文/沈宏

受限于高成本帶寬及校園用戶不斷增長的剛性需求，高校校園網絡的壓力與日俱增。為減輕帶寬壓力、降低建設成本和提供更好質量的帶寬，很多高校都在宿舍區(qū)引入運營商運營。本文從校園網建設實踐出發(fā)，提出一種基于BAS設備的802.1X二次認證用戶接入技術方案，在可管理性和安全性上提高了網絡運維質量，為校園網絡運維提供了一種新的技術模式。

BAS設備的全稱是寬帶接入服務器（Broadband Access Server），是面向寬帶網絡應用的新型接入網關，一般位于骨干網的邊緣層，可以完成用戶帶寬的IP/ATM網的數(shù)據(jù)接入。以BAS設備做為用戶接入網關可以有效減少網絡管理成本，實現(xiàn)靈活的分組用戶管理策略，實現(xiàn)靈活的策略路由和用戶級安全策略。

而802.1X協(xié)議是典型的基于C/S架構的訪問控制和認證協(xié)議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1X對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1X只允許EAPoL（基于局域網的擴展認證協(xié)議）數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網端口。802.1X協(xié)議還可以根據(jù)用戶完成認證和離線間的時間進行時長計費。

相對PPPoE協(xié)議來說，802.1X協(xié)議需要使用特定廠商客戶端軟件，可以有效解決客戶端防共享的問題，相對于在校園有限的地理環(huán)境內花費一定的成本進行客戶端分發(fā)和維護工作還是較容易接受。在這種運營模式中，學校提供網絡設備、綜合布線系統(tǒng)等基礎網絡設施，運營商提供帶寬和賬號，通過BAS設備設置不同認證域為用戶提供教科網和運營商等不同上層鏈路出口，實現(xiàn)學生流量分流，由學校統(tǒng)一進行網絡運維，學生可以根據(jù)自己對網絡的需求有多種選擇，學校和運營商能夠保持“相對平等”的關系，不致被某個運營商一家獨大，可以進行“多運營商平等競爭運營”模式的嘗試，從而給校園用戶提供更優(yōu)質的網絡服務。因此，采用基于BAS設備的校園網802.1X二次認證用戶接入技術能夠解決以上問題。

我們在具體實施過程中主要進行了以下幾個方面的策略選擇。

1.技術方案選擇

應堅持網絡扁平化、用戶端操作不變的原則，當校園網絡用戶使用運營商賬號上網認證時， BAS設備在收到客戶端認證請求時會首先將用戶信息（用戶名、密碼、MAC地址）送到學校自有Radius認證系統(tǒng)進行預認證，預認證通過后再將用戶信息（用戶名、密碼）送到運營商Radius認證系統(tǒng)進行認證，兩次認證成功后由BAS設備分配IP地址、掩碼、安全策略等接入互聯(lián)網，其中學校Radius認證系統(tǒng)除了進行用戶名、密碼認證外，還增加綁定MAC地址的認證，解決可管理性和安全性的問題。

2.網絡結構設計和域設置

在實踐中，為提高宿舍校園網運行的可靠性，我們按每位學生單獨端口單獨VLAN的標準對宿舍網絡進行“扁平化大二層”改造，增配網絡布線系統(tǒng)，采用QinQ方式在樓宇匯聚交換機分配內、外層Tag VLAN，對用戶實現(xiàn)端口隔離，在BAS設備開設三個功能域，一是電信運營商域，域內配置“認證”和“預認證”參數(shù)，分配運營商IP地址，通過二次認證向用戶提供運營商接入服務；二是教科網域，承載原教科網用戶，使用教科網IP地址和策略路由；三是caijing域，認證方式同cnc域，但用戶地址使用教科網地址和策略路由走教科網鏈路，用途是供運營商用戶訪問校外免費數(shù)據(jù)庫網絡資源。BAS設備以萬兆鏈路接入運營商城域網，默認路由指向運營商，同時運營商鏈路用戶使用靜態(tài)路由訪問Web、Email、教學信息、數(shù)據(jù)庫等學校網絡信息資源。為方便網絡管理，劃分業(yè)務流量和網管流量，我們使用單獨網管鏈路連接宿舍網絡核心設備和校園網核心交換機。

3.網絡切換相關準備

為實現(xiàn)網絡平穩(wěn)切換，需要和運營商進行管理上的溝通和協(xié)調，由于運營商鏈路賬號為半年預付費卡，理論上學生每半年就會換一張卡，為避免校方和運營商賬號信息不同步問題，運營商取消用戶自助修改密碼功能，統(tǒng)一由學校處理賬號及MAC地址綁定問題，學校統(tǒng)一將賬號導入學校自有Radius認證系統(tǒng)，并在卡銷售時記錄用戶信息及聯(lián)系方式，學校自有Radius認證平臺具備賬號MAC地址自動學習功能，可以自動綁定用戶第一次認證成功時的MAC地址，減少了用戶MAC地址登記的難度，利用原有網絡用戶自助系統(tǒng)處理MAC地址變更問題。

基于BAS設備的802.1X二次接入認證技術方案實施后，校園用戶接入方式不變，可以有多種不同層次的網絡服務供選擇；運營商通過監(jiān)控BAS設備和賬號即可掌握運維情況；學校網管人員能夠在學校自有認證系統(tǒng)中實時檢索用戶登錄錯誤日志、歷史登錄日志等運維信息，對網絡故障定位和解決用戶問題提供強有力的幫助。由于賬號綁定MAC地址，賬號安全性和可管理性大幅提高，用戶體驗和后續(xù)運維管理反映良好。