摘要:本文對寬帶IP網(wǎng)建設(shè)與發(fā)展過程中產(chǎn)生的多種認證與計費的前沿技術(shù)進行分析、比較和研究,提出了基于802.1x等協(xié)議對寬帶校園網(wǎng)認證、授權(quán)、計費管理系統(tǒng)的解決方案,全面解決了上網(wǎng)用戶身份認證、流量計費、收費、接入管理等校園網(wǎng)應(yīng)用中面臨的核心問題。
關(guān)鍵詞:校園網(wǎng);認證;計費
1 緒論
學(xué)校為了加快信息化建設(shè)的步伐,給全體教師學(xué)生創(chuàng)造一個一流的上網(wǎng)環(huán)境,使全體師生能方便自如地上網(wǎng)學(xué)習(xí)、交流信息、查詢資料,保證網(wǎng)絡(luò)運營有效暢通,學(xué)校要求把校園網(wǎng)建設(shè)成一個安全可靠、可運營、可管理的網(wǎng)絡(luò)。本文主要研究內(nèi)容是網(wǎng)絡(luò)安全技術(shù)的重要組成部分的認證計費技術(shù),訪問控制技術(shù)最新熱點技術(shù)IEEE802.lx在校園網(wǎng)中的應(yīng)用和實現(xiàn)。利用互聯(lián)網(wǎng)技術(shù),在已有的校園網(wǎng)絡(luò)架構(gòu)的基本上,實現(xiàn)對全校教學(xué)、辦公、生活區(qū)的所有接入到校園網(wǎng)的師生提供認證、計費和授權(quán)的服務(wù)。
2 需求分析
經(jīng)過這幾年網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)和完善,校園網(wǎng)作為服務(wù)于全校教育、科研和行政管理的計算機信息網(wǎng)絡(luò),實現(xiàn)了計算機互聯(lián)、信息資源的共享,并通過CERNET與Internet互聯(lián)。在滿足學(xué)校教職員工、學(xué)生連入互聯(lián)網(wǎng)進行正常的教學(xué)、科研任務(wù)的同時,也逐步面臨一個新的問題,那就是如何規(guī)范、有效地對網(wǎng)絡(luò)進行管理,保證校園網(wǎng)正常穩(wěn)定地運行。并且隨著接入校園網(wǎng)用戶的日漸增多,和基于寬帶的應(yīng)用的逐漸增加,如視頻點播、視頻會議等,因此,如何合理計費的問題已經(jīng)逐漸凸顯出來。
3 認證系統(tǒng)的總體設(shè)計
3.1 系統(tǒng)功能設(shè)計
認證系統(tǒng)必須實現(xiàn)以下功能,才能算是一個比較完整的認證系統(tǒng):
(l) 用戶接入控制功能:打開IEEE802.lx認證功能后,缺省情況下,所有用戶都處在未認證狀態(tài)。此時,用戶對網(wǎng)絡(luò)進行訪問的所有信息都將被交換機禁止,當(dāng)然不包括認證過程需要的報文。交換機將為認證需要的報文維護一個專門的通道,保證所有用戶都可以進行正常的認證過程。用戶認證通過后,交換機才允許該用戶訪問網(wǎng)絡(luò)的所有信息通過。
(2) 重認證功能:在設(shè)定的重認證時間后自動向用戶 (IEEE802.lx客戶端軟件)發(fā)出重認證請求,以再次驗證用戶身份的合法性。
(3) 認證計費服務(wù)器參數(shù)設(shè)置靈活:交換機可以設(shè)置認證服務(wù)器IP地址、認證UDP端口、計費服務(wù)器護地址、備份計費服務(wù)器IP地址、計費UDP端口、認證服務(wù)器與認證者(交換機)的驗證字。特點是設(shè)置靈活方便,同時可靠性高。認證服務(wù)器通常使用Radius服務(wù)器。
3.2系統(tǒng)總體設(shè)計
本系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖3-1所示:
(1)校園網(wǎng)拓撲圖
在圖3-2中,核心交換機為cisco7613、cisco6509系列交換機。匯聚層設(shè)備為cisco4506、 cisco3750等三層以太網(wǎng)交換機。接入層設(shè)備為cisco2950系列以太網(wǎng)交換機。數(shù)據(jù)中心有AAA服務(wù)器、DHCP服務(wù)器、WWW服務(wù)器,在校園網(wǎng)接入中,cisco2950以太網(wǎng)交換機放在小區(qū)的弱電機房內(nèi),向上通過光纖連接到小區(qū)匯聚層設(shè)備cisco4506交換機,再通過光纖接入到網(wǎng)絡(luò)中心核心設(shè)備(如cisco7613等)。
(2)客戶端用戶認證過程
Cisco2950系列以太網(wǎng)都提供802.1x特性,可以對用戶進行802.1x認證。計算機上網(wǎng)必須先進行認證:在本計算機上啟動802.1x終端軟件,輸入用戶名和密碼;可以通過Radius服務(wù)器進行遠端認證。一般情況下交換機和Radius認證服務(wù)器之間傳輸?shù)氖菢?biāo)準的Radius報文,下面介紹在這種情況下802.1x認證的數(shù)據(jù)交互過程。
