焦志競

摘要：現(xiàn)在大部分家庭中使用路由器實(shí)現(xiàn)多終端上網(wǎng)，家庭寬帶路由器上行接口和下行接口都接在LAN口上，DHCP服務(wù)設(shè)置關(guān)閉，將路由器作為二層設(shè)備來使用，接入層交換機(jī)不做802.1x認(rèn)證，只做普通報文轉(zhuǎn)發(fā)。社區(qū)網(wǎng)網(wǎng)關(guān)仍然設(shè)置在匯聚層的S6500交換機(jī)上，通過啟用DHCP服務(wù)對終端進(jìn)行規(guī)劃的IP地址的分配。在匯聚交換機(jī)上各旁掛1臺S5800交換機(jī)作為Portal認(rèn)證網(wǎng)關(guān)，用于小區(qū)內(nèi)的用戶認(rèn)證。

關(guān)鍵詞：社區(qū)網(wǎng)；Portal認(rèn)證；動態(tài)IP地址分配

引言

吐哈油田社區(qū)網(wǎng)已建設(shè)多年，主要用于員工家庭上網(wǎng)，為了實(shí)現(xiàn)對居民上網(wǎng)的認(rèn)證計費(fèi)，目前現(xiàn)網(wǎng)采用了802.1X認(rèn)證方式進(jìn)行部署。認(rèn)證過程由客戶端發(fā)起，接入交換機(jī)的物理端口對報文嚴(yán)格控制，啟用802.1X認(rèn)證，默認(rèn)情況下只允許認(rèn)證報文通過，只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。如果認(rèn)證通過，用戶才能訪問互聯(lián)網(wǎng)資源和內(nèi)網(wǎng)服務(wù)資源。

一、社區(qū)網(wǎng)現(xiàn)狀

現(xiàn)有802.1X認(rèn)證需要安裝需要特定客戶端軟件，運(yùn)維管理復(fù)雜。社區(qū)網(wǎng)共涉及近萬戶居民，如果采用采用802.1X認(rèn)證方式，需要對每個用戶終端安裝維護(hù)認(rèn)證客戶端軟件，日常維護(hù)工作量巨大。

面對用戶多終端上網(wǎng)的趨勢，802.1X認(rèn)證無法對移動終端如手機(jī)、IPAD進(jìn)行認(rèn)證，用戶體驗(yàn)感差。目前居民家中不僅部署臺式電腦，像智能手機(jī)、平板電腦等終端應(yīng)用也越來越普遍，傳統(tǒng)的802.1X認(rèn)證方式無法滿足智能移動終端的認(rèn)證需求。

由于上述原因，當(dāng)前采用的802.1X認(rèn)證方式難以滿足不斷發(fā)展的用戶移動終端接入和管理員維護(hù)管理需求。

二、認(rèn)證方式與部署模式選擇

（一）認(rèn)證方式選擇

目前，業(yè)界主要采用PPPOE、802.1X、Portal這三種認(rèn)證方式，下面就這三種認(rèn)證方式的原理和主要優(yōu)缺點(diǎn)進(jìn)行比較。

1、PPPoE認(rèn)證方式。通過PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議，服務(wù)提供商可以在以太網(wǎng)上實(shí)現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。

PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。

第一章PPP協(xié)議和Ethernet技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低

第二章PPPoE在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，對網(wǎng)絡(luò)性能產(chǎn)生很大的影響

第三章組播業(yè)務(wù)開展困難，而視頻業(yè)務(wù)大部分是基于組播的

第四章需要運(yùn)營商提供客戶終端軟件，維護(hù)工作量過大

第五章PPPoE認(rèn)證一般需要外置BAS，認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過BAS設(shè)備，容易造成單點(diǎn)瓶頸和故障，而且該設(shè)備通常非常昂貴。

