网络结构:
树状网络结构:由一台三层设备作为校园网的核心设备(或者汇聚设备),下接 接入交换机,通过接入交换机与用户PC 相连 特点:核心交换机的端口密度比较大;;有较强的扩展能力
双核心或者多核心网络结构:核心设备之间是互联的,并且存在协商机制。多核 心网络结构的校园网也是通过与核心交换机互连 的路由器接入到广域网中的,路由器与每个核心交 换设备之间都存在物理链路。
特点:核心交换机的端口密度很大,成本高,网络结构复杂,不利于网络发展 环型网络结构:多台核心设备与所有汇聚交换机连接成双RPR 动态弹性分组 环,校园网通过与环上交换设备互连的路由设备接入到广域网 络。
优点:节省光纤资源,拥有自愈保护能力
缺点:网络结构复杂,组网能力很弱,扩展能力很差,核心路由的冗余设计难度 很高
高校校园网的认证需求:庞大的用户接入,耗费大量的资金,需对用户实行计费和上网时长的;同时要便于网管集中管理用户对应的不同计费方式 802.1x认证:基于端口的认证,端口只允许802.1x 的认证协议报文通过; 硬件要求:网络交换机必须支持802.1x 协议,接入设备必须具有NAS 功能(接入服务功能),并要做相关的802.1x 认证的配置
802.1x 认证的体系结构:请求者系统、认证系统和认证服务器系统
认证系统一般指支持 802.1x 协议的交换机,该设备有两个逻辑端口:受控端 口和不受控端口。
认证服务器通常为 RADIUS 服务器,它可以存储用户的有关信息,例如,用户账号,密码,优先级等 认证流程:
PC客户端 接入交换机 RADIUS服务器
如果用户退出网络,可以通过客户端软件发
起退出过程,认证设备检测到该数据包后,会通知RADIUS服务器停止计费,并删除用户的相关信息(如MAC地址和IP地址),受控逻辑端口关闭,用户进入再认证状态。
优点:最简化,容易实现,成本低廉;比较有效的防止因修改MAC地址而产生的盗号现象;局域网的安全性和稳定性以及IP地址的利用率都很高。
缺点:计费策略单一、客户端升级困难;不能对用户进行访问控制;不能绝对定位网络用户;不能有效防止代理;客户端发放困难;功能扩展性差;客户端不统 一
集中式身份认证:基于连接得认证,例如IP控制网关、千兆计费网关 组网方式:
集中式:使用一台网关产品,成本较低,如果校园网用户规模过大,这 种方式就容易产生流量瓶颈问题 分布式:适合网络规模较大的情况下
优点:对网络设备没有要求;功能完善并有良好的可扩展性;计费准确、计费策略丰富;特定用户的精准管理;有效的防止代理;详尽的用户访问记录;内、服务分离实现容易;可以实现单个用户的流量控制 其他认证方式:WEB认证,PPPoE认证
校园网二次身份认证:802.1x认证+集中式身份认证
WEB认证和802.1x认证的计费存在明显的缺陷,而WEB认证和集中式身份 认证都是在提前分配IP地址的情况下的认证
这种二次身份认证理论上兼顾了校园网对网络用户的接入控制和访问控制,并兼顾了802.1x认证的安全优势和集中式身份认证的计费优势。 二次认证的可行性研究:
技术上:802.1x基于端口对接入用户进行认证,用户获取IP地址后,由集中式身份认证的控制网关对用户进行授权、管理和计费。802.1x认证只实现端口控制的基本功能,集中式身份认证实现用户的访问控制、计费及其它扩展功能 下图为二次身份认证的流程图:
将802.1x客户端和集中式身份认证
的客户端整合成为一个客户端。
使用二次身份认证时,高校校园网不需对树状网络结构做任何的调整,不需要接入交换机增加任何扩展功能,不用升级现有网络的交换机。从长远的角度看,二次身份认证,增加的成本和其带来的网管方面的优势相比,性价比很高。
二次身份认证系统管理机功能定制:
计费策略:基于时间的计费方式,基于流量的计费方式,也可两者结合。 时间策略:设置可以上网的时间段和上网套餐
流量策略:根据教职工和学生的上网时间对流量进行分配,保证用户上网质量。 用户组策略:将用户分为不同的组别,比如教师组,学生组等,分别采用不同的 计费,时间,流量策略。
用户自助服务
二次身份认证的特点: 功能升级容易 综合性能优良
网络的稳定性高:在接入层做了控制,能够防止网络环路对网络造成危害, 能够有效的保障下层网络的稳定
网络的安全性高:集中式身份认证系统应用了 NAT 技术,使内部网和Internet 实现充分隔离,内部用户可以访问局域网外部用户,外部用户 不能访问内部用户,防盗号情况。 校园网的服务功能提升
一种基于Web Portal架构的校园网用户二次认证方案:
基本原理:开通融合业务的校园用户以其手机号码作为宽带上网认证账号,手机接收认证系统下发的验证码短信;若用户未做手机号码未关联或是手机欠费停机,则接收不到验证码短信,无法享受通融合业务资费优惠。
优势:通过手机接受验证码的方式,可以达到紧密捆绑用户,并确保用户的移动 业务为本人使用;
手机号码作为宽带的上网账号和付费号码的校园统一账号,可以有效防止 1拖N现象
改进后Portal认证系统:
用户首次上网时,Portal弹出首次认证页面,要求输入手机号码及动态验证码,用户信息提交后,认证PORTAL将用户认证请求同步给OBS侧,并获取用户宽带账号和临时认证密码,同时短信中心从OBS获取用户认证密码并发送至用户手机,一旦认证Portal从OBS侧获取到用户临时密码后,用户侧WEB页面自动刷新至二次认证界面,用户输入从短信中心获取到的临时认证密码即可完成认证。就像我们学校的电信手机上网一样,需要得到手机的验证码才可使用,并且还规定了上网时长。