孙明
(辽宁工业大学 辽宁锦州 121001)
近年来,互联网技术已经成为各行各业发展升级的关键技术,尤其在移动网络与光纤网络的普及过程中,为人们提供了便捷、高效的信息化生活。在现代高校中,校园网络同样成为支持教学活动、科研发展、学生学习与娱乐的重要依托,因此在校园网建设中,必须坚持业务性、综合性与应用性的综合需求,以保证满足当前高校教学、科研以及师生生活学习的要求。
在高校之中,由于网络使用的人员类型较多,比如学生、教师、职工、临时工作人员、访问者、校内商户、教师家属、外聘人员等,这就使得高校中的网络终端数需求较高,从而使得带宽过高而降低了网络利用率。与此同时,由于网络使用人员的安全意识较差,因此在校园网建设中,必须通过建立认证计费系统,以提高其网络安全。第一,应加强身份识别与权限管理。不同的校园内人员在连接网络时应能够识别其身份特征而连入不同的终端网络,由此限制其网络使用权限,以此提升网络安全[1]。第二,应采用多种接入方式融合模式。一方面可以根据上网终端划分校内外、准出入、有无线等上网方式,另一方面要通过认证系统,对网络区域、对象进行精细分类,并建立身份对接,形成用户管理、网络日志、数据统计等多重功能,可以实时监测学生的网络使用情况,降低安全隐患。第三,现代网络信息鱼龙混杂,其中存在大量负面信息与糟粕文化,而这是影响学生身心健康成长的重要因素;同时网络游戏、综艺节目等网络娱乐活动过多,也会对学生的精神意志与学习成长造成一定的影响,因此可以通过认证计费系统进行网络调控,控制学生的上网时间,限制学生的上网流量,让学生有更丰富的校园生活。
随着高校不断扩招,学生人数在持续上涨,这就使得校园区域内的网络终端设备越来越多,而在占用带宽影响下,网络速度就会大打折扣。同时,学校的教学活动与科研设施也在逐步升级,形成了信息化教学、数字化建设等发展趋势,这就对网络速度提出了更高的要求。通过认证计费系统,可以使高校与运营商达成更全面的合作意向,一方面可以提高校园区域内的网络带宽与速度,为师生提供更好的网络环境;另一方面可以进行网络改造,落实无线网络的覆盖与升级,以此降低终端设备的带宽占有率,提高网络速度,有效解决带宽拥塞的问题[2]。
在大多数高校中,校内用户可以免费访问校内资源,但是访问校外资源时需要到运营商营业厅办理上网宽带套餐。学生可以在校园内随时随地使用网络。但在这种模式下也会造成网络资源分配不合理的问题,一方面会有大量用户长时间停留在网络之上,甚至还有部分用户会利用所购买的套餐流量利用网络下载大量资源,比如P2P 等应用,造成网络堵塞,其他人员在使用网络时无法保证速度,降低了网络使用效率。另一方面,由于部分人对网络的长期霸占,还会导致校园网络资源的严重浪费,甚至影响教师教学、科研活动等重要工作。因此,高校应通过认证计费系统可以有效控制和调节上网模式,实现网络资源的合理、均衡分配,保证教学、科研、实验等重点工作项目的良好网络条件。
2.1.1 方案简介
网络用户通过一次拨号二次认证就可以完成网络访问,用户上网流程如下:当用户开通访问互联网权限后,校内上网账号与运营商的上网账号和密码已经进行一对一绑定。用户的上网终端连接至校园网,先为其分配IP与DNS地址,用户通过认证计费系统先进行第一次认证,确认其校内上网用户身份。学校认证系统将校内上网人员的身份认证信息通过与运营商连接的代拨线路发送给运营商BRAS,进而完成二次认证。
2.1.2 网络改造
以该校使用Web-BRAS 设备为例,该设备支持Web 转PPPOE 功能,可以将校内认证计费系统与运营商的认证计费系统进行无缝对接。该方案部署效率高,节省对接时间,运营商与学校的认证计费系统做好相关策略以后,短时间就可完成对接。Web-BRAS 设备分别进行两路连接,一路作为校内教师上网专线连接出口防火墙至运营商网络,一路作为学生上网专线与运营商代拨认证专线互联[3]。带宽可以根据学校的具体情况进行选择或扩容,当学校网络流量需求较高时,则需要进行带宽扩容。另外,Web-BRAS设备中应进行路由配置,保证校内用户可以访问校内的各个应用系统。
