基于Portal认证的电信宽带接入在校园网中的应用
2011-10-20秦文胜辛继胜
秦文胜,辛继胜
(广东轻工职业技术学院,广东 广州 510300)
基于Portal认证的电信宽带接入在校园网中的应用
秦文胜,辛继胜
(广东轻工职业技术学院,广东 广州 510300)
根据校园网运营的现状分析,本文提出了校园网用户采用Portal认证的电信宽带接入Internet的方案,并介绍了该方案的系统架构和特点,以及方案的实施步骤。经过运营实践证明该方案安全、稳定,低投资高回报,保证了校园网的可持续运营,实现了“以网养网”的目的。
Portal认证;宽带接入;校园网
一、引言
随着互联网应用和信息资源不断地丰富,校园网用户对接入Internet的网络带宽的需求越来越大,同时校园网用户不断地增多,校园网互联网出口带宽需要不断地扩容,致使校园网出口带宽费用越来越高,运营压力越来越大。本文提出了校园网用户采用Portal认证的电信宽带接入Internet,校园网保持自治,电信提供互联网带宽、认证计费和流量控制的技术方案,与学校共同运营,为学校师生提供Internet接入服务。校园网自治可以保持校园网的传统三层结构,有利于学校进一步建设和普及校园网的应用,有利于师生网络之间的互联互通和资源共享。电信运营商的优势在于他们的互联网出口带宽资源丰富,认证计费平台和网络服务质量的保证都已非常成熟和稳定,能够为师生提供专业的宽带接入服务。两者结合可以使学校的网络和信息部门从为师生提供Internet接入服务的工作中解放出来,专注于学校的信息化建设和网络技术的研究,另外,也可以为学校节省网络出口带宽、认证计费平台、网络出口设备和专业流量控制设备的投资。
二、基于Portal认证的校园宽带接入方案
1.系统架构
(1)物理连接
为实现基于Portal认证的校园宽带接入网络,电信将在校方网络中心机房新建综合接入网关设备及信息安全和宽带共享监控设备。综合接入网关通过宽带城域网专线接入互联网,学校的核心交换机通过千兆链路与信息安全和宽带共享监控设备相连接,再通过千兆链路与综合接入网关相连。综合接入网关设备连接了校园网与电信的宽带城域网,主要完成校园网内部IP地址到电信的公网IP地址的地址转换,Portal认证页面推送,以及防火墙等功能。信息安全和宽带共享监控设备主要是完成用户行为审计和记录、共享上网检测等功能。学校的核心交换机主要完成策略路由功能。拓扑结构如图1所示。
(2)用户认证流程
如图2,用户在IE上输入页面,由位于电信局端BAS检测此IP是否已经通过认证,如果没有通过认证,则重定向到Portal服务器发起访问请求。请求通过平台防火墙至负载均衡设备后,通过负载均衡设备发送至某一台正常工作的Portal服务器,Portal服务器返回认证界面,IE打开此界面时会检测到超链接,此时会发起HTTP请求下载,Portal服务器接到请求后,向用户返回指定的页面。用户输入账号密码后,点认证,IE把HTTP POST请求发给负载均衡设备,负载均衡设备收到请求后分发到其中一台工作的Portal Server,Portal Server收到帐号密码后进行预认证,此时会查询一次数据库,根据查询结果判断帐号是否已经绑定,如果未绑定则进入绑定流程,如果已绑定则向BAS发起认证,此认证过程为Portal协议,BAS收到UDP报文后,把相关信息如帐号、密码、用户IP、NAS IP等通过Radius协议发送给负载均衡设备,负载均衡设备收到Radius报文后,分发到正常工作的Radius服务器,Radius Server收到认证请求后对帐号进行认证,此时会查询一次用户表数据,如果认证成功则还需要查询一次在线表,判断用户是否已经在线,未在线则写入一次在线表记录,并返回认证结果;如果帐号是不可用的,则不会查询在线表,直接返回认证失败结果给BAS;BAS收到认证结果后返回认证结果给Portal Server,Portal Server收到认证结果后,根据认证结果返回不同的提示信息给用户,并且转到认证成功界面,完成整个认证过程。
2.方案特点
该宽带接入方案并不改变校园网内部网络拓扑结构,简单易行。电信提供管理平台,学校管理员可以对帐号进行关停、复通处理。提供对上网帐号的查询、控制功能。提供对各种应用系统的分权管理。能进行共享上网检测、系统报表功能。能对采用HUB无线AP等共享设备和采用代理方式进行共享上网的普通用户等进行判断和限制、干扰。能对网站访问、邮件收发、P2P下载、论坛、在线视频等事件进行全面有效管理。能进行上网时段管理。
三、基于Portal认证的校园宽带接入实施步骤
1.开通综合接入网关到中国电信局端的链路
由电信负责铺设电信端至学校端的光纤线路。根据用户数量决定提供几条链路。考虑到网络的可靠性,一般至少需要2条链路。
2.安装综合接入网关与信息安全和宽带共享监控设备
由电信负责采购安装综合接入网关、信息安全和宽带共享监控设备。新建的综合接入网关作为宽带接入网络出口设备,在综合接入网关与学校核心交换机之间安装信息安全和宽带共享监控设备,并调通设备之间的链路。测试出口的光纤链路,确保新装的光纤链路可用。调试综合接入网关,并做Protal页面推送测试、认证测试、限速测试。
3.策略路由的设计与配置
策略路由的设计与配置工作主要由学校完成。划分数据源(即区分学生、教师、办公、教学和其他数据源),设计策略路由,内网IP管理策略规划,并在学校的核心交换机上配置指令。
4.网络测试
综合接入网关及信息安全和宽带共享监控设备与几台PC搭建的临时网络连接测试,主要测试网络的连通性及相应功能。综合接入网关及信息安全和宽带共享监控设备与某一栋或几栋楼的汇聚交换机相连进行测试,主要测试网络带宽及多用户使用时的性能情况。视测试结果,修正和完善配置指令。
5.网络割接
修改核心交换机的策略路由,并进行割接测试。在改造过程中使用监控软件对校园网进行实时监控,测试服务器的连通性,以便发现问题并解决问题,减少网络中断的时间。
6.网络试运行
在网络试运行期间,中国电信将安排工程师跟踪网络使用情况,针对期间出现的问题提出解决方案并及时修正,保证网络可用率。
四、结束语
基于Portal认证的电信宽带接入方式,已经在多所高校中得到良好的应用,并被越来越多高校选择。实践证明:该方案安全、稳定并满足学校的管理要求,并且此方案低投资高回报,保证了校园网的可持续运营,实现了“以网养网”的目的。
[1]郑民,张伟胜,杨广辉.校园网用户采用L2TP接入Internet[J].中国教育信息化,2009(13):14.
[2]黄国贤,李斌奇,王以勒.VPN实现“走出去”与“引进来”[J].中国教育网络,2008(9):14.
[3]郭世满,码蕴颖,郫苏宁.宽带接入技术及应用[M].北京:北京邮电大学出版社,2006.
TP393.18
B
1673-8454(2011)21-0079-02
(编辑:金冉)