摘要：互聯(lián)網(wǎng)發(fā)展至今，許多高校正在或已經(jīng)完成了校園網(wǎng)的建設(shè)，校園網(wǎng)已為教育的信息化做出了巨大貢獻(xiàn)。本文通過對基于IEEE 802.1X的認(rèn)證計費的研究，論述其如何實現(xiàn)在校園網(wǎng)中的認(rèn)證計費管理。

關(guān)鍵詞：802.1X協(xié)議；校園網(wǎng)；認(rèn)證計費

中圖分類號：TP311.13 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 17-0000-02

1 網(wǎng)絡(luò)現(xiàn)狀與需求分析

四川華新現(xiàn)在職業(yè)學(xué)院于2008年7月開始建設(shè)校園網(wǎng)。迄今為止，校園網(wǎng)使用總?cè)藬?shù)已達(dá)2000人，工程總投入資金約500萬?，F(xiàn)已建成高速校園計算機網(wǎng)絡(luò)系統(tǒng)，采用千兆以太網(wǎng)三層交換技術(shù)，整個校園網(wǎng)分為核心層、匯聚層、接入層三層。核心層采用銳捷S6800三層交換機，匯聚層采用銳捷S3760和S5750三層交換機，接入層采用銳捷S2126交換機。校園網(wǎng)主干線路使用1Gbps光纖；100Mbps到桌面，主干線路采用多模、單模混合光纖敷設(shè)，連接了校內(nèi)的辦公綜合樓、教學(xué)樓、學(xué)生宿舍樓、教師宿舍樓?；ヂ?lián)網(wǎng)總出口由建校初期的10M電信光纖，現(xiàn)已擴充為80M電信和50M網(wǎng)通。

隨著網(wǎng)絡(luò)在教學(xué)中的應(yīng)用不斷增加，學(xué)生宿舍的網(wǎng)絡(luò)建設(shè)成為網(wǎng)絡(luò)建設(shè)的重點。在網(wǎng)絡(luò)的應(yīng)用過程中，我們遇到很多認(rèn)證、計費、管理等方面的問題，學(xué)生宿舍網(wǎng)絡(luò)問題尤為突出，經(jīng)常出現(xiàn)賬號盜用、IP沖突、架設(shè)代理、非法設(shè)備接入、用戶欠費等情況。使用一般的IP地址與MAC地址綁定的方式，雖然可以一定程度的解決此類問題，但隨著用戶數(shù)量的不斷增加，在網(wǎng)絡(luò)安全問題和用戶計費問題上的矛盾越來越明顯，傳統(tǒng)認(rèn)證方式對于校園網(wǎng)用戶數(shù)據(jù)包的繁復(fù)檢測，使得網(wǎng)絡(luò)傳輸出現(xiàn)瓶頸，無法滿足用戶對網(wǎng)絡(luò)安全性、高效率和低成本的要求。給校園網(wǎng)的管理帶來極大難度。

2 設(shè)計原則

2.1 兼容性。所選設(shè)備必須要與現(xiàn)有設(shè)備互相兼容，從而保證網(wǎng)絡(luò)的整體性，并且兼容現(xiàn)有的網(wǎng)絡(luò)設(shè)備。

2.2 可管理性。所有設(shè)備能夠通過WEB、TELNET等多種方式進(jìn)行管理，可以管理到交換機的每個端口。計費系統(tǒng)操作方便、準(zhǔn)確、高效、靈活。

2.3 可擴充性。隨著校園網(wǎng)中網(wǎng)絡(luò)應(yīng)用越來越多，越來越復(fù)雜，為更好的保證投資的有效性和延續(xù)性，所選解決方案必須在可擴充性方面有優(yōu)秀表現(xiàn)。

2.4 先進(jìn)性。采用先進(jìn)成熟的設(shè)計技術(shù)。能夠保障在未來一段時期的主流網(wǎng)絡(luò)應(yīng)用，具有發(fā)展升級潛力。在一些建設(shè)方案、管理方案、升級方案上都要有所體現(xiàn)。

2.5 靈活性。依照層次化、統(tǒng)一化的設(shè)計原則，使網(wǎng)絡(luò)具有良好的擴展性，可根據(jù)網(wǎng)絡(luò)建設(shè)的不同時期靈活升級擴展。

2.6 可靠性。能夠依靠其自身優(yōu)勢，支撐整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定、可靠、高效運行。

