文/陳小亮

在當前校園環(huán)境中，缺乏對用戶行為的掌控，導致欺騙、病毒、仿冒等多種非法行為，進而影響網(wǎng)絡(luò)的運營秩序，同時，多操作系統(tǒng)、多種復雜應用業(yè)務(wù)以及復雜的網(wǎng)絡(luò)設(shè)備交織在一起，使網(wǎng)絡(luò)的控制策略很難統(tǒng)一，此時如何在一個管理平臺上將上述問題進行統(tǒng)一的無差異化管理就擺在了我們面前。

用戶安全運營管理需求

認證

安全運營管理的關(guān)鍵在于用戶認證，從認證點分為準入和準出認證，準入認證指的是通過采用802.1X、Portal等網(wǎng)絡(luò)認證手段控制用戶接入網(wǎng)絡(luò)，針對不同的用戶組設(shè)置不同的內(nèi)網(wǎng)訪問權(quán)限，結(jié)合安全、審計等功能對用戶訪問網(wǎng)絡(luò)的行為進行權(quán)限控制、安全檢查等；準出認證是在網(wǎng)絡(luò)出口作為控制點進行認證，對用戶的外網(wǎng)訪問權(quán)限進行控制。因為校園網(wǎng)內(nèi)網(wǎng)帶寬資源充足，一般都為千兆甚至萬兆骨干網(wǎng)，所以不需要做精細化的流量計費，而校園網(wǎng)出口帶寬有限，很難無限制提供給用戶使用，所以網(wǎng)絡(luò)出口常常結(jié)合流量計費、帶寬控制以便讓用戶更合理的使用網(wǎng)絡(luò)。

從部署位置來看，準入認證又有核心層集中部署與接入層分布部署的區(qū)別。安全

認證只是解決了網(wǎng)絡(luò)運營中的準入準出的身份及權(quán)限控制問題，如何保障用戶在一個可靠、可信的網(wǎng)絡(luò)上進行學習、開展業(yè)務(wù)是網(wǎng)絡(luò)運營管理的關(guān)鍵。

運營

隨著高校學生數(shù)量的不斷增多，手機、PAD、電腦終端使用網(wǎng)絡(luò)需求的增加和網(wǎng)絡(luò)多媒體業(yè)務(wù)以及高消耗帶寬應用的發(fā)展，導致網(wǎng)絡(luò)出口壓力的不斷增大。盡管使用了流控設(shè)備，但治標不治本，還是不能夠從根本上解決帶寬濫用的現(xiàn)象?；诹髁坑嬞M的運營策略可以大大地緩解這個問題，真正做到以網(wǎng)養(yǎng)網(wǎng)。成本

管理運營離不開成本問題。而這里的成本又包含了兩個方面，一個是管理成本，包括網(wǎng)絡(luò)配置工作量、故障排查恢復時間、用戶易用性、習慣延續(xù)性等方面。另一部分是擴容成本，主要包括認證系統(tǒng)擴容采購成本、其他設(shè)備擴容采購成本以及是否由于私有協(xié)議而額外支出的采購成本。如何合理根據(jù)學校的情況選擇合適的方案減少成本的支出是管理員必須要考慮的一個問題。

用戶認證管理技術(shù)對比

常見的校園網(wǎng)認證技術(shù)從認證位置和功能來看，主要分為準入認證和準出認證；從實現(xiàn)技術(shù)方面主要分為802.1X、Portal、IPoE（PPPoE技術(shù)由于組播特性支持較差，不適合校園網(wǎng)應用環(huán)境，故本文不做詳述）；從認證點和使用技術(shù)可分為集中式認證和分布式認證。下文主要從分布式、集中式認證這個劃分緯度來做對比分析。

圖1 認證方式分類及功能區(qū)別

圖2 集中式、分布式認證點在網(wǎng)絡(luò)中的分布

分布式認證

分布式部署是目前主流的部署方式，認證點分布在接入或者匯聚交換機上，多采用802.1X或者Web認證技術(shù)，發(fā)生故障僅對單臺設(shè)備下用戶帶來影響，范圍很小，而且認證點的分布也減輕了單一設(shè)備集中認證帶來的性能壓力。

802.1 X和Web認證技術(shù)在校園網(wǎng)的優(yōu)勢主要體現(xiàn)在安全性、業(yè)務(wù)支撐能力、可靠性、認證效率和校園流量模型匹配上面。但是在管理成本和擴容成本上有所欠缺，這主要體現(xiàn)在接入層設(shè)備眾多，策略復雜導致配置工作量較大；而安全功能、可靠性在接入（匯聚）交換機上實現(xiàn)，較普通功能簡單的交換機在擴容帶來一定成本。

集中式認證

集中式認證主流技術(shù)為 Portal、IPOE、PPPoE。其中,后兩種技術(shù)在路由器作為BRAS設(shè)備時候使用，多用于運營商小區(qū)寬帶，Portal方式則是在交換機上實現(xiàn)。

首先我們從業(yè)務(wù)流量模型上分析集中式認證。目前運營商廣泛采用集中式認證，而校園里由于用戶的特定業(yè)務(wù)、使用方式、習慣等原因，存在著大量橫向通信的流量，如用戶間文件共享，宿舍間聯(lián)機對戰(zhàn)，教研室間特定軟件訪問。圖4是一張流量模型對比圖。