2、802.1x認(rèn)證方式。是一種client/server 模式的訪問控制和認(rèn)證協(xié)議，主要的應(yīng)用環(huán)境是局域網(wǎng)的接入控制、身份認(rèn)證，往往做為校園網(wǎng)、WLAN的接入控制手段。802.1x是基于端口的訪問控制機(jī)制。用戶或設(shè)備在認(rèn)證前，交換機(jī)端口處于受控狀態(tài)，此時只允許EAPOL協(xié)議（擴(kuò)展局域網(wǎng)認(rèn)證協(xié)議）通訊數(shù)據(jù)通過；認(rèn)證通過后，端口處于非受控狀態(tài)，此時用戶的所有網(wǎng)絡(luò)通訊數(shù)據(jù)都可以通過。802.1x實(shí)際上為每個用戶建立一個邏輯的鏈路，端口的邏輯狀態(tài)是只對該用戶有效，不同用戶的端口邏輯狀態(tài)不相互影響。802 .1x認(rèn)證過程就是EAPOL協(xié)議交互。

缺點(diǎn)：需特定客戶端軟件，用戶交換機(jī)需要升級，IP地址分配、網(wǎng)絡(luò)安全、計費(fèi)均存在問題。

3、Portal認(rèn)證方式。Portal認(rèn)證的基本過程是：客戶機(jī)首先通過DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認(rèn)證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務(wù)器的IP地址。采用Portal認(rèn)證的接入設(shè)備必須具備這個能力。一般通過修改接入設(shè)備的訪問控制表（ACL）可以做到。

用戶登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費(fèi)信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應(yīng)用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實(shí)現(xiàn)用戶的認(rèn)證。

優(yōu)點(diǎn)：不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量，用戶體驗(yàn)好。

缺點(diǎn)：對于設(shè)備的要求較高，建網(wǎng)成本高；用戶連接性差，易用性不夠好。

綜合對比三種主要認(rèn)證方式，可以發(fā)現(xiàn)Portal認(rèn)證方式可以滿足居民的移動終端如平板電腦、智能手機(jī)等認(rèn)證需求；并且Portal認(rèn)證方式不需要安裝客戶端，通過Web界面進(jìn)行認(rèn)證，日常管理維護(hù)簡單，可以滿足社區(qū)網(wǎng)當(dāng)前認(rèn)證需求。因此，建議在社區(qū)網(wǎng)中使用Portal認(rèn)證方式。

（二）部署模式選擇。在Portal認(rèn)證方式的部署中，根據(jù)BAS設(shè)備（即Portal認(rèn)證網(wǎng)關(guān)設(shè)備）部署數(shù)量和位置的不同可以分為集中式部署模式和分布式部署模式兩類，下面就這兩種部署模式的優(yōu)劣進(jìn)行比較。

集中式部署就是將全網(wǎng)所有的認(rèn)證流程集中在一臺BAS設(shè)備上進(jìn)行Portal認(rèn)證。因此對BAS設(shè)備的性能和可靠性要求非常高，一旦BAS設(shè)備出現(xiàn)故障將會導(dǎo)致全網(wǎng)所有用戶認(rèn)證過程中斷。

分布式部署就是將認(rèn)證所需的BAS設(shè)備上分布式部署在各個匯聚節(jié)點(diǎn)上，分別對各個園區(qū)進(jìn)行Portal認(rèn)證，因此BAS設(shè)備的性能要求稍低。該部署模式中，每臺BAS設(shè)備只需負(fù)責(zé)所在園區(qū)的認(rèn)證流程，影響范圍有限。

吐哈油田社區(qū)網(wǎng)涉及到近20000名用戶，如果采用集中式部署方式，對認(rèn)證網(wǎng)關(guān)設(shè)備性能和可靠性要求極高。目前業(yè)界支持20000名用戶Portal認(rèn)證的設(shè)備必須為高端機(jī)箱式設(shè)備，即使采用機(jī)箱式設(shè)備也基本上達(dá)到了該設(shè)備認(rèn)證數(shù)量的極限。隨著后續(xù)接入用戶的增多，還需要更換為更高端的認(rèn)證網(wǎng)關(guān)，后期投資大；另外，采用集中式部署影響范圍廣，一旦認(rèn)證網(wǎng)關(guān)出現(xiàn)故障，將造成全網(wǎng)用戶的認(rèn)證中斷。因此，在綜合對比以上兩種部署模式后，建議采用分布式部署模式。

