文/沈宏

受限于高成本带宽及校园用户不断增长的刚性需求，高校校园网络的压力与日俱增。为减轻带宽压力、降低建设成本和提供更好质量的带宽，很多高校都在宿舍区引入运营商运营。本文从校园网建设实践出发，提出一种基于BAS设备的802.1X二次认证用户接入技术方案，在可管理性和安全性上提高了网络运维质量，为校园网络运维提供了一种新的技术模式。

BAS设备的全称是宽带接入服务器（Broadband Access Server），是面向宽带网络应用的新型接入网关，一般位于骨干网的边缘层，可以完成用户带宽的IP/ATM网的数据接入。以BAS设备做为用户接入网关可以有效减少网络管理成本，实现灵活的分组用户管理策略，实现灵活的策略路由和用户级安全策略。

而802.1X协议是典型的基于C/S架构的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1X只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802.1X协议还可以根据用户完成认证和离线间的时间进行时长计费。

相对PPPoE协议来说，802.1X协议需要使用特定厂商客户端软件，可以有效解决客户端防共享的问题，相对于在校园有限的地理环境内花费一定的成本进行客户端分发和维护工作还是较容易接受。在这种运营模式中，学校提供网络设备、综合布线系统等基础网络设施，运营商提供带宽和账号，通过BAS设备设置不同认证域为用户提供教科网和运营商等不同上层链路出口，实现学生流量分流，由学校统一进行网络运维，学生可以根据自己对网络的需求有多种选择，学校和运营商能够保持“相对平等”的关系，不致被某个运营商一家独大，可以进行“多运营商平等竞争运营”模式的尝试，从而给校园用户提供更优质的网络服务。因此，采用基于BAS设备的校园网802.1X二次认证用户接入技术能够解决以上问题。

我们在具体实施过程中主要进行了以下几个方面的策略选择。

1.技术方案选择

应坚持网络扁平化、用户端操作不变的原则，当校园网络用户使用运营商账号上网认证时， BAS设备在收到客户端认证请求时会首先将用户信息（用户名、密码、MAC地址）送到学校自有Radius认证系统进行预认证，预认证通过后再将用户信息（用户名、密码）送到运营商Radius认证系统进行认证，两次认证成功后由BAS设备分配IP地址、掩码、安全策略等接入互联网，其中学校Radius认证系统除了进行用户名、密码认证外，还增加绑定MAC地址的认证，解决可管理性和安全性的问题。

2.网络结构设计和域设置

在实践中，为提高宿舍校园网运行的可靠性，我们按每位学生单独端口单独VLAN的标准对宿舍网络进行“扁平化大二层”改造，增配网络布线系统，采用QinQ方式在楼宇汇聚交换机分配内、外层Tag VLAN，对用户实现端口隔离，在BAS设备开设三个功能域，一是电信运营商域，域内配置“认证”和“预认证”参数，分配运营商IP地址，通过二次认证向用户提供运营商接入服务；二是教科网域，承载原教科网用户，使用教科网IP地址和策略路由；三是caijing域，认证方式同cnc域，但用户地址使用教科网地址和策略路由走教科网链路，用途是供运营商用户访问校外免费数据库网络资源。BAS设备以万兆链路接入运营商城域网，默认路由指向运营商，同时运营商链路用户使用静态路由访问Web、Email、教学信息、数据库等学校网络信息资源。为方便网络管理，划分业务流量和网管流量，我们使用单独网管链路连接宿舍网络核心设备和校园网核心交换机。

3.网络切换相关准备

为实现网络平稳切换，需要和运营商进行管理上的沟通和协调，由于运营商链路账号为半年预付费卡，理论上学生每半年就会换一张卡，为避免校方和运营商账号信息不同步问题，运营商取消用户自助修改密码功能，统一由学校处理账号及MAC地址绑定问题，学校统一将账号导入学校自有Radius认证系统，并在卡销售时记录用户信息及联系方式，学校自有Radius认证平台具备账号MAC地址自动学习功能，可以自动绑定用户第一次认证成功时的MAC地址，减少了用户MAC地址登记的难度，利用原有网络用户自助系统处理MAC地址变更问题。

基于BAS设备的802.1X二次接入认证技术方案实施后，校园用户接入方式不变，可以有多种不同层次的网络服务供选择；运营商通过监控BAS设备和账号即可掌握运维情况；学校网管人员能够在学校自有认证系统中实时检索用户登录错误日志、历史登录日志等运维信息，对网络故障定位和解决用户问题提供强有力的帮助。由于账号绑定MAC地址，账号安全性和可管理性大幅提高，用户体验和后续运维管理反映良好。