王紅麗 趙紅霞 王蓉

摘要：校園網(wǎng)接入認(rèn)證系統(tǒng)是目前很多高校局域網(wǎng)內(nèi)使用的，基于80.21X協(xié)議的接入認(rèn)證方式。該文以h3c的接入認(rèn)證系統(tǒng)CAMS為例，講解一下接入認(rèn)證系統(tǒng)的原理及使用中出現(xiàn)的問題。

關(guān)鍵詞：校園網(wǎng)；接入認(rèn)證；802.1X

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）09-0144-02

1認(rèn)證原理

高校的網(wǎng)絡(luò)是一個大的園區(qū)網(wǎng)，也就是局域網(wǎng)。這個大的園區(qū)網(wǎng)面臨的網(wǎng)絡(luò)安全問題不僅來自外部的互聯(lián)網(wǎng)，更多的來自內(nèi)部的局域網(wǎng)使用者。很多用戶出于好奇或者惡意報復(fù)等心理會攻擊校園網(wǎng)絡(luò)，事件嚴(yán)重甚至?xí)斐删W(wǎng)絡(luò)癱瘓，所以如何有效地管理和控制接入用戶的有效性和安全性，是高校園區(qū)網(wǎng)絡(luò)面臨的很重要的問題。

我們以H3C的接入控制系統(tǒng)CAMS為例，該接入認(rèn)證系統(tǒng)可以無縫連接所有同品牌交換機(jī)及路由器。CAMS全稱綜合訪問管理服務(wù)，它可以配合交換機(jī)、寬帶接入服務(wù)器等接入層設(shè)備，完成對用戶上網(wǎng)過程的認(rèn)證、授權(quán)和計費。CAMS側(cè)重于對企業(yè)、校園、小區(qū)和酒店的網(wǎng)絡(luò)使用進(jìn)行控制和管理，在基本的認(rèn)證計費功能之上，CAMS提供了更強(qiáng)大的用戶認(rèn)證、計費和管理平臺，可以實現(xiàn)網(wǎng)絡(luò)的可管理、可運營，保證網(wǎng)絡(luò)和用戶信息的安全。

CAMS接入控制系統(tǒng)使用的是基于802.1X的認(rèn)證管理技術(shù)，隨著大規(guī)模的網(wǎng)絡(luò)發(fā)展，越來越多的局域網(wǎng)在接入互聯(lián)網(wǎng)之前都啟用對用戶的接入進(jìn)行控制和配置。802.1X是一種基于端口的認(rèn)證協(xié)議，是一種對用戶進(jìn)行認(rèn)證的方法和策略。在用戶需要聯(lián)網(wǎng)時，首先客戶端的認(rèn)證請求通過交換機(jī)上傳至接入認(rèn)證服務(wù)器，服務(wù)器接收到請求后，需要驗證用戶身份，如果用戶的口令正確，則允許通過。如果口令或用戶名、密碼錯誤等，則服務(wù)器會發(fā)送錯誤指令代碼到客戶端，此時需修改后重新認(rèn)證才能通過。

2認(rèn)證特點

我們使用的CAMS校園網(wǎng)認(rèn)證服務(wù)是基于用戶名、密碼、IP地址、MAC地址、端口號五合一的認(rèn)證，有任何一個錯誤都不能通過認(rèn)證。即每個上網(wǎng)賬號都有唯一的、系統(tǒng)分配好的用戶名、密碼，同時對應(yīng)自己的房間號和上網(wǎng)機(jī)器的MAC地址以及機(jī)器的唯一IP地址。CAMS認(rèn)證系統(tǒng)的特點有以下幾方面。

1）認(rèn)證的安全性：CAMS除了可以完成基本的基于用戶名、密碼的認(rèn)證功能外，還支持對用戶IP、MAC、接入設(shè)備、接入端口和VLAN（虛擬網(wǎng)）的綁定認(rèn)證，并可控制用戶的訪問權(quán)限和上網(wǎng)帶寬。

2）計費方式的靈活性：CAMS采用的計費模型具有良好的適應(yīng)性，能夠為用戶提供靈活的計費策略，可以支持包月、包月限時、分檔計費、獎勵等多種計費方案。

3）強(qiáng)大的用戶管理：CAMS支持卡號、賬號兩種用戶，可以批量生成和回收卡號、批量導(dǎo)入賬號；并提供賬號用戶的預(yù)注冊、賬號附加信息設(shè)置、用戶數(shù)據(jù)查詢與導(dǎo)出、統(tǒng)計報表等輔助管理功能。