圖中可以看出，在校園橫向流量模型下進行分布式認證部署將更為匹配，而集中式認證在校園網(wǎng)這種橫向流量模型的條件下，所有的數(shù)據(jù)流都要經(jīng)過核心設(shè)備再繞回接入層，流量的迂回在校園網(wǎng)中不僅僅帶來效率問題，還有逐級收斂問題，將帶給核心設(shè)備很大的壓力。在實際部署的時候，集中式認證的核心設(shè)備的性能要求較高，多采用雙機熱備的方式保證核心關(guān)鍵節(jié)點的可靠性。此種認證方式比較適用于老校區(qū)在經(jīng)費有限的情況下進行網(wǎng)絡(luò)改造，如IPv4到IPv6的升級，此時只需更換核心設(shè)備即實現(xiàn)網(wǎng)絡(luò)的功能升級，而接入層采用舊有功能簡單的交換機即可。

圖3 集中式認證在校園、小區(qū)寬帶的流量模型對比

圖4 H3C用戶安全運營管理解決方案

H3C用戶安全運營管理解決方案

H3C綜合考慮集中式、分布式認證的適用條件，推薦新校區(qū)建設(shè)采用分布式認證，根據(jù)不同區(qū)域的使用需求部署不同的認證技術(shù)，學生宿舍區(qū)使用802.1X客戶端方式進行嚴格管控，而辦公區(qū)采用Web認證方式實現(xiàn)無客戶端即可認證上網(wǎng)。安全防御問題由防ARP技術(shù)和SAVI技術(shù)結(jié)合安全地址綁定、用戶上網(wǎng)審計功能實現(xiàn)。在解決管理與維護工作量方面，采用H3C的分布式批量部署B(yǎng)IMS解決方案，通過與BIMS服務(wù)器的配合實現(xiàn)設(shè)備上電即可完成配置的批量下發(fā)。很容易完成復雜組網(wǎng)的零接觸搭建。大大降低了網(wǎng)絡(luò)管理員的部署工作量。老校區(qū)改造采用集中式認證+QinQ方式，接入層交換機配置每端口VLAN，端口和端口之間分屬不同的VLAN，實現(xiàn)用戶的二層隔離，避免了ARP欺騙、二層攻擊的行為。接入層新交換機批量部署可采用零配置方案，舊有交換僅僅手工配置基本功能以及劃分VLAN即可。匯聚層設(shè)備開啟QinQ功能進行外層VLAN的標記，采用靈活QinQ方式實現(xiàn)每個接入層交換機一個外層VLAN。核心設(shè)備配置三層功能實現(xiàn)不同VLAN互訪，同時開啟ARP欺騙防御和掃描攻擊防御。核心設(shè)備采用熱備技術(shù)保證了關(guān)鍵認證點的可靠性。ARP攻擊防御

集中式認證通過PUPV+QinQ實現(xiàn)了全網(wǎng)二層隔離，避免了二層報文的攻擊與欺騙。通過在核心交換機上部署ARP防御功能，同時過濾外網(wǎng)的未知IP、ARP報文，實現(xiàn)掃描攻擊防護，來實現(xiàn)整網(wǎng)安全防御。

分布式認證在接入層交換機部署ARP Detection來實現(xiàn)用戶合法性檢查、ARP報文有效性檢查等功能，部署SAVI技術(shù)，來避免IPv6環(huán)境下的地址欺騙、報文攻擊的問題。

無線用戶接入

無線用戶接入的整體策略還是以自身的認證以及安全為主體。AC上不需要開啟QinQ功能，只需要保證無線用戶VLAN和QinQ外層VLAN不同即可完成互訪。無線用戶間的安全防護以及用戶隔離通過非法AP檢測、黑名單、白名單、無線協(xié)議攻擊防御等功能來實現(xiàn)。

組播業(yè)務(wù)部署

全網(wǎng)接入層和匯聚層已經(jīng)部署了PUPV，所有用戶都在單獨的二層網(wǎng)絡(luò)，所以在進行組播VLAN設(shè)計的時候，配置基于端口的組播VLAN，避免組播在多個VLAN的重復復制，并將之延伸到核心交換機。

計費網(wǎng)關(guān)部署

H3C安全運營解決方案中的計費部分組件包括iMC UAM/CAMS、出口流量網(wǎng)關(guān)。出口流量計費網(wǎng)關(guān)統(tǒng)一交由第三方軟件來實現(xiàn)，內(nèi)網(wǎng)認證由iMC UAM承擔，iMC UAM和第三方軟件通過LDAP服務(wù)器、RADIUS代理等方式對接來實現(xiàn)用戶身份的統(tǒng)一管理，整個體系只有一套用戶名和密碼，最終實現(xiàn)用戶數(shù)據(jù)的一體化管理。

高校校園網(wǎng)在采用集中式認證要特別考慮核心設(shè)備的可靠性以及安全性；分布式認證技術(shù)能更好的將壓力分擔到各個接入層設(shè)備，安全防御手段多種多樣。兩者結(jié)合，做到內(nèi)網(wǎng)準入認證保證網(wǎng)絡(luò)接入的可信可靠，外網(wǎng)流量計費保證網(wǎng)絡(luò)的精細化運營。