扁平化网络的接入认证系统的设计

2015-05-30 16:22范华峰
软件工程 2015年12期

范华峰

摘 要:稳定可靠、安全高可控、易维护等诸多优点的运营商扁平化网络正在逐步影响着高校,利用核心设备Bras路由器和接入控制系统实现对用户接入控制。本文将基于Juniper MX 960多业务路由器为核心,通过对接入控制原理的分析,设计了扁平化网络的接入认证系统,满足高校网络精细化管理的需求。

关键词:COA;扁平化网络;接入认证

中图分类号:TP393.1 文献标识码:A

Design Flat Network Access Authentication System

FAN Huafeng

(Changzhou Institute of Mechatronic Technology,Changzhou 213164,China)

Abstract:Reliable,secure high controllability,easy maintenance and many other advantages of the flat network operators are gradually affecting the universities,the use of core equipment Bras routers and access control system to realize the user access control.This article is based on Juniper MX 960 Services Router as the core,through the access control principle of analysis,design a flat network access authentication system to meet the needs of the university network meticulous management.

Keywords:COA;flat network;access authentication

1 引言(Introduction)

随着应用与管理的深入,以Cisco为代表的三层网络构建模式面临着诸多难以解决的问题,越来越多的高校在参考各大运营商的网络发展经验后,网络结构正在从复杂的多层结构转向以Juniper为代表的简单扁平化结构[1]发展。在校园网中,通过部署Juniper MX960作为核心路由器,利用其Bras功能通过radius协议与接入认证系统交互,实现灵活的网络接入控制、认证和计费等方面功能。

2 Radius协议(Radius protocol)

RADIUS协议(Remote Access Dail-In User Service,远程认证拨号用户服务协议)主要提供三个基本功能:Authentication(认证)、Authorization(授权)、Accounting(计费),即AAA功能[2]。该协议是一种可扩展的协议,采用C/S构架模型,以UDP作为传输协议(1812认证授权端口,1813记账端口),具有强大的认证能力,是管理远程用户验证和授权的常用方法。

3 接入控制原理(Access control principle)

用户设备(有线、无线)通过采用QinQ的方式连接至核心路由器,接入控制将进行如下步骤:(1)用户设备配置DHCP动态获取IP地址,发起Dhcp Discovery。(2)核心路由器根据用户的DHCP请求(包含设备MAC地址、接入QinQ编号或VLAN号、设备指纹等)信息生成唯一会话编号,同时将DHCP请求转换成Radius请求,转发请求至接入认证系统做DHCP认证,对该设备进行合法性校验。(3)接入认证系统查询相关数据判断用户设备是否允许接入,若允许接入则回应Accept,同时下发radius的相关属性包含访问策略、带宽管理策等。(4)路由器根据接入认证系统返回的数据生成一个动态逻辑接口并将相关的Radius属性应用到该接口上下发用户获取到的IP地址。此时就完成了对用户设备的初始化控制。(5)路由器将用户设备获取的IP地址、会话编号和认证的相关信息生成Radius记账开始报文发送给接入认证系统。(6)在用户设备上打开浏览器打开任意网页。(7)web请求被将进入核心路由器上用户设备对应的动态逻辑接口,动态逻辑接口此时策略会将用户请求重定向到认证设备上的PORTAL登录页面,当打开登录页面时,认证设备将根据设备的IP地址找到相应的会话编号,认证设备根据用户输入用户名和密码,查找相关数据得到用户的策略信息,认证设备使用会话编号和用户策略信息向核心路由器发起Radius COA扩展协议报文,通知路由器修改该会话编号对应的逻辑接口的策略信息。(8)路由器收到接入认证系统的发来的COA报文后,修改逻辑接口相关策略。(9)成功后向接入认证系统发送Ack报文和发生记账更新报文,此时可以实现设备、账号、访问权限的完全绑定。如图1所示。

4 系统设计(System design)

通过对接入原理的分析,每一个认证通过的设备在核心路由器上都会生成一个动态逻辑接口,每个逻辑接口对应一台用户设备,此时会话编号及逻辑接口和用户设备唯一绑定,用户设备的所有进出流量只能通过该逻辑接口进行传输,即逻辑接口具有什么权限,用户设备就具有相应的权限。若要向核心路由器发送指定用户会话编号COA请求,路由器就会修改该逻辑接口的权限,从而实现对用户的精细化管理。如图2所示。

系统主要由协议模块、Radius服务模块、Portal服务模块、记账服务模块和数据库模块组成。协议模块完成对Radius协议进行编解码;Radius服务模块接受核心路由器MX960的认证请求并查询数据库模块来判断用户设备是否允许接入,认证结果通过协议模块返回给路由器;Portal服务模块向用户提供用户名密码输入网页,当用户设备完成初始化配置后,所以的用户Web流量都会重定向至“用户认证页”,用户输入认证信息后,Portal将根据数据库判断用户是否有权改变当前策略并返回新的策略名称,Portal同时通过协议模块向核心路由器发送改变策略的请求并等待路由器返回执行结果;记账服务每隔一段时间对Radius的记账报文进行统计,实现对用户每次上网的时间、流量进行统计和管理。

系统采用Java语言,使用Hibernete+Struts2结合开发,如图3和图4所示。

5 结论(Conclusion)

本论文结合实际高校应用的需求,根据Juniper MX 960多业务路由器的接口规范,设计了扁平化网络的接入认证系统,系统实现了对用户接入地点、时长、流量、带宽等属性进行精细化管理,使得网络管理与维护更简单,改善了用户的体验。该系统已在常州机电职业技术学院使用半年来非常稳定,最高同时在线用户达6500人。

参考文献(References)

[1] 覃毅.校园网络扁平化架构设计与实施[J].农业网络信息,2015(7):20-22.

[2] RFC2865.Remote Authentication Dial In UserService(RADIUS)[S].

[3] RFC2869 RADIUS Extensions[S].