【摘 要】隨著學(xué)校硬件設(shè)備的不斷健全，用戶的復(fù)雜性及多樣性，對(duì)網(wǎng)絡(luò)提出了安全認(rèn)證的需求，網(wǎng)絡(luò)需要運(yùn)營(yíng)，因此也有了計(jì)費(fèi)收費(fèi)的需要。各個(gè)學(xué)校根據(jù)自身特點(diǎn)，開(kāi)發(fā)一套合理、有效的認(rèn)證計(jì)費(fèi)系統(tǒng)是十分必要的。本文主要介紹了一個(gè)校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)的開(kāi)發(fā)過(guò)程。

【關(guān)鍵詞】802.1X RADIUS 認(rèn)證計(jì)費(fèi) 計(jì)費(fèi)策略 校園網(wǎng)

隨著Internet的發(fā)展和教育網(wǎng)的接入，校園網(wǎng)絡(luò)資源越來(lái)越豐富，功能越來(lái)越復(fù)雜。這雖然為用戶提供了更廣泛的資源共享和信息交流網(wǎng)絡(luò)平臺(tái)，但是物有兩極，有優(yōu)勢(shì)也有弊端，用戶的復(fù)雜性及多樣性是校園網(wǎng)必須要克服的硬傷，于是對(duì)校園網(wǎng)有了安全認(rèn)證的需求，網(wǎng)絡(luò)需要正常安全的運(yùn)行，計(jì)費(fèi)認(rèn)證成了不可或缺的需要。

一、關(guān)鍵技術(shù)分析

目前大部分高校校園網(wǎng)采用802.1x認(rèn)證或者Web Portal認(rèn)證，這兩種認(rèn)證方式為當(dāng)前高校校園網(wǎng)主流認(rèn)證方式。802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)無(wú)需支持802.1Q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效的降低建網(wǎng)成本。通過(guò)組播實(shí)現(xiàn)，解決其他認(rèn)證協(xié)議廣播問(wèn)題，對(duì)組播業(yè)務(wù)的支持性好。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上，用戶通過(guò)認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求。

二、系統(tǒng)分析

（一）系統(tǒng)功能需求

為了解決校園網(wǎng)絡(luò)建設(shè)過(guò)程中遇到的問(wèn)題，并結(jié)合學(xué)校對(duì)認(rèn)證計(jì)費(fèi)的需求，對(duì)所選用的認(rèn)證計(jì)費(fèi)系統(tǒng)能夠?qū)崿F(xiàn)的功能需求概括如下：1.準(zhǔn)確的用戶身份確認(rèn)；2.靈活的計(jì)費(fèi)策略；3.精確的費(fèi)用統(tǒng)計(jì)；4.個(gè)性化的網(wǎng)絡(luò)計(jì)費(fèi)。

（二）用戶計(jì)費(fèi)方式

在采用802.1X標(biāo)準(zhǔn)的LAN中，通常采用按照流量進(jìn)行計(jì)費(fèi)的計(jì)費(fèi)方式對(duì)用戶進(jìn)行計(jì)費(fèi)。流量計(jì)費(fèi)的方式同時(shí)長(zhǎng)、帶寬計(jì)費(fèi)方式相比，更能有效控制流量，緩解出口擁堵、確保校園網(wǎng)正常運(yùn)行，所以本系統(tǒng)選擇流量計(jì)費(fèi)作為用戶的計(jì)費(fèi)方式。但在現(xiàn)有技術(shù)中，交換機(jī)只能統(tǒng)計(jì)通過(guò)每個(gè)端口的流量，無(wú)法對(duì)每個(gè)端口下不同用戶的流量進(jìn)行區(qū)分統(tǒng)計(jì)。

為了解決上述的技術(shù)問(wèn)題，本系統(tǒng)提供了一種計(jì)費(fèi)方法以實(shí)現(xiàn)在采用802.1X標(biāo)準(zhǔn)的LAN中，對(duì)交換機(jī)端口下不同用戶的流量進(jìn)行區(qū)分統(tǒng)計(jì)與計(jì)費(fèi)。

該計(jì)費(fèi)方法包括：1.接收數(shù)據(jù)報(bào)文，獲取該數(shù)據(jù)報(bào)文的源IP地址與目的IP地址；2.將所述數(shù)據(jù)報(bào)文的源IP地址及目的IP地址與用戶IP地址進(jìn)行匹配，識(shí)別所述數(shù)據(jù)報(bào)文所屬的用戶；3.統(tǒng)計(jì)所述用戶的數(shù)據(jù)報(bào)文流量，并根據(jù)預(yù)先設(shè)置的費(fèi)率，對(duì)所述用戶的流量進(jìn)行計(jì)費(fèi)。

