焦志竞
摘要:现在大部分家庭中使用路由器实现多终端上网,家庭宽带路由器上行接口和下行接口都接在LAN口上,DHCP服务设置关闭,将路由器作为二层设备来使用,接入层交换机不做802.1x认证,只做普通报文转发。社区网网关仍然设置在汇聚层的S6500交换机上,通过启用DHCP服务对终端进行规划的IP地址的分配。在汇聚交换机上各旁挂1台S5800交换机作为Portal认证网关,用于小区内的用户认证。
关键词:社区网;Portal认证;动态IP地址分配
引言
吐哈油田社区网已建设多年,主要用于员工家庭上网,为了实现对居民上网的认证计费,目前现网采用了802.1X认证方式进行部署。认证过程由客户端发起,接入交换机的物理端口对报文严格控制,启用802.1X认证,默认情况下只允许认证报文通过,只有在认证通过的状态下才打开,用于传递网络资源和服务。如果认证通过,用户才能访问互联网资源和内网服务资源。
一、社区网现状
现有802.1X认证需要安装需要特定客户端软件,运维管理复杂。社区网共涉及近万户居民,如果采用采用802.1X认证方式,需要对每个用户终端安装维护认证客户端软件,日常维护工作量巨大。
面对用户多终端上网的趋势,802.1X认证无法对移动终端如手机、IPAD进行认证,用户体验感差。目前居民家中不仅部署台式电脑,像智能手机、平板电脑等终端应用也越来越普遍,传统的802.1X认证方式无法满足智能移动终端的认证需求。
由于上述原因,当前采用的802.1X认证方式难以满足不断发展的用户移动终端接入和管理员维护管理需求。
二、认证方式与部署模式选择
(一)认证方式选择
目前,业界主要采用PPPOE、802.1X、Portal这三种认证方式,下面就这三种认证方式的原理和主要优缺点进行比较。
1、PPPoE认证方式。通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。
PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
第一章PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,所以封装效率很低
第二章PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响
第三章组播业务开展困难,而视频业务大部分是基于组播的
第四章需要运营商提供客户终端软件,维护工作量过大
第五章PPPoE认证一般需要外置BAS,认证完成后,业务数据流也必须经过BAS设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵。
2、802.1x认证方式。是一种client/server 模式的访问控制和认证协议,主要的应用环境是局域网的接入控制、身份认证,往往做为校园网、WLAN的接入控制手段。802.1x是基于端口的访问控制机制。用户或设备在认证前,交换机端口处于受控状态,此时只允许EAPOL协议(扩展局域网认证协议)通讯数据通过;认证通过后,端口处于非受控状态,此时用户的所有网络通讯数据都可以通过。802.1x实际上为每个用户建立一个逻辑的链路,端口的逻辑状态是只对该用户有效,不同用户的端口逻辑状态不相互影响。802 .1x认证过程就是EAPOL协议交互。
缺点:需特定客户端软件,用户交换机需要升级,IP地址分配、网络安全、计费均存在问题。
3、Portal认证方式。Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用靜态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给 Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。
优点:不需要特殊的客户端软件,降低网络维护工作量,用户体验好。
缺点:对于设备的要求较高,建网成本高;用户连接性差,易用性不够好。
综合对比三种主要认证方式,可以发现Portal认证方式可以满足居民的移动终端如平板电脑、智能手机等认证需求;并且Portal认证方式不需要安装客户端,通过Web界面进行认证,日常管理维护简单,可以满足社区网当前认证需求。因此,建议在社区网中使用Portal认证方式。
(二)部署模式选择。在Portal认证方式的部署中,根据BAS设备(即Portal认证网关设备)部署数量和位置的不同可以分为集中式部署模式和分布式部署模式两类,下面就这两种部署模式的优劣进行比较。
集中式部署就是将全网所有的认证流程集中在一台BAS设备上进行Portal认证。因此对BAS设备的性能和可靠性要求非常高,一旦BAS设备出现故障将会导致全网所有用户认证过程中断。
