摘要：本文对宽带IP网建设与发展过程中产生的多种认证与计费的前沿技术进行分析、比较和研究，提出了基于802.1x等协议对宽带校园网认证、授权、计费管理系统的解决方案，全面解决了上网用户身份认证、流量计费、收费、接入管理等校园网应用中面临的核心问题。

关键词：校园网；认证；计费

1 绪论

学校为了加快信息化建设的步伐，给全体教师学生创造一个一流的上网环境，使全体师生能方便自如地上网学习、交流信息、查询资料，保证网络运营有效畅通，学校要求把校园网建设成一个安全可靠、可运营、可管理的网络。本文主要研究内容是网络安全技术的重要组成部分的认证计费技术，访问控制技术最新热点技术IEEE802.lx在校园网中的应用和实现。利用互联网技术，在已有的校园网络架构的基本上，实现对全校教学、办公、生活区的所有接入到校园网的师生提供认证、计费和授权的服务。

2 需求分析

经过这几年网络基础设施的建设和完善，校园网作为服务于全校教育、科研和行政管理的计算机信息网络，实现了计算机互联、信息资源的共享，并通过CERNET与Internet互联。在满足学校教职员工、学生连入互联网进行正常的教学、科研任务的同时，也逐步面临一个新的问题，那就是如何规范、有效地对网络进行管理，保证校园网正常稳定地运行。并且随着接入校园网用户的日渐增多，和基于宽带的应用的逐渐增加，如视频点播、视频会议等，因此，如何合理计费的问题已经逐渐凸显出来。

3 认证系统的总体设计

3.1 系统功能设计

认证系统必须实现以下功能，才能算是一个比较完整的认证系统：

（l） 用户接入控制功能：打开IEEE802.lx认证功能后，缺省情况下，所有用户都处在未认证状态。此时，用户对网络进行访问的所有信息都将被交换机禁止，当然不包括认证过程需要的报文。交换机将为认证需要的报文维护一个专门的通道，保证所有用户都可以进行正常的认证过程。用户认证通过后，交换机才允许该用户访问网络的所有信息通过。

（2） 重认证功能：在设定的重认证时间后自动向用户 （IEEE802.lx客户端软件）发出重认证请求，以再次验证用户身份的合法性。

（3） 认证计费服务器参数设置灵活：交换机可以设置认证服务器IP地址、认证UDP端口、计费服务器护地址、备份计费服务器IP地址、计费UDP端口、认证服务器与认证者（交换机）的验证字。特点是设置灵活方便，同时可靠性高。认证服务器通常使用Radius服务器。

3.2系统总体设计

本系统的网络结构图如图3-1所示：

（1）校园网拓扑图

在图3-2中，核心交换机为cisco7613、cisco6509系列交换机。汇聚层设备为cisco4506、 cisco3750等三层以太网交换机。接入层设备为cisco2950系列以太网交换机。数据中心有AAA服务器、DHCP服务器、WWW服务器，在校园网接入中，cisco2950以太网交换机放在小区的弱电机房内，向上通过光纤连接到小区汇聚层设备cisco4506交换机，再通过光纤接入到网络中心核心设备（如cisco7613等）。

（2）客户端用户认证过程

Cisco2950系列以太网都提供802.1x特性，可以对用户进行802.1x认证。计算机上网必须先进行认证：在本计算机上启动802.1x终端软件，输入用户名和密码；可以通过Radius服务器进行远端认证。一般情况下交换机和Radius认证服务器之间传输的是标准的Radius报文，下面介绍在这种情况下802.1x认证的数据交互过程。

（3） DHCP自动分配IP地址

用户计算机开机后会通过DHCP报文申请IP地址。接入层交换机、汇聚层交换机会将此请求报文转发给DHCP服务器。DHCP服务器通过应答报文给用户PC分配IP地址。有了IP地址后，用户就可以上網了。

（4）数据存储与备份

本系统目前设计支持Red Hat Enterprise Linux AS： release 3平台，数据库采用MS SQL Server2000。认证计费的数据量非常庞大，而且需要长期保存，因此数据应该存储在诸如存储阵列等大容量存储设备中，并有容错和备份功能。计费数据对运营中心来说至关重要，因此必须保证数据存储的安全性和可靠性，并能做到备份与恢复。主要手段有：

（1） 磁盘阵列启用RAID5，实现冗余；

（2） 数据库两台机器进行热备份，主备数据库服务器同时运行，共享同一个磁盘阵列，当一台服务器崩溃时，另一台数据库可以在很短的时间内的时间内接管系统，不中断服务。

（3） 定期用光盘、磁带机备份数据，可以每天备份一次，当系统中的数据丢失后，可以恢复前一天数据。

4 认证计费系统的实现

本系统主要模块涵盖了数据业务的业务受理、用户认证、业务计费、资源管理等领域，是一套完整的数据业务运营支撑系统。

用户自助服务系统：系统提供一个面向用户开放的WEB站点，为每个数据业务用户提供基本的计费及账单数据查询服务，使得用户清楚自己的上网时间、流量及账单数据，还可以在线修改自己的登录口令。

5 系统测试

测试的目的是为了发现设计和编程过程中的错误，检验系统是否能满足设计时的要求。因此，测试在整个开发过程中处于相当重要的地位。本系统测试分为系统功能测试和安全测试两个阶段。主要采用测试方法有白盒测试和黑盒测试。测试内容主要有：假冒用户身份、共享MAC上网、利用代理软件上网、利用路由器共享上网。系统测试阶段的焦点集中在整个802.1x认证系统的功能和性能上是否能满足设计目标。安全测试阶段主要进行基于对非法用户的接入进行测试。

6. 结束语

校园网的认证计费问题是校园网建设的一个重要的组成部分，为了满足高校管理方便、计费准确、建网成本低的突出要求，通过对各种认证计费技术的比较，提出了基于802.1x的计费管理模式。解决了校园网用户身份认证、授权，流量、时间计费，接入管理等宽带IP网应用过程中面临的核心问题。本系统经过测试和试用，效果良好。系统运行正常、稳定，认证速度快，计费准确，达到了预期的目的。

参考文献

[1] 邢京武，何涛. CCNA学习指南-cisco certified network associate （exam 640-801）（中文版） 北京：人民邮电出版社，2014：50-54

[2] 韩江，黄海.思科网络技术学院教程 人民邮电出版社2017

[3] Simpson W Editor. The Point-to-Point Protoeol （PPP）.STD51， RFC 1661， July， 2014

[4] 郭放. 校园网以太宽带接入方案研究. 微型电脑应用. 2017

[5] 肖志新，杨岳湘等. 基于802.lx的宽带认证技术在校园网中的应用仁 计算机系统应用 2004

作者简介：陈首忠（1980- ），男，广东湛江，本科，研究方向：信息技能、网络安全。

（作者单位：广州南洋理工职业学院）