刘宸

摘 要：以西安交通大学校园网为例，介绍了校园网建设概况。针对校园网网络拓扑复杂、网络设备繁多、用户数量庞大等状况，对比了802.1x、PPPoE、Web/Portal 3种常见认证方式的优缺点，阐述了网络管理认证系统的分析、设计及实现方法，最后通过模拟实际使用场景对系统进行了完整测试。通过该系统的研发，增强了校园网络安全性，提高了网络可靠性，满足了学校信息化管理和网络应用需求，探索出一套针对校园网精细化管理问题有效的解决方案。

关键词：校园网；网络管理；802.1x；Radius；认证协议

DOI：10.11907/rjdk.172901

中图分类号：TP319

文献标识码：A 文章编号：1672-7800（2018）006-0128-04

Abstract：Taking Xi′an Jiao Tong University campus network as an example， this paper firstly introduces general situation of campus network construction，secondly according to the complicated architectures， diverse devices and large number of users condition，the advantages and disadvantages of three common authentication methods of 802.1x， PPPoE and Web/Portal are compared. This paper expounds the analysis， design and implementation method of network management authentication system. Finally， the whole system is tested by simulating the actual use scenarios. With the development of the system， network security is enhanced， network reliability is improved， which meet our school information management and network applications requirements. A set of solutions which can effectively solve the problems of campus network management is explored.

Key Words：802.1x； Radius； authentication； protocol

0 引言

西安交通大学于1994年开始进行校园网建设，是国内最早接入互联网的高校之一。经过20多年的建设，截至目前，已累计完成投资5 000多万元，建立起一个规模庞大、运营良好的校园计算机网络，在国内高校处于领先水平。其中，共完成光纤铺设94km，校园联网机器超过50 000台，网络出口带宽2.5Gb。2013年，通过国家CNGI校园网IPv6技术升级子项目建设，学校校园网已全面升级为万兆主干互联、千兆链路到楼宇、百兆链路到桌面，覆盖了所有教学区域、学生宿舍，以及3个附属医院与家属区的IPv6/IPv4双栈网络。

学校同时也是中国教育科研和计算机网（CERNET）西北地区中心的依托单位，负责接入西北地區各高校校园网，西安市教育城域网也由学校网络中心负责建设与运行管理。在国家下一带互联网（CNGI）计划中，学校是CERNET2的主节点之一，并自行建设了校园IPv6科研网。

在校园网中包括2个主干网：一个为运行主干网，上联CERNET（IPv4），可满足教学、科研、管理等对网络的需求；另一个为科研主干网，上联CERNET2（IPv6），主要为各学科特定的科研需求提供支持，以满足国家对下一代互联网研究的需求。

经过10多年发展，尤其是近期CNGI-IPv6校园网升级子项目建设，校园网已发展成为一个拥有超过5万不同类型网络终端用户，以及约2 000台品牌型号各异的网络设备，支持IPv4/IPv6双栈技术，提供邮件、存储、FTP、Web等多种网络应用的庞大而复杂的园区网络。管理、运行、维护该网络急需一套与之相适应的高度自动化与智能化的用户管理系统。

国内外现有的网络用户管理系统多由设备厂商自行开发，通常面向单一品牌，品牌依赖性较强，部分系统如IBM Tivoli、HP OpenView、Cisco NetWorks虽然能够部分支持多品牌，但主要集中在网络设备自身的管理上，缺乏用户管理功能，且系统庞大复杂，部署困难。目前，业内尚没有完全符合学校网络用户管理需求的产品。

1 网络管理认证系统研究现状

目前，国内外高校主要采用网络认证方式，802.1×[1-3]、PPPoE、Web/Portal 3种常见认证方式对比如表1所示[4]。

综上述，由于802.1 x认证的突出优点是实现简单、认证效率高、安全可靠，无需多业务网管设备，既能保证IP网络的无缝相连，同时消除了网络认证计费瓶颈的单点故障。在二层网络上实现用户认证，可大大降低整个网络的建网成本。因此，目前基于802.1x的认证技术在校园网络应用非常普遍。

2 网络管理认证系统分析与设计

2.1 系统分析

为进一步适应校园网管理需要，解决现有校园网面临的各种问题，如业务种类、用户种类及设备类型繁多等，迫切需要设计实现一套融合统一用户管理、统一认证管理、统一客户端等多功能于一体的适应IPv6/IPv4双栈网络的综合一体化校园网用户管理系统。学校校园网管理现状如下：

（1）网络管理。网络设备多样化，多厂商、多型号、功能不一；用户类型有教职工、学生、家属、其他；IP地址分配分为静态分配、动态分配、静态动态混合分配。

（2）用户管理。目前校园网在网人数达3万余人，用户类型繁多。不同用户类型需要不同的网络权限，设置复杂繁琐，极易出现各种问题。

（3）安全管理。网络及出口由总体防火墙及流控设备进行管理，缺乏具体安全防护措施；用户终端需自行安装防病毒软件；应用服务器仅小部分有统一防护，大部分由系统管理员自行负责。

2.2 系统设计

该系统在设计中要考虑的一个重要因素，就是要基于已建设的校园网络，融合多厂商、多品牌网络设备，在不对校园网总体网络拓扑结构作较大改变的前提下，实现校园网用户分类以及访问权限的差异，面向不同用户提供不同的网络访问权限控制，并通过与校园网内其它应用系统对接，构成统一数字化校园网。校园网平台架构如图1所示，网络管理认证系统见其中深色部分。