2.1.3 系统改造
在学校统一认证方案的对接模式中,还需要对学校的认证系统进行改造升级。认证系统在认证校内用户账号后,可以通过AAA 数据库进行自动查询,确定该学号是否完成了宽带账号绑定。如果已经绑定运营商宽带账号,则由认证系统自动替代用户向运营商BRAS发起认证,通过账号类型/域选择、运营商等信息核对完成PPPOE认证,完成BRAS授权。
该方案的对接难点在于两点,第一,在学校认证系统发出二次认证请求的过程中,PPPOE 认证要求其系统提供用户的各项真实信息,包括VLAN、接入端口ID等,进而完成封装;第二,在与用户断开网络连接后,校内认证系统需要再次将下线报文传递至运营商认证系统,以此实现网络的有效控制。
该方案的实现原理主要包括5 点,下面以校内上网用户为例展开具体介绍。第一,上网用户在接入网络后,自动为上网用户分配私网IP 地址与运营商的DNS地址,上网用户可以正常访问校内资源。第二,上网用户需要访问外网资源时,使用自己的账号发起PPPOE 认证,由校内BRAS 自动完成账号类型/域的匹配,确认其账号所对应的身份信息。学校BRAS 在身份认证过程中,会检测账号对应的身份信息,检查是否已经绑定运营商接入账号。如果已经完成绑定,系统会自动查询认证请求中用户信息的后缀,根据后缀可以选定其运营商,进而将请求信息转发至对应的运营商BRAS,从而进入二次认证阶段。第三,运营商BRAS收到校内用户的认证信息后,确认上网用户的身份信息是否有效,如果有效,认证成功,完成二次认证,运营商系统则会将用户认证信息等发送至校内BRAS,最终反馈到用户[4]。第四,用户在使用网络时,校内BRAS 可以根据上网账号信息将其流量连接对应的运营商,并通过运营商设备将源IP 进行NAT 转换,进而连接城域网,实现用户与互联网的有效连接。第五,用户在设置学校IP 地址后,在访问校园网内部资源时,可以通过路由设置实现BRAS 到校园网的互通,进而达到校园内网与互联网同步使用的目的。
另外,该方案的维护工作也相对较难。主要在于绑定账号信息的录入过程相对较为繁琐,当学生用户首次使用校园网开通账号时,需要相关工作人员在校内认证系统中完成绑定过程,同时运营商侧也需要相关工作人员在后台完成信息导入[5]。在新老账号的交替过程中,新账号信息一般要直接覆盖老账号,如果账号信息到期后未能及时清除,那么认证系统就会自动发起新的认证环节,由此在不断认证过程中大大提升了系统压力,也为系统数据的统计带来较大困难。
2.1.4 注意事项
在该方案的实现过程中,校园网与多家运营商进行代拨专线对接时,解析工作需要转发至运营商的DNS 系统。假设其他解析工作递归至A 运营商处,那么其他运营商对应用户得到的IP地址就会集中在A网中,流量传递时需要由互联接口进行转移,由此就会导致资源访问出现“舍近求远”的现象,更会造成其他运营商网络质量下降的问题,甚至还会增加网间结算费用。当A 运营商的用户PPPOE 代拨成功后获取IP 和DNS 要访问互联网资源时,要保证每个运营商的用户都要使用自己的DNS解析,以达到最优的上网体验,这就需要Web-BRAS 设备需要把DNS 也要做相对应的强制转换;如果学生访问校内网站域名,为了避免舍近求远,Web-BRAS设备也需要做DNS特殊处理,可以在Web-BRAS 设备设定校内域名和校内IP 对应列表,当Web-BRAS设备发现学生访问的是校内域名时直接访问校内内网IP,以达到最优访问速度。
2.2.1 方案简介
该方案与学校统一认证方案具有相似性,都采用两次认证的方式完成网络连接。区别则在于两次认证的发起方不同,该方案认证由学生用户主动发起,通过学校与运营商两套认证系统分别完成认证后,根据学生对应的用户组数据指向不同的运营商出口。
2.2.2 系统改造
