校园网家属区认证系统研究

2016-08-11 05:45刘世注
无线互联科技 2016年11期
关键词:家属区计费校园网

刘世注

(广东外语外贸大学 网络中心,广东 广州 510006)

校园网家属区认证系统研究

刘世注

(广东外语外贸大学 网络中心,广东 广州 510006)

文章介绍了PPPoE,Web/Portal 及802.1x 3种常用认证方式的原理,根据校园网家属区的特点,从校园网家属区认证需求的角度,对比分析了3种认证方式的优缺点、配置需求等,最后作出选择并对其部署提出建议。

PPPoE;Web/Portal;802.1x;校园网家属区

随着信息化的发展,很多高校在大力推行数字化校园建设。作为接入网络的基础设施,校园网于教职工和学生的意义已经不言而喻。虽然现在诸如手机、电脑等智能移动设备较为普遍,且大多室外广场都已安装无线网络,但广外教职工家属区网络接入设备为Cisco2950(不支持Web认证),只能通过电脑使用锐捷客户端进行认证上网,因此,解决多人多设备同时上网的问题在应用中不可避免。

1 广东外语外贸大学校园网家属区认证需求分析

从无线接入点考虑,如果加装无线接入点,成本庞大,施工难度大,设备利用率低,且机房需加装poe设备,此种方法暂时放弃。从认证方式考虑,有2种方法:

第一种,将全部接入设备(cisco2950)换成锐捷交换机,但需替换的设备数量巨大,操作复杂。

第二种,另辟蹊径,在汇聚层加设一台锐捷S5750作为认证汇聚网关,将现有客户端认证全部改成Web/portal认证,教职员工可以下接路由器,设备改造小,满足了上网需求,故选择第二种。

2 以太网接入认证方式介绍

2.1PPPoE认证优缺点

2.1.1PPPoE认证优点

(1)PPPoE认证不仅具有广泛、成熟的优点,也具有良好的互通性与标准性。

(2)现有主流的PC操作系统基本上自带PPPoE认证端,不需要另外安装,无兼容性问题;用户比较容易接受。

(3)PPPoE通过唯一的Session-ID可以很好地保障用户的安全性。

2.1.2PPPoE认证的缺点

(1)在发现阶段会产生大量的广播流量,认证机制比较复杂,对网络性能影响大,对设备性能要求较高。

(2)需要客户终端软件,维护工作量过大。

(3)随着网络应用层出不穷,也逐渐暴露出BAS设备在业务支持上的局限性问题,很难开展组播业务。究其原因,还是因为在PPP协议中,对一个端对端关系进行定义时,有多个网络设备和主机通信,但主机的可选择性较为单一,只能从中选取一个。为此,在认证时采用PPPOE方式,组播复制点的最终“落脚处”就在BAS设备上。

3 Web/Portal认证原理

Web/Portal认证,顾名思义就是利用Web页面进行认证。这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器就可以进行身份认证。

当使用浏览器上网时,未认证用户HTTP报文都会被接入NAS设备截获。交换机伪装成用户期望访问的站点,与用户建立TCP连接后,通过HTTP重定向将预先设定好的认证页面推送给用户,portal服务器携带用户的认证信息,向radius服务器发认证请求,radius服务器返回认证成功或失败信息,如果认证成功后,由Web portal服务器向NAS设备通过SNMP下发IP+MAC或者IP的绑定信息,同时发记账开始信息到radius服务器开始记账,以达到用户在线认证且不用安装认证客户端的目的。详细的原理如图1所示。

图1 认证原理

其认证处理阶段流程如图2所示。

(1)Portal发起认证请求主要利用HTTP协议。接入设备在感受到HTTP报文经过时,针对设定可访问地址的HTTP报文,或访问Portal服务器的可对其放行;而对于访问其它地址的HTTP报文,接入设备对其进行强制重定向。当用户输入用户名和密码进行认证时,Portal服务器则让其通过Web页面。

