校园网多区域用户接入认证技术的研究

2016-11-30沈达峰

淮阴工学院学报 2016年5期

关键词：校园网以太网交换机

沈达峰

(淮阴工学院信息化建设与管理中心，江苏淮安 223003)

校园网多区域用户接入认证技术的研究

沈达峰

(淮阴工学院信息化建设与管理中心，江苏淮安 223003)

高校校园网除了教学办公和学生宿舍两大区域外，还有涉及各种人群、各种不同网络需求的一些区域。为了解决这些区域因其人员结构复杂、计算机网络水平参差不齐带来的网络管理问题，本文以某校园网实际应用为例，通过对常用的接入认证方式的比较，就如何为这些区域用户提供较好的网络体验与管理，给出了合理有效的网络接入与管理解决方案。

接入认证；802.1x；PPPoE；QinQ

0 引言

伴随互联网的高速发展，网络应用越来越多，范围越来越广，从早期的浏览、聊天及游戏，到目前的网上支付、理财、网上银行与旅游预订等，不胜枚举。而这些应用的主体是人，是使用各种终端借助于网络满足各种不同目的与不同需求的形形色色的网络用户。由于中国高等教育发展的特殊历程，很多高校存在一些相似的状况：多校区；学校发展需引进人才，在校园内建有人才公寓；校园行业服务对社会的开放程度越来越高，形形色色的服务机构进驻学校，等等。一般为保证校园环境井然有序，校园网会根据需求覆盖这些区域或场所。因此，校园网从地域上可分为教学办公网络、学生宿舍网络、其他区域网络。本文主要就其他区域网络的特点，对其接入方式进行讨论。这些区域的情况比较特殊，其用户不像教学办公区域和学生宿舍，是文化层次较高的教师和学生，而是些遍布社会各种人群、计算机网络应用能力参差不齐的各色人等。如何使他们有好的网络体验、减轻网络管理人员低技术含量的维护工作是校园网管理部门不得不面对的问题。

其他区域网络作为校园网的一个特殊组成部分，对其接入的终端进行身份确认，是校园网管理不可或缺的环节。合理的接入认证方案可以很大程度地改善用户使用网络的体验。

1 几种常用接入认证方式

1.1 802.1x认证方式

802.1x是一种基于端口的访问控制协议，客户机/服务器模式，只允许通过授权的终端通过接入设备相应端口访问网络。802.1x体系包括三个部分：客户端系统；认证系统；认证服务器，一般为Radius服务器，用来对用户进行认证、授权、计费。

802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过端口，通过认证后，数据可以顺利地通过以太网端口[1]。

1.1.1 802.1x认证方式的优点

该方式优点：802.1x认证采用接入设备加后台的全交换模式，易组建高速网络；802.1x认证是一种分布式系统，效率高；在二层网络上对用户进行认证，安全性高。

1.1.2 802.1x认证方式的缺点

该方式缺点：各厂商都对客户端进行了定制，以实现不同的功能需求，致客户端兼容性差；客户端在安全方面担任的角色极其重要，容易和流行安全软件冲突，导致认证困难；客户端必须通过其他渠道下发；802.1x认证系统不具备用户带宽控制功能；容易因IP地址冲突及ARP病毒等因素导致认证成功但无法上网的现象；须部署支持802.1x协议的接入设备，投入高；

家用无线路由器可选型号极少，新款家用路由器几乎没有支持802.1x协议的。

1.2 Web/Portal

Web认证起源于网络业务的认证，例如：网上银行、基于Web的电子邮件等。后来被网络设备提供商在网络设备上进行实现，用于验证网络用户是否具有使用网络的权限[2]。

1.2.1 Web/Portal认证方式的优点

该方式优点：无需客户端，任何一款浏览器都可以用来进行认证，极其方便；可以定制推送的信息，个性化服务用户。

1.2.2 Web/Portal认证方式的缺点

该方式缺点：认证服务器对所有联网设备都是可达的，不安全；易用性差，不论什么终端什么应用，都必须先打开浏览器进行认证；用户在线情况不容易检测，难以精确计时；容易因IP地址冲突及ARP病毒等因素导致无法认证的现象；家用无线路由器体验差，须在终端上使用浏览器登录。

1.3 PPPoE认证方式

PPPoE(Point-to-Point Protocol over Ethernet)是基于以太网的点对点协议，是将点对点协议封装在以太网框架中的一种网络隧道协议。通过PPPoE协议，可以实现基于用户的接入认证、计费、带宽控制等管理手段，是目前应用最为普遍的家庭用户接入模式。PPPoE认证系统由客户端和宽带接入服务器(BRAS)组成，会话过程经历发现阶段和会话阶段。发现阶段用户主机以广播方式寻找所连接的所有BRAS获取PPPoE终端的以太网MAC地址，然后选择需要连接的BRAS，并建立唯一的会话识别标号PPPoE SESSION_ID?成功完成发现后，客户端与BRAS都在以太网上建立PPP连接，根据发现阶段所协商的PPP会话连接参数进行PPP会话。一旦会话开始PPP数据就可以任何PPP封装形式发送,且所有数据包都要通过BRAS进行PPPoE封装或解封装。[1]