（三）認(rèn)證方式的選擇

本系統(tǒng)采用802.lX+RADIUS認(rèn)證計(jì)費(fèi)體系方案，各子網(wǎng)內(nèi)的用戶通過(guò)運(yùn)行客戶端軟件輸入用戶名和密碼，系統(tǒng)自動(dòng)將該信息經(jīng)由NAS（Network Access Server）傳送至RADIUS Server進(jìn)行認(rèn)證，身份驗(yàn)證通過(guò)后，允許其使用整個(gè)網(wǎng)絡(luò)資源，如果驗(yàn)證未能通過(guò)，用戶則不能進(jìn)行通信。

三、系統(tǒng)設(shè)計(jì)

（一）系統(tǒng)的認(rèn)證和計(jì)費(fèi)原理

當(dāng)用戶需要上網(wǎng)時(shí)，將帳號(hào)/密碼發(fā)送給NAS，通知NAS需要認(rèn)證，NAS于是向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求包（封裝成RADIUS包），RADIUS服務(wù)器將認(rèn)證結(jié)果（access/reject）返回給NAS。若認(rèn)證通過(guò)（access），則用戶可以上網(wǎng)，RADIUS服務(wù)器同時(shí)開(kāi)始記錄上線時(shí)間，用戶下線時(shí)，RADIUS服務(wù)器記錄下線時(shí)間和流量，同時(shí)將這些信息記錄到數(shù)據(jù)庫(kù)中，便于統(tǒng)計(jì)、管理；否則NAS控制用戶不能上網(wǎng)。

（二）系統(tǒng)的網(wǎng)絡(luò)架構(gòu)

本校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)由NAS（網(wǎng)絡(luò)接入服務(wù)器）、RADIUS服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器及流量統(tǒng)計(jì)裝置組成。本系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖所示。

系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖

說(shuō)明：1.NAS采用支持?jǐn)U展的802.1X認(rèn)證協(xié)議的交換機(jī)——銳捷網(wǎng)絡(luò)的STAR-S2126G；2.RADIUS服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和Web服務(wù)器共用一臺(tái)機(jī)器；3.用戶使用Internet時(shí)，用戶必須先通過(guò)客戶端軟件首先通過(guò)認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證，認(rèn)證成功后客戶端才能與Internet之間建立連接；4.計(jì)費(fèi)系統(tǒng)將用戶的訪問(wèn)數(shù)據(jù)（流量、時(shí)長(zhǎng)等信息）實(shí)時(shí)記錄入數(shù)據(jù)庫(kù)中；5.在核心層，采用流量統(tǒng)計(jì)裝置配合流量管理軟件對(duì)交換機(jī)端口下不同用戶的流量進(jìn)行區(qū)分統(tǒng)計(jì)與計(jì)費(fèi)；6.認(rèn)證及計(jì)費(fèi)系統(tǒng)控制客戶端與Internet的連接。通過(guò)向交換機(jī)發(fā)送指令可以強(qiáng)制用戶上下線；7.系統(tǒng)管理員可以通過(guò)訪問(wèn)Web服務(wù)器上的計(jì)費(fèi)管理系統(tǒng)管理校園網(wǎng)絡(luò)計(jì)費(fèi)和定義各種計(jì)費(fèi)策略，用戶也可以通過(guò)它來(lái)了解自己網(wǎng)絡(luò)使用情況。

（三）系統(tǒng)的功能模塊設(shè)計(jì)

校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)主要有3個(gè)功能子系統(tǒng)組成：1.認(rèn)證子系統(tǒng)該子系統(tǒng)；2.計(jì)費(fèi)子系統(tǒng)該子系統(tǒng)；3.Web管理子系統(tǒng)。

四、結(jié)束語(yǔ)

本系統(tǒng)采用802.1X+RADIUS認(rèn)證計(jì)費(fèi)體系方案，通過(guò)提供一種計(jì)費(fèi)方法解決了在現(xiàn)有技術(shù)中，采用802.1X標(biāo)準(zhǔn)的LAN無(wú)法對(duì)每個(gè)端口下不同用戶的流量進(jìn)行區(qū)分統(tǒng)計(jì)的問(wèn)題，實(shí)現(xiàn)了粒度到用戶的身份認(rèn)證，不僅提高了系統(tǒng)安全性，而且可以根據(jù)用戶身份監(jiān)控其網(wǎng)絡(luò)使用狀況。

參考文獻(xiàn)：

[1]于堯. 基于IEEE802.lx的校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 河北農(nóng)業(yè)大學(xué)， 2007.

[2]李興國(guó). 基于802.lx的寬帶網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)， 2004.

[3]彭偉. 使用802.1x實(shí)現(xiàn)校園網(wǎng)認(rèn)證[J]. 計(jì)算機(jī)應(yīng)用， 2003， 23（3）： 125-127.