CAMS認(rèn)證系統(tǒng)提供了一種用戶接入認(rèn)證的手段，認(rèn)證的最終目的就是確定一個端口是否可用。如果認(rèn)證成功，那就“打開”這個端口，允許所有的報文通過；如果認(rèn)證不成功，就使這個端口保持“關(guān)閉”。認(rèn)證的結(jié)果過在于端口狀態(tài)的改變，而不涉及其他認(rèn)證技術(shù)所考慮的IP地址協(xié)商和分配問題，是各種認(rèn)證技術(shù)中最為簡單的。[1]

3常見問題

了解CAMS認(rèn)證系統(tǒng)的基本原理以后，認(rèn)證過程也就不再那么神秘了。但是用戶在使用過程中依然會遇到很多問題，系統(tǒng)后臺的認(rèn)證失敗日志記錄了最終用戶認(rèn)證失敗時的登錄名、用戶類型、認(rèn)證失敗原因、賬號名、用戶姓名、用戶MAC地址、用戶IP地址、接入設(shè)備IP地址、接入設(shè)備端口號等信息，在這里我們把系統(tǒng)客戶端的常見提示問題匯總?cè)缦隆?/p>

3.1用戶不存在或者用戶沒有申請該服務(wù)

系統(tǒng)管理員為每個上網(wǎng)賬號分配好了用戶名和密碼，必須使用系統(tǒng)指定的用戶名和密碼才能通過認(rèn)證，所以必須牢記自己的上網(wǎng)賬號。如果系統(tǒng)提示用戶不存在或者用戶沒有申請該服務(wù)，說明使用了錯誤的用戶名，請重新核實后再重新連接或與系統(tǒng)管理員聯(lián)系獲取正確的用戶名。

3.2用戶密碼錯誤，將被加入黑名單

默認(rèn)使用初始密碼登錄，如果自己更改了用戶密碼而又不記得?？梢詰{借有效憑證聯(lián)系管理員初始化密碼。

3.3靜態(tài)IP地址綁定檢查失敗

如果客戶端系統(tǒng)提示靜態(tài)IP地址綁定檢查失敗，有以下三種可能：在認(rèn)證客戶端忘記選擇上傳IP地址選項；把IP地址設(shè)置在虛擬網(wǎng)卡上了，必須是真實有效的本地網(wǎng)卡才可以；網(wǎng)卡選擇正確，IP地址本身設(shè)置錯誤，把系統(tǒng)管理員分配的地址填寫錯了；請對照自己的實際問題一一檢查各項有沒有錯誤。

3.4 MAC地址綁定檢查失敗

H3C認(rèn)證系統(tǒng)是基于802.1X的五合一認(rèn)證，如果更換上網(wǎng)電腦、更換房間或者更換電腦主板，相應(yīng)的網(wǎng)卡地址會發(fā)生變更。這種情況徐要與系統(tǒng)管理員聯(lián)系，通過系統(tǒng)后臺修改后才能重新認(rèn)證上網(wǎng)。

3.5認(rèn)證通過后無法打開網(wǎng)頁

如果H3C的客戶端認(rèn)證已經(jīng)通過，但仍然不能連接到互聯(lián)網(wǎng)。這種情況下，說明物理線路沒有問題，是五合一認(rèn)證中的地址設(shè)置及子網(wǎng)掩碼、網(wǎng)關(guān)、DNS設(shè)置有錯誤。請在“開始/控制面板/查看網(wǎng)絡(luò)狀態(tài)和任務(wù)/更改適配器設(shè)置/本地連接”中雙擊本地連接，打開屬性面板，選擇“Internet協(xié)議版本4”在面板中查看核對地址設(shè)置及相關(guān)信息，必須一一設(shè)置正確才能聯(lián)網(wǎng)。

以上幾方面就是用戶使用中的常見問題，為了保證CAMS系統(tǒng)的可靠性和可追溯性，CAMS認(rèn)證系統(tǒng)提供了完善的日志跟蹤及查詢功能，系統(tǒng)管理員可以通過查詢記錄到后臺的認(rèn)證失敗日志來了解用戶認(rèn)證失敗的原因等信息。

參考文獻(xiàn)：

[1] 魏楚元.大型園區(qū)網(wǎng)絡(luò)建設(shè)與管理[M].北京：機(jī)械工業(yè)出版社，2015：226.