需要对学校的认证系统进行改造升级。认证系统在认证校内用户账号后,可以通过AAA数据库进行自动查询,确定该学号是否完成了宽带账号绑定。如果已经绑定运营商宽带账号,则由认证系统自动替代用户向运营商认证系统发起认证,通过账号类型/域选择、运营商等信息核对完成账号认证,完成Web-BRAS授权。校园账号绑定运营商账号,本地欠费的情况下不允许访问运营商网络,只能访问内网资源[6]。
2.2.3 流程说明
第一,用户浏览器的访问被Web-BRAS 定向到WebPortal认证页面,WebPortal用户根据提示输入用户名和密码,WebPortal 收到用户输入认证信息后,同PortalGetSrv 守护进程通信,获取存放在数据库的用户信息,对用户信息验证后,进入下一步。第二,Web-Portal 同PortalAuthSrv 守护进程通信,将用户名和密码等认证信息提交给PortalAuthSrv。PortalAuthSrv 通过Portal 认证协议同Bras 通信,提交认证信息。第三,Web-BRAS通过radius协议提交用户认证信息到rad-ProxyAuth 守护程序。radProxyAuth 将用户认证请求,同时传送给本地radius 和运营商radius 服务器。本地radius和运营商radius服务器分别完成用户认证,将认证结果返回radProxyAuth。radProxyAuth收到本地和远端radius的认证结果后,判断双方如果都认证成功,将认证成功结果返回Web-BRAS,否则返回认证失败信息。第四,Web-BRAS 收到认证结果,返回给portal-AuthSrv。portalAuthSrv 收到认证结果,返回给Web-Portal,用户得到WebPortal认证结果。
2.2.4 DNS解决方案
DNS处理方式同第一种对接方式一样每个运营商都使用自己的DNS 解析,校内域名访问也同第一种方案一样。
2.2.5 注意事项
此对接难度在于学校的认证系统需要与各运营系统直接对接,由于运营商认证系统现在都集中在省公司,基于安全性考虑省公司越来越不同意此种对接方式,申请此种对接流程比较多,时间比较长,而第一种方式PPPOE代拨则可以做到零对接。
第一,网络改造。Web 转PPPOE 代拨,新的代拨线路直接接入Web-BRAS 即可。Radius 代理,新的宽带线路一般接入路由器、防火墙或者负载均衡设备,需要做下网络配置。第二,认证方式。Web 转PPPOE 代拨,和普通认证一样,弹出Portal页面认证后,输入该校账号密码,Web-BRAS 自动进行PPPOE 拨号。Radius代理,也是弹出认证页面后,输入该校账号密码,该校AAA会把radius代理数据转发到运营商AAA认证。第三,开发及维护。Web 转PPPOE 代拨,不用新开发,Web-BRAS 已有PPPOE 拨号的功能。Radius 代理,需要本校AAA 和运营商AAA 进行radius 代理配置和程序测试。第四,资源访问。Web转PPPOE代拨和Radius 代理都可以同时访问校园网和互联网。第五,学生用户上网行为管控。Web 转PPPOE 代拨,在学校BRAS 和运营商BRAS 上都有限制用户速率等功能。Radius 代理,在学BRAS 上做限制速率等功能。第六,认证故障。Web 转PPPOE 代拨,和家庭宽带拨号上网方式一样,该校AAA 和运营商AAA 之间不存在故障点。Radius 代理,认证计费信息需要本校AAA 转发给运营商AAA,通过公网传输,数据包有错误或传输失败的概率。第七,新用户信息录入。Web 转PPPOE 代拨和Radius代理都需要学校AAA录入信息。
综上所述,在当前网络时代背景下,高校应当为师生创建良好的网络环境,因此高校与运营商合作建设成为一种趋势,在校园网络建设上双方需要建立一套完善的认证计费系统,既能有效提升校园网的质量,也能提高校园网络的安全性与资源利用率,同时也能给企业带来经济效益。