分布式部署就是将认证所需的BAS设备上分布式部署在各个汇聚节点上,分别对各个园区进行Portal认证,因此BAS设备的性能要求稍低。该部署模式中,每台BAS设备只需负责所在园区的认证流程,影响范围有限。
吐哈油田社区网涉及到近20000名用户,如果采用集中式部署方式,对认证网关设备性能和可靠性要求极高。目前业界支持20000名用户Portal认证的设备必须为高端机箱式设备,即使采用机箱式设备也基本上达到了该设备认证数量的极限。随着后续接入用户的增多,还需要更换为更高端的认证网关,后期投资大;另外,采用集中式部署影响范围广,一旦认证网关出现故障,将造成全网用户的认证中断。因此,在综合对比以上两种部署模式后,建议采用分布式部署模式。
三、优化设计方案
(一)组网架构。在社区网中采用Portal认证方式的组网架构如下图所示:
1、现在部分家庭中部署了家庭宽带路由器用于实现多终端上网的需求,家庭宽带路由器上行接口和下行接口都接在LAN口上,DHCP服务设置关闭,简单讲,就是将家庭宽带路由器作为二层设备来使用,接入层交换机不做802.1x认证,只做普通报文转发。
2、社区网网关仍然设置在汇聚层的S6500交换机上,通过启用DHCP服务对终端进行规划的IP地址的分配。在本方案中,需要在汇聚交换机上各旁挂1台S5800交换机作为Portal认证网关,用于小区内的用户认证。
3、针对鄯善园区近4000名用户的认证接入需求,采用和哈密园区相同的分布式认证方式,所有用户的Portal认证网关均部署在本地。在鄯善园区的每个汇聚节点部署1台S5800交换机设备,在鄯善园区共需部署5台。在鄯善园区,所有用户的上网认证都需要经过部署在哈密园区的Portal服务器和综合认证系统,实现鄯善、哈密两个园区统一的认证接入。
(二)认证流程。吐哈油田社区网采用Portal认证方式:用户通过IE访问需要授权的网络资源,首先认证过程经过S5800网关设备;S5800网关发现用户还没有通过认证则强制到Portal服务器;Portal 服务器将WEB页面强推给用户,提示用户需要进行认证,用户在WEB页面中输入用户名密码并提交认证;S5800网关将用户认证信息转换为Radius报文发送到现有综合认证系统进行认证。
(三)IP地址规划。在终端接入IP地址分配中,主要分为静态IP地址和动态IP地址两类。在本方案中,如果配置静态IP地址,涉及终端数量非常多,需要提前对每个终端进行规划,后期管理维护工作量巨大。如果配置动态IP地址,只需在每个汇聚节点的三层网关配置DHCP功能即可,满足用户在不同区域接入的移动上网需求。因此,建议采用动态IP地址分配方式。
(四)高可靠性設计。吐哈油田社区网现有综合认证系统中,采用自研软件进行认证、授权及计费工作。本方案将由H3C iMC UAM用户接入管理组件实现用户身份认证与现有认证系统进行有效融合实现对用户上网认证计费的有效管理。
(五)用户接入管理。本方案支持多终端接入,即同一个用户名允许有多个终端同时上网。无论是台式电脑、平板电脑还是智能手机,只要在允许的数量范围内,都可以同时上网,满足家庭用户多终端的上网需求。每个用户名下可同时接入终端的数量可以在管理界面进行设置,在满足居民上网体验的同时做到可控可管,有效防止个别用户对网络资源的过度占用。
(六)方案可行性分析。在设备投资方面:充分利用现网6500汇聚交换机、各楼层交换机、家用无线路由器及综合认证系统。只需在每个汇聚交换机旁挂1台盒式交换机S5800作为本区域的Portal认证网关,另外在核心交换机上旁挂服务器作为Portal服务器,Portal服务器运行UAM用户接入管理软件。
在方案可靠性方面:增设备与现有设备及认证系统可以实现良好的兼容。现网部署的6500交换机与新增S5800交换机均为H3C品牌系列产品,并且新旧设备之间均通过标准网络技术进行互通,因此在硬件设备层面具有良好的兼容性;综合认证系统与新增S5800交换机采用标准Radius报文进行通信,新增S5800交换机和现有综合认证系统均支持该报文,因此在兼容性方面均有良好的可行性。
四、方案优点总结
对现有802.1x认证方式进行替换,采用Portal认证方式主要具备以下几方面优点:
管理维护简单 :采用Portal认证方式不需要安装客户端软件,通过网页即可实现认证。管理员不再需要逐一为每个上网用户安装和升级客户端软件,极大减轻管理难度。
部署简单:本方案在实施部署中,不需要对现有网络架构进行变更,只需在每个汇聚节点旁挂一台Portal认证网关,实施工作量较小。
用户体验感好:采用Portal认证方式,通过网页方式对用户终端进行认证,因此可以实现对智能手机、平板电脑等移动终端的认证,可以满足用户不断变化的终端认证需求,整体上网体验可以得到保障。
认证页面人性化:可根据不同用户的需求对认证页面进行定制化开发,满足不同企业用户的人性化、个性化需求,如可定制认证页面的标题、内容、背景等。