1.3.1 PPPoE认证方式的优点

该方式优点：安全性高，PPPoE会话中，对每个进程应用CHAP(Challenge-Handshake Authentication Protocol，挑战握手验证协议)，或PAP(Password Authentication Protocol，密码验证协议)，用户上网更安全；方便管理，PPPoE能为用户提供动态IP地址，网络维护简单；方便用户，PPPoE协议拨号方式的客户端配置非常简单,而且用户各种操作系统都支持，无需安装特殊的软件；家用路由器选择范围广，市场上的家用路由器基本都支持PPPoE上网方式。

1.3.2 PPPoE认证方式的缺点

该方式缺点：认证过程中，系统要将数据包拆解才能鉴定用户的合法性，在用户量大及认证集中时，易形成网络瓶颈；用户数据包的拆包识别和封装转发由BRAS进行，系统对BRAS的要求高，易形成单点故障，降低网络性能；对组播及广播的支持差，相关业务难以开展。

2 场景

目前，很多高校都存在多个校区，校区数量、间距不尽相同，网络拓扑也各不相同。校区位于同一个城市的学校一般采取将核心网络及出口部署在主校区、租用运营商裸纤连接主分校区网络，如图1所示的拓扑方案。

图1 多校区多区域网络基本拓扑

如图1所示，各个校区都有可能存在教学办公区、学生宿舍区及其他区域。基于校园网的优势：与教育科研网、中国电信、中国联通等主干网都有接口互通，网络访问更快捷；学校购买了各种数据库资源，方便文献检索等，对用户有相当的吸引力。但其他区域用户成员繁杂，需求繁多：有离退休人员炒股的，有为孩子学习检索资料的，不一而足。但用户对计算机网络技能的掌握非常有限，即使文化层次较高的，计算机网络应用能力也是参差不齐。10多年管理校园网的经历，以及对几种接入方式的体验和分析，笔者个人认为，从考虑提升用户上网体验、减轻网管员工作负担方面考虑，其他区域网络适宜使用PPPoE接入认证方案。

3 PPPoE接入认证系统部署方案

为减少用户间的相互影响，目前流行的方案是细化网络，每个用户单独使用一个VLAN，虽然削弱了以太网的共享功能，但对其他区域用户来说，共享功能使用的场合还是极其少见的，不影响用户的主要体验。

3.1 主校区

以图1所示场景为例，将PPPoE接入认证系统部署在主校区[3-5]，PPPoE认证网关位于汇聚交换机与核心交换机之间，接口情况见图2。

图2 PPPoE认证系统拓扑

总体思路：每个用户独自占用一个VLAN，避免相互影响。

4 结语

通过精细化网络配置管理，结合PPPoE认证方式的优点，实践证明，其极大改善了用户上网体验：不必用U盘等介质拷贝客户端程序回来安装；不必像802.1x认证方式那样为了使手机与PAD能移动设备上网，到处去寻找购买支持相应协议的路由器；网络登录时间小于0.1秒、使用顺畅、无不明原因掉线等。笔者认为，PPPoE是其他区域网络接入认证的必然趋势。

[1] 汤小康.多校区校园网接入认证技术分析[J].软件导刊,2014(5):138-139.

[2] 李志伟.常见宽带接入认证方式及比较[J].中国传媒科技,2015(6):74-75.

[3] 刘志雄.校园网PPPoE接入认证系统的研究与实现[J].信息安全与技术,2013(8):36-40+58.

[4] 杜喆,朱俊,沈成彬,等.PPPoE+技术在宽带接入网中的应用研究[J].电信科学,2014(8):154-158.

[5] 申健,朱婧.校园网认证技术的应用和发展[J].物联网技术,2015(5):62-64.

[6] 郑瑞平.基于 QinQ + Portal 认证技术在校园无线网中的应用[J].中国医学教育技术,2014(8):409-412.

[7] 王晓峰.利用QinQ技术实现宽带用户精确绑定[J].电信技术,2015(6):75-79.

[8] 王志刚,孟罡,向飞. 基于802.1x校园网接入认证的安全性分析与防御[J].计算机安全,2014(6): 51-53.

(责任编辑：孙文彬)

Research on the Access Authentication Technology for Multi-zone Users in Campus Network

SHEN Da-feng

(Information Construction and Management Center, Huaiyin Institute of Technology, Huai'an Jiangsu 223003, China)

Campus network includes all other kinds of people and different network demands besides teaching area, office area and student residence. In order to solve the network management problems associated with the complex personnel structure and the different computer network levels in the area, taking a practical application of the campus network, for example, by comparison with the conventional access authentication methods on how to provide better network experience and management for users in these area, effective network access and management solutions are given.

access authentication; 802.1x; PPPOE; QinQ

2016-06-20

沈达峰(1964-)，男，江苏沭阳人，工程师，主要从事网络管理与维护研究。

TP393

1009-7961(2016)05-0010-05