3 協(xié)議的比較

經(jīng)以上考慮，決定在目前比較常用的PPPOE、Web+Portal、802.1x，在這3種認(rèn)證計費協(xié)議中，選擇最適合的一種作為校園網(wǎng)的認(rèn)證計費管理協(xié)議。

3.1 PPPOE協(xié)議。pppoe是Point To Point Protocol Over Ethernet的簡稱，可以使以太網(wǎng)的主機通過一個簡單的橋接設(shè)備連到一個遠(yuǎn)端的接入集中器上。通過pppoe協(xié)議，能在遠(yuǎn)端接入設(shè)備上實現(xiàn)對每個接入用戶的控制與計費。

優(yōu)點：（1）由傳統(tǒng)PSTN撥號技術(shù)延伸出來的一種撥號技術(shù)。（2）與傳統(tǒng)窄帶撥號屬于同一網(wǎng)絡(luò)認(rèn)證方式，實施起來便于用戶接受。

缺點：（1）PPoE協(xié)議與以太網(wǎng)技術(shù)有所不同，PPPoE協(xié)議使用時需要被再次封裝至Ethernet幀中，導(dǎo)致數(shù)據(jù)包的封裝效率很低。（2）PPPoE在連接階段會產(chǎn)生大量的廣播包，這便對網(wǎng)絡(luò)性能造成很大的影響。（3）PPPoE認(rèn)證一般還需加設(shè)BAS設(shè)備，在認(rèn)證通過后業(yè)務(wù)數(shù)據(jù)流還需通過BAS設(shè)備，這樣就容易造成BAS設(shè)備負(fù)載過大。而且BAS設(shè)備通常價格不菲。

3.2 Web+Portal協(xié)議。Web+Portal認(rèn)證原理：用戶首先通過DHCP服務(wù)器獲取到IP地址，獲取到的IP只能用作訪問某些特定的頁面，并不能直接連接Internet，只有通過訪問這些特定的頁面，并通過認(rèn)證，才能接入Internet。

優(yōu)點：（1）無需增加客戶端軟件，便于實現(xiàn)，同時降低運營成本及網(wǎng)絡(luò)維護量。（2）便于服務(wù)商開展增值業(yè)務(wù)。

缺點：（1）WEB頁面工作在OSI模型第7層協(xié)議上，對于設(shè)備需求高，直接導(dǎo)致建網(wǎng)成本增高。（2）檢測用戶離線狀態(tài)有一定困難，導(dǎo)致基于時長方式的計費難以實現(xiàn)。（3）不便于內(nèi)網(wǎng)用戶使用。用戶在訪問Internet前，不管是FTP、TELNET或是其它一些內(nèi)部業(yè)務(wù)，都必須利用WEB頁面進(jìn)行認(rèn)證后方實現(xiàn)。（4）IP地址被浪費。用戶在未通過認(rèn)證前，也能獲取到一個IP地址，使得IP地址浪費。（5）認(rèn)證前與認(rèn)證后業(yè)務(wù)數(shù)據(jù)無法區(qū)分，導(dǎo)致網(wǎng)絡(luò)計費不準(zhǔn)確。

3.3 802.1x協(xié)議。802.1x協(xié)議是基于端口的網(wǎng)絡(luò)認(rèn)證協(xié)議。其認(rèn)證原理是將未通過認(rèn)證的用戶和設(shè)備，在端口一級作出限制，使其無法訪問Internet。只有通過認(rèn)證的用戶，交換機才轉(zhuǎn)發(fā)提交的數(shù)據(jù)包。未認(rèn)證時，只有EAPoL數(shù)據(jù)能夠通過交換機端口轉(zhuǎn)發(fā)，認(rèn)證通過以后，提交的數(shù)據(jù)才能夠順利通過交換機轉(zhuǎn)發(fā)。

優(yōu)點：（1）對設(shè)備整體性能要求不高，能有效降低建網(wǎng)成本。（2）兼容傳統(tǒng)的PPP認(rèn)證架構(gòu)。（3）業(yè)務(wù)與認(rèn)證相互分離。