三、優(yōu)化設(shè)計方案

（一）組網(wǎng)架構(gòu)。在社區(qū)網(wǎng)中采用Portal認(rèn)證方式的組網(wǎng)架構(gòu)如下圖所示：

1、現(xiàn)在部分家庭中部署了家庭寬帶路由器用于實(shí)現(xiàn)多終端上網(wǎng)的需求，家庭寬帶路由器上行接口和下行接口都接在LAN口上，DHCP服務(wù)設(shè)置關(guān)閉，簡單講，就是將家庭寬帶路由器作為二層設(shè)備來使用，接入層交換機(jī)不做802.1x認(rèn)證，只做普通報文轉(zhuǎn)發(fā)。

2、社區(qū)網(wǎng)網(wǎng)關(guān)仍然設(shè)置在匯聚層的S6500交換機(jī)上，通過啟用DHCP服務(wù)對終端進(jìn)行規(guī)劃的IP地址的分配。在本方案中，需要在匯聚交換機(jī)上各旁掛1臺S5800交換機(jī)作為Portal認(rèn)證網(wǎng)關(guān)，用于小區(qū)內(nèi)的用戶認(rèn)證。

3、針對鄯善園區(qū)近4000名用戶的認(rèn)證接入需求，采用和哈密園區(qū)相同的分布式認(rèn)證方式，所有用戶的Portal認(rèn)證網(wǎng)關(guān)均部署在本地。在鄯善園區(qū)的每個匯聚節(jié)點(diǎn)部署1臺S5800交換機(jī)設(shè)備，在鄯善園區(qū)共需部署5臺。在鄯善園區(qū)，所有用戶的上網(wǎng)認(rèn)證都需要經(jīng)過部署在哈密園區(qū)的Portal服務(wù)器和綜合認(rèn)證系統(tǒng)，實(shí)現(xiàn)鄯善、哈密兩個園區(qū)統(tǒng)一的認(rèn)證接入。

（二）認(rèn)證流程。吐哈油田社區(qū)網(wǎng)采用Portal認(rèn)證方式：用戶通過IE訪問需要授權(quán)的網(wǎng)絡(luò)資源，首先認(rèn)證過程經(jīng)過S5800網(wǎng)關(guān)設(shè)備；S5800網(wǎng)關(guān)發(fā)現(xiàn)用戶還沒有通過認(rèn)證則強(qiáng)制到Portal服務(wù)器；Portal 服務(wù)器將WEB頁面強(qiáng)推給用戶，提示用戶需要進(jìn)行認(rèn)證，用戶在WEB頁面中輸入用戶名密碼并提交認(rèn)證；S5800網(wǎng)關(guān)將用戶認(rèn)證信息轉(zhuǎn)換為Radius報文發(fā)送到現(xiàn)有綜合認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。

（三）IP地址規(guī)劃。在終端接入IP地址分配中，主要分為靜態(tài)IP地址和動態(tài)IP地址兩類。在本方案中，如果配置靜態(tài)IP地址，涉及終端數(shù)量非常多，需要提前對每個終端進(jìn)行規(guī)劃，后期管理維護(hù)工作量巨大。如果配置動態(tài)IP地址，只需在每個匯聚節(jié)點(diǎn)的三層網(wǎng)關(guān)配置DHCP功能即可，滿足用戶在不同區(qū)域接入的移動上網(wǎng)需求。因此，建議采用動態(tài)IP地址分配方式。