(3) DHCP自動分配IP地址
用戶計算機開機后會通過DHCP報文申請IP地址。接入層交換機、匯聚層交換機會將此請求報文轉(zhuǎn)發(fā)給DHCP服務(wù)器。DHCP服務(wù)器通過應(yīng)答報文給用戶PC分配IP地址。有了IP地址后,用戶就可以上網(wǎng)了。
(4)數(shù)據(jù)存儲與備份
本系統(tǒng)目前設(shè)計支持Red Hat Enterprise Linux AS: release 3平臺,數(shù)據(jù)庫采用MS SQL Server2000。認證計費的數(shù)據(jù)量非常龐大,而且需要長期保存,因此數(shù)據(jù)應(yīng)該存儲在諸如存儲陣列等大容量存儲設(shè)備中,并有容錯和備份功能。計費數(shù)據(jù)對運營中心來說至關(guān)重要,因此必須保證數(shù)據(jù)存儲的安全性和可靠性,并能做到備份與恢復(fù)。主要手段有:
(1) 磁盤陣列啟用RAID5,實現(xiàn)冗余;
(2) 數(shù)據(jù)庫兩臺機器進行熱備份,主備數(shù)據(jù)庫服務(wù)器同時運行,共享同一個磁盤陣列,當(dāng)一臺服務(wù)器崩潰時,另一臺數(shù)據(jù)庫可以在很短的時間內(nèi)的時間內(nèi)接管系統(tǒng),不中斷服務(wù)。
(3) 定期用光盤、磁帶機備份數(shù)據(jù),可以每天備份一次,當(dāng)系統(tǒng)中的數(shù)據(jù)丟失后,可以恢復(fù)前一天數(shù)據(jù)。
4 認證計費系統(tǒng)的實現(xiàn)
本系統(tǒng)主要模塊涵蓋了數(shù)據(jù)業(yè)務(wù)的業(yè)務(wù)受理、用戶認證、業(yè)務(wù)計費、資源管理等領(lǐng)域,是一套完整的數(shù)據(jù)業(yè)務(wù)運營支撐系統(tǒng)。
用戶自助服務(wù)系統(tǒng):系統(tǒng)提供一個面向用戶開放的WEB站點,為每個數(shù)據(jù)業(yè)務(wù)用戶提供基本的計費及賬單數(shù)據(jù)查詢服務(wù),使得用戶清楚自己的上網(wǎng)時間、流量及賬單數(shù)據(jù),還可以在線修改自己的登錄口令。
5 系統(tǒng)測試
測試的目的是為了發(fā)現(xiàn)設(shè)計和編程過程中的錯誤,檢驗系統(tǒng)是否能滿足設(shè)計時的要求。因此,測試在整個開發(fā)過程中處于相當(dāng)重要的地位。本系統(tǒng)測試分為系統(tǒng)功能測試和安全測試兩個階段。主要采用測試方法有白盒測試和黑盒測試。測試內(nèi)容主要有:假冒用戶身份、共享MAC上網(wǎng)、利用代理軟件上網(wǎng)、利用路由器共享上網(wǎng)。系統(tǒng)測試階段的焦點集中在整個802.1x認證系統(tǒng)的功能和性能上是否能滿足設(shè)計目標(biāo)。安全測試階段主要進行基于對非法用戶的接入進行測試。
6. 結(jié)束語
校園網(wǎng)的認證計費問題是校園網(wǎng)建設(shè)的一個重要的組成部分,為了滿足高校管理方便、計費準確、建網(wǎng)成本低的突出要求,通過對各種認證計費技術(shù)的比較,提出了基于802.1x的計費管理模式。解決了校園網(wǎng)用戶身份認證、授權(quán),流量、時間計費,接入管理等寬帶IP網(wǎng)應(yīng)用過程中面臨的核心問題。本系統(tǒng)經(jīng)過測試和試用,效果良好。系統(tǒng)運行正常、穩(wěn)定,認證速度快,計費準確,達到了預(yù)期的目的。
參考文獻
[1] 邢京武,何濤. CCNA學(xué)習(xí)指南-cisco certified network associate (exam 640-801)(中文版) 北京:人民郵電出版社,2014:50-54
[2] 韓江,黃海.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程 人民郵電出版社2017
[3] Simpson W Editor. The Point-to-Point Protoeol (PPP).STD51, RFC 1661, July, 2014
[4] 郭放. 校園網(wǎng)以太寬帶接入方案研究. 微型電腦應(yīng)用. 2017
[5] 肖志新,楊岳湘等. 基于802.lx的寬帶認證技術(shù)在校園網(wǎng)中的應(yīng)用仁 計算機系統(tǒng)應(yīng)用 2004
作者簡介:陳首忠(1980- ),男,廣東湛江,本科,研究方向:信息技能、網(wǎng)絡(luò)安全。
(作者單位:廣州南洋理工職業(yè)學(xué)院)