缺點：（1）每臺客服機必須安裝客戶端軟件才能使用。（2）由于是較新的二層協(xié)議，要求所使用交換機必須支持認(rèn)證數(shù)據(jù)包的透傳，因此在采用該協(xié)議時，要確保現(xiàn)在有交換機能支持此協(xié)議。（3）802.1x協(xié)議只關(guān)注交換機端口的認(rèn)證控制，當(dāng)用戶完成端口認(rèn)證后，數(shù)據(jù)包便進(jìn)入第三層網(wǎng)絡(luò)，還需要解決用戶IP地址獲取及第三層網(wǎng)絡(luò)的安全等問題。因此單靠802.1x協(xié)議，是無法完全解決網(wǎng)絡(luò)可管理性及安全性等方面的問題。（4）802.1x協(xié)議不能按照用戶網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計，因此無法滿足基于流量的計費要求。

綜上所述，鑒于802.1x協(xié)議在認(rèn)證計費方面的突出優(yōu)點，而且便于實現(xiàn)、效率高、安全可靠。無需添加更多的網(wǎng)絡(luò)設(shè)備，就能保證校園網(wǎng)絡(luò)的可靠互聯(lián)。同時消除了校園網(wǎng)絡(luò)在認(rèn)證計費上的瓶頸。并且只需要在二層網(wǎng)絡(luò)上就可以實現(xiàn)用戶認(rèn)證計費，這便大大降低了整個校園網(wǎng)絡(luò)的建網(wǎng)成本。

4 解決方案

四川華新現(xiàn)代職業(yè)學(xué)院網(wǎng)絡(luò)建設(shè)共有6棟大樓，信息點3240多個，建筑物之間通過6芯單模光纖連接，光纖匯集到綜合樓4樓中心機房內(nèi)。樓內(nèi)采用超五類雙絞線綜合布線，接入交換機集中放置于每層樓道配線間。

經(jīng)過多次對認(rèn)證系統(tǒng)的比較、實驗，學(xué)校決定采用銳捷網(wǎng)絡(luò)SAM認(rèn)證計費系統(tǒng)。中心機房購置專用服務(wù)器用作SAM、DHCP、DNS等服務(wù)，全網(wǎng)采用DHCP自動獲取IP地址，接入層交換機統(tǒng)一開啟IEEE802.1X協(xié)議，校內(nèi)用接入戶統(tǒng)一安裝銳捷認(rèn)證客服端軟件。802.1X協(xié)議僅對端口的打開與關(guān)閉進(jìn)行控制，在未通過認(rèn)證時，交換機端口是關(guān)閉的，此時用戶無法使用交換機的交換功能，用戶自然也就無法接入Internet，當(dāng)用戶通過認(rèn)證后，此時交換機端口打開，與傳統(tǒng)的網(wǎng)絡(luò)交換方式一致，用戶便可連接DHCP服務(wù)器獲取到IP地址，網(wǎng)絡(luò)數(shù)據(jù)包便通過交換機進(jìn)行轉(zhuǎn)發(fā)。因此校園網(wǎng)采用802.1X認(rèn)證計費后，對于接入用戶再進(jìn)行賬號、MAC、IP、端口等多元素綁定，用于確定用戶的唯一身份，而網(wǎng)絡(luò)中的非法用戶由于無法通過認(rèn)證，就會被交換機在物理鏈路上將其隔離與網(wǎng)絡(luò)之外，只有通過認(rèn)證的用戶，交換機才保證正常傳輸數(shù)據(jù)包，有效的防止IP盜用、賬號盜用、非法設(shè)備接入、架設(shè)代理等情況的發(fā)生。

在計費策略方面也比較靈活，可實現(xiàn)計天、計時長、包月以及充值卡業(yè)務(wù)功能。支持設(shè)置優(yōu)惠時段、包月限最大時長，支持時長卡、包月卡等多種卡業(yè)務(wù)。還可以生成充值卡，學(xué)生購買充值卡以后，只需要在寢室直接登錄充值頁面，輸入充值卡號，密碼就能進(jìn)行充值續(xù)費。對于每一個接入交換機的端口來說，其相當(dāng)于是一個獨立認(rèn)證者，在最大程度上實現(xiàn)了分布式認(rèn)證，既減少了單點故障發(fā)生的機率，同時也避免了傳統(tǒng)網(wǎng)關(guān)設(shè)備進(jìn)行認(rèn)證時所造成的設(shè)備負(fù)載過大，形成網(wǎng)絡(luò)瓶頸。

參考文獻(xiàn)：

[1]周克復(fù).WLAN安全認(rèn)證與管理方案的設(shè)計與實現(xiàn)[J].現(xiàn)代電子技術(shù)，2006，9.

[2]羅益榮.基于802.1X認(rèn)證和旁路流控的校園網(wǎng)管理策略[J].福建電腦，2007，2.