（四）高可靠性設(shè)計。吐哈油田社區(qū)網(wǎng)現(xiàn)有綜合認(rèn)證系統(tǒng)中，采用自研軟件進(jìn)行認(rèn)證、授權(quán)及計費(fèi)工作。本方案將由H3C iMC UAM用戶接入管理組件實(shí)現(xiàn)用戶身份認(rèn)證與現(xiàn)有認(rèn)證系統(tǒng)進(jìn)行有效融合實(shí)現(xiàn)對用戶上網(wǎng)認(rèn)證計費(fèi)的有效管理。

（五）用戶接入管理。本方案支持多終端接入，即同一個用戶名允許有多個終端同時上網(wǎng)。無論是臺式電腦、平板電腦還是智能手機(jī)，只要在允許的數(shù)量范圍內(nèi)，都可以同時上網(wǎng)，滿足家庭用戶多終端的上網(wǎng)需求。每個用戶名下可同時接入終端的數(shù)量可以在管理界面進(jìn)行設(shè)置，在滿足居民上網(wǎng)體驗(yàn)的同時做到可控可管，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用。

（六）方案可行性分析。在設(shè)備投資方面：充分利用現(xiàn)網(wǎng)6500匯聚交換機(jī)、各樓層交換機(jī)、家用無線路由器及綜合認(rèn)證系統(tǒng)。只需在每個匯聚交換機(jī)旁掛1臺盒式交換機(jī)S5800作為本區(qū)域的Portal認(rèn)證網(wǎng)關(guān)，另外在核心交換機(jī)上旁掛服務(wù)器作為Portal服務(wù)器，Portal服務(wù)器運(yùn)行UAM用戶接入管理軟件。

在方案可靠性方面：增設(shè)備與現(xiàn)有設(shè)備及認(rèn)證系統(tǒng)可以實(shí)現(xiàn)良好的兼容?，F(xiàn)網(wǎng)部署的6500交換機(jī)與新增S5800交換機(jī)均為H3C品牌系列產(chǎn)品，并且新舊設(shè)備之間均通過標(biāo)準(zhǔn)網(wǎng)絡(luò)技術(shù)進(jìn)行互通，因此在硬件設(shè)備層面具有良好的兼容性；綜合認(rèn)證系統(tǒng)與新增S5800交換機(jī)采用標(biāo)準(zhǔn)Radius報文進(jìn)行通信，新增S5800交換機(jī)和現(xiàn)有綜合認(rèn)證系統(tǒng)均支持該報文，因此在兼容性方面均有良好的可行性。

四、方案優(yōu)點(diǎn)總結(jié)

對現(xiàn)有802.1x認(rèn)證方式進(jìn)行替換，采用Portal認(rèn)證方式主要具備以下幾方面優(yōu)點(diǎn)：

管理維護(hù)簡單 ：采用Portal認(rèn)證方式不需要安裝客戶端軟件，通過網(wǎng)頁即可實(shí)現(xiàn)認(rèn)證。管理員不再需要逐一為每個上網(wǎng)用戶安裝和升級客戶端軟件，極大減輕管理難度。

部署簡單：本方案在實(shí)施部署中，不需要對現(xiàn)有網(wǎng)絡(luò)架構(gòu)進(jìn)行變更，只需在每個匯聚節(jié)點(diǎn)旁掛一臺Portal認(rèn)證網(wǎng)關(guān)，實(shí)施工作量較小。

用戶體驗(yàn)感好：采用Portal認(rèn)證方式，通過網(wǎng)頁方式對用戶終端進(jìn)行認(rèn)證，因此可以實(shí)現(xiàn)對智能手機(jī)、平板電腦等移動終端的認(rèn)證，可以滿足用戶不斷變化的終端認(rèn)證需求，整體上網(wǎng)體驗(yàn)可以得到保障。

認(rèn)證頁面人性化：可根據(jù)不同用戶的需求對認(rèn)證頁面進(jìn)行定制化開發(fā)，滿足不同企業(yè)用戶的人性化、個性化需求，如可定制認(rèn)證頁面的標(biāo)題、內(nèi)容、背景等。