受限于高成本带宽及校园用户不断增长的刚性需求,高校校园网络的压力与日俱增。为减轻带宽压力、降低建设成本和提供更好质量的带宽,很多高校都在宿舍区引入运营商运营。本文从校园网建设实践出发,提出一种基于 BAS 设备的 802.1X 二次认证用户接入技术方案,在可管理性和安全性上提高了网络运维质量,为校园网络运维提供了一种新的技术模式。
BAS 设备的全称是宽带接入服务器(Broadband Access Server),是面向宽带网络应用的新型接入网关,一般位于骨干网的边缘层,可以完成用户带宽的 IP/ATM 网的数据接入。以 BAS 设备做为用户接入网关可以有效减少网络管理成本,实现灵活的分组用户管理策略,实现灵活的策略路由和用户级安全策略。
而802.1X 协议是典型的基于C/S 架构的访问控制和认证协议。它可以限制未经授权的用户/ 设备通过接入端口(access port) 访问 LAN/WLAN 。在获得交换机或 LAN 提供的各种业务之前,802.1X 对连接到交换机端口上的用户/ 设备进行认证。在认证通过之前,802.1X 只允许 EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。802.1X 协议还可以根据用户完成认证和离线间的时间进行时长计费。
相对 PPPoE 协议来说,802.1X 协议需要使用特定厂商客户端软件,可以有效解决客户端防共享的问题,相对于在校园有限的地理环境内花费一定的成本进行客户端分发和维护工作还是较容易接受。在这种运营模式中,学校提供网络设备、综合布线系统等基础网络设施,运营商提供带宽和账号,通过 BAS 设备设置不同认证域为用户提供教科网和运营商等不同上层链路出口,实现学生流量分流,由学校统一进行网络运维,学生可以根据自己对网络的需求有多种选择,学校和运营商能够保持“相对平等”的关系,不致被某个运营商一家独大,可以进行“多运营商平等竞争运营”模式的尝试,从而给校园用户提供更优质的网络服务。因此,采用基于 BAS 设备的校园网 802.1X 二次认证用户接入技术能够解决以上问题。
我们在具体实施过程中主要进行了以下几个方面的策略选择。
1. 技术方案选择
应坚持网络扁平化、用户端操作不变的原则,当校园网络用户使用运营商账号上网认证时,BAS 设备在收到客户端认证请求时会首先将用户信息(用户名、密码、MAC 地址)送到学校自有 Radius 认证系统进行预认证,预认证通过后再将用户信息(用户名、密码)送到运营商Radius 认证系统进行认证,两次认证成功后由BAS 设备分配 IP 地址、掩码、安全策略等接入互联网,其中学校 Radius 认证系统除了进行用户名、密码认证外,还增加绑定 MAC 地址的认证,解决可管理性和安全性的问题。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。