(2)Portal服务器和接入设备进行CHAP认证交互时,如果采用的是密码验证协议,即PAP,认证则省略了其它环节,直接进入下一步。

(3)Portal服务器组装用户输入用户名与密码且以报文的形式将其发往接入设备,并将定时器开启,以等待认证应答报文。

(4)接入设备和RADIUS服务器之间进行RADIUS协议报文的交互。

(5)接入设备将认证应答报文发送至Portal服务器。

(6)Portal服务器将认证通过报文发送给客户端,告知客户端上线成功。

(7)当认证通过报文顺利到达客户端后,借助DHCP以获得新公网IP地址,并将这一消息告知Portal服务器用户。

(8)Portal服务器将新公网IP地址告知接入设备客户端。

(9)接入设备对ARP协议报文进行检测时发现用户IP发生改变,并显示Portal服务器已将用户IP变化检测出来。

(10)Portal服务器将客户端上线成功消息告知给客户。

(11)Portal服务器将IP变化确认报文发送给接入设备。

图2 认证处理阶段流程

3.1Web/Portal认证优缺点

3.1.1Web/Portal认证优点

(1)认证客户端不需要安装,只需对后台进行维护,以让维护工作量减少。

(2)可以在Portal页面上推送校园信息或者业务拓展。

(3)技术成熟,兼容性好。

3.1.2Web/Portal认证缺点

(1)Web/Portal认证是基于7层的认证模式, 设备性能要求高。

(2)漫游时用户需重新连接,不能很好地体验,进而无法对用户离线进行检测,很难时间对时间的计费。

(3)需要增加radius服务器(用于储存客户端用户名和密码的设备)、内置portal服务功能弱。

(4)认证前后业务流和数据流混在一起无法有效区分。

3.2802.1x认证优缺点

3.2.1802.1x认证优点

(1)802.1x协议不通到3层,其仅为二层协议,且对设备的整体性能没有较高要求,建网成本大大降低。

(2)绑定技术安全性较高,802.1x在无线局域网环境中与EAP-TLS,EAP-TTLS结合,可动态分配WEP证书密钥,让无线局域网中的安全漏洞得到有效防范。

(3)IEEE标准相同于以太网标准,实现了与以太网技术的无缝衔接,大多数主流数据设备厂商在路由器、交换机等设备上均支持了该协议。

(4)可对认证的颗粒度进行灵活控制,认证单个用户连接、用户ID等,且可灵活组合认证层次,让特定的接入技术被满足。

3.2.2802.1x认证缺点

(1)需要特定客户端软件,客户端软件维护工作量大,严重依赖于其它第三方网络设备,对其它设备要求较高,部署缺乏灵活性和扩展性。

(2)网络安全问题:作为一个二层协议,802.1x协议的任务就是认证控制接入用户的端口,当完成这一任务后,校园网用户就将进入3层IP网络中,需要对城域网以太接入的多方面问题进行解决,如可运营、可管理和接入安全性等。

(3)计费问题:802.1x协议在进行时长计费时,主要以用户完成认证与离线间的时间为参考,因而不能很好地统计流量。

4 以太网接入认证方式总结

根据广外校园网家属区的认证需求,总结3种认证方式的区别如表1所示。

表1 3种认证方式的区别

5 结语

综上所述,3种方式各自有自己的优缺点:802.1x协议是当前在用的,需PC操作系统使用客户端,维护工作量大,已经不能满足网络需求;基于PPPoE的认证方式管理性强、计费准确、兼容性好、安全性强、适合网络运营商,缺点就是PPP限制了网络环境和组播业务,点与点相互隔离,虽然确保了安全性,但是限制了组播业务,增加了网络出口负担;Web认证方式,在兼容方面具有明显优势,但在计费准确度以及用户可管理性方面稍显滞后。学校可将实际情况联系起来,采取与之相匹配的认证方式。若偏重的方向是系统的精确性与可管理性,则PPPoE的认证计费方式无疑是最适宜的,但高校也要考虑到用户的方便性,不能出现过高的计费要求,由于目前包月不限流量的计费方式得到普遍运用,因此,可采用Web认证计费模式。

Study on the Authentication System in GDUFS Campus Network for Dependents' District

Liu Shizhu
(Guangdong Vniversity of Foreign Studies,Network Center,Guangzhou 510006,China)

This paper introduces three authentication methods, PPPoE、Web/Portal and 802.1x, and compare their advantages,disadvantages and configurations according to the characteristics and needs of GDUFS campus network for families, finally make a choice and recommendation.

PPPoE; Web/Portal; 802.1x; campus network for dependents' district

刘世注(1982-),男,广东梅州;研究方向:校园无线网络。

猜你喜欢
家属区计费校园网
5G网络独立组网中融合计费方案的研究
基于云计算和微服务架构的高速公路计费系统
生活中的分段计费
试论最大匹配算法在校园网信息提取中的应用
黑龙江省人民政府办公厅关于哈尔滨铁路局职工家属区“三供一业” 分离移交工作的指导意见 黑政办发[2016]139号
浅析高校家属区的转型策略
NAT技术在校园网中的应用
基于AM3354的电动汽车充电监控计费系统电表通信的实现
VPN在校园网中的集成应用
科研单位家属区物业管理的探讨