2.3 系统数据库设计

系统数据库在设计上分为认证数据管理、管理数据管理与业务支持数据管理，3部分通过关联字段建立关联，协同完成系统的数据库工作。

认证数据管理包括系统用到的教职工、学生、离退休人员数据，该部分数据从数字校园统一平台公共数据库进行对接获取。除人员数据外，认证管理数据还包括用户分组数据、校园网络区域数据及其它数据。该部分数据库的部署是在一台IBM服务器上采用数据视图的方式进行对接。

管理数据包含所有认证网络设备、RADIUS[5-6]及DHCP等数据，还包含相关环境数据信息等。

业务支持数据管理指系统的业务功能数据及相应的支持数据部分，是支撑系统使用的基础部分，也是系统核心部分，主要包括认证数据、环境配置数据、业务同步数据、业务管理数据及日志数据。3部分数据管理关系[7]如图2所示。

3 系统开发实现

本系统采用Java语言开发，服务器端和应用服务器均使用Liunx操作系统，数据库为PostgreSQL。基于Sun JEE平台，采用XML、SCOKET、JDBC、JAVABEAN等技术开发架构[8]。

开发客户机使用Windows 7操作系统、IE7.0以上浏览器，开发采用的Java环境是JDK1.4.2，开发工具为myEclipse6.5、PLSQL7.0。

系统认证客户端运行于用户计算机，占用资源少且平均。由于存在很多功能模块以及在后台运行的众多分析、采集功能，不可避免会占用用户系统资源，因此要求能够依据用户对系统使用状况动态调整资源分配，尽可能地将数据采集、上报等功能在用户资源空闲时调用；客户端界面效果美观，有丰富的皮肤可供选择；功能按钮布局合理，名称规范通俗易懂，用户较易上手操作。

客户端具有上网记录统计功能，可方便用户查询上网日志。客户端还拥有浮动消息功能，可由系统管理员自定义消息内容，配置发布时间。消息的主要数据属性有：标题、内容、发布时间段、区域。客户端还具有网络诊断功能，在网络不通时，可进行一键诊断，方便用户排除故障。客户端认证与网络诊断界面如图3、图4所示。

4 系统测试

对认证客户端稳定性的测试也是对系统长期稳定运行能力的测试。在系统运行过程中，对系统施压，观察系统各种性能指标[9]。由于客户端软件运行在单机环境下，所以不存在并发用户数概念，取而代之的是一些多进程、长时间的操作，以及各种复杂的并发场景组合。一款客户端软件的稳定性测试需求包括：①长时间运行及各种操作下，软件的可靠性以及各种性能指标的劣化趋势；②多进程或多线程运行时的稳定性；③不同操作系统在不同宿主软件下运行的稳定性。

4.1 场景设计及实现

测试场景一般为模拟平常的压力与实际中用户的日常操作。本次客户端产品的稳定性测试场景设计如图5所示。

4.2 稳定性测试

稳定性测试不同于功能测试的自动化，它属于一种概率性测试，需要长期运行后才能得出最后的测试结论。即使稳定性测试通过，也不能保证系统实际运行时不出问题。所以要尽可能地提高测试可靠性，可以通过增加测试次数、延长测试时间、增大测试压力的方法提高测试可靠性。

当存在多组稳定性场景时，为了保证运行的及时性与可靠性，以及满足测试环境的多样性，稳定性测试执行需要采用多台机器。如果条件允许，可以使用不同環境及配置的物理机进行测试，也可以使用虚拟机，以更好地满足稳定性测试需求。

当存在多个运行环境和多组case时，为了保证测试场景组合的多样性，各组case要阶段性地在每个运行环境中循环执行，因此需要一个清晰、明确的执行计划和记录。客户端稳定性测试环境如表2所示。

4.3 测试结果

通过长时间多次对不同环境测试场景的测试，客户端均没有出现崩溃、假死等现象，并且客户端对计算资源占用率小，性能指标劣化趋势不明显。所以综合测试结果表明，客户端子系统可满足对设计的稳定性要求。

5 结语

本文在充分分析校园网发展现状之后，提出基于802.1x协议的统一网络管理认证系统。该系统是为了解决校园网面临的各种问题而设计实现的一套融合统一用户管理、统一认证管理、统一客户端等多功能于一体的校园网用户管理系统。网络管理认证系统投入使用后，截至目前，系统运行状态稳定，效果良好，达到了预期效果。目前在校园学生区多个宿舍楼宇使用，最高同时在线人数达到4 000余人。该系统对学校学生区网络的管理和维护，起到了不可替代的作用。

参考文献：

[1] IEEE802[EB/OL].http：//en.wikipedia.org/wiki/IEEE_802.

[2] IEEE802.1X[EB/OL].http：//en.wikipedia.org/wiki/IEEE_802.1X.

[3] H3C.802.1x技术介绍[EB/OL].http：//www.h3c.com.cn.

[4] PPPOE、Web+Portal、802.1x常见三种认证方式对比[EB/OL].http：//h3cxbj502.blog.51cto.com/821994/388910.

[5] 李春科，李伟华.MD5加密算法及其在RADIUS协议中的应用[J].微电子学与计算机， 2004，21（2）：21-24.

[6] 杨建军，贾晨军，冉立新.基于RADIUS协议的网络认证技术研究[J].浙江大学学报，2005，39（2）：234-237.

[7] 贾向炜.基于流程再造的协同校务系统的设计和实现[D].西安：西安交通大学，2012.

[8] 周贤伟，刘宁，覃伯平.IEEE802.1x协议的认证机制及其改进[J].计算机应用，2006，26（12）：2894-2896.

[9] 客户端稳定性测试[EB/OL].http：∥www.51testing.com/html/45/n-813445.html.

（责任编辑：黄 健）