校园网认证计费系统分析与应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇校园网认证计费系统分析与应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘 要】随着高校信息化建设的深入开展和信息化网络的逐步健全,国内一般院校大都要求对校园网用户的使用情况进行准确的记录,并收取相应的费用,以实现现代校园网“以网养网”,自我发展的需求。但根据各个高校的实际情况不同,用户接入校园网方式日趋多样化。计费的准确性以及用户的信息安全问题是当前各高校网络认证计费系统中面临的一个重要问题。
【关键词】校园网;认证;计费;PPPoE;802.1x;WEB Portal
网络发展至今,校园网的应用已经获得了长足的发展。随着网络应用的深入,宽带接入互联网显现了很多急需解决的管理问题。随着上网用户数量的增加,校园网早已不再仅仅是一个小的局域网,而更类似与一个区域网甚至于市级网的级别。同时校园网建设中还有其自身的特点:高接入,随着高校的发展、网络接入带宽越来越大,千兆接入已经成为常态。接入多样化,校园网用户使用手机,笔记本电脑,便携式终端设备进行接入互联网和校园网已经十分普遍。单一的认证方式已经不能满足现阶段校园网的需求。
一、校园网环境下对认证计费系统的要求
根据对现阶段的高校网络规模、运营特点等现状分析,结合现代校园网技术发展的方向,构建一个面向未来的新型高品质校园网。校园网应具备如下特征:
(一)精细化运营:提供可管理、可运营的校园网精细化运营方案,针对宿舍区、教学区、WLAN 接入提供丰富的用户带宽控制手段,实现内网资源免费、外网资源计费的认证方式;为用户提供带宽/应用质量差异化的宽带接入服务。
(二)IPv6 演进:实现校园网内网络基础设施、网络运营服务、网络应用三个层面的 IPv6过渡。建立安全、可控、可管和可运营的下一代商用环境。
(三)丰富的 QoS:根据用户的不同、业务的不同提供动态差异化 QoS,保障视频会议、IP 电话、网上课堂等业务,开展对于实时性和带宽的需求,区分 VIP 用户和普通用户。
(四)多业务承载:充分体现安全性(实现网络安全、业务安全、数据安全、等)、扩展性(具有升级和扩展能力)、开放性(遵循国际标准,支持多种网络协议,实现系统间互连)、可靠性、先进性。
在以上四点中首先要解决的就是将所有业务节点整合到统一平台上,以满足未来开展高带宽及高组播的业务特性要求。例如将BRAS 设备、AAA 业务管理系统引入校园网络建设,同时协同配合核心、汇聚、接入各层次以太网交换机,以提供简单、高效、统一的用户管理模式和灵活的多种认证、计费和管理方法。
二、校园网常用认证方式分析
(一)IEEE 802.1X认证方式
基于以太网端口认证的IEEE802.1X访问控制协议有如下特点:首先IEEE802.1X协议为二层协议,不需要通过三层转发,对网络设备的要求不高,无需支持802.1Q协议。IEEE标准与以太网标准大体是一致的,基本上各个厂商全都支持该协议。
802.1x协议是基于Client/Server的访问控制和认证协议,又称EAPOL认证。如果有未经授权的用户/设备通过接入交换机的端口,802.1x协议将禁止其访问LAN/MAN。当连接到交换机端口上的用户/设备向交换机要求数据交换或要从以太网上获取信息之前,802.1x会对进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)相关的数据通过设备连接的交换机端口;只有在认证通过以后,数据和信息才能顺利地通过以太网端口。
(二)PPPoE认证方式
PPPoE认证是一种虚拟拨号技术,现阶段在以太网接入和ADSL接入中应用非常普遍,其实现原理基本相同。PPPoE协议提供了在以太网中多台主机连接到远端上的一种标准,在用户连接交换机和DSLAM后面设置BRAS设备来建立用户和远端设备点对点的会话。用来建立连接的BRAS可以对每个主机进行分别管理,并且对已建立连接的用户进行上网业务进行时长和数据流量的统计,为不同计费方式提供相关的用户上网信息。PPPoE其案简要流程为:用户PC通过客户端发起PPPoE请求到后台接入BAS,然后交付后台RADIUS进行认证及计费。
(三)Web+Portal认证方式。
Web+Portal认证与IPoE+Portal认证方式有一些相似之处,但是这几种认证中部署实施最为简单的。用户在使用Web+Portal认证的时候只需要在Web界面进行身份验证,不需要安装任何客户端,该认证方式在手机等移动用户上大量的运用。Web+Portal认证的过程是:用户端先通过DCHP服务得到IP地址,但是获取的该地址在未通过认证前只能访问特定的IP地址,而不能连接上英特网,用户端能够访问特定的IP一般都是Portal服务器的地址。在登陆到Portal管理端后可以在Web界面上输入用于认证的用户名和密码,再由Portal管理端与NAS设备之间交互从而实现用户的认证。同时Portal管理端能够获取到用户的各种上网信息,从而为计费系统提供对用户的计费。
(四)IPoE+Portal认证方式。
在IPoE+Portal认证中,用户的账号都是由Portal进行认证,这样就可以免去客户端软件繁琐的接入要求。而在实际的处理机制中会把账号信息转交付给后台RADIUS,由RADIUS自带的用户账号数据库进行认证。认证结束后,一方面会通知Portal给出相关提示给用户,如“认证通过”,也可能是“认证失败”等。另一方面RADIUS同时会根据认证结果通知BAS设备进行相关策略调整,让认证通过的用户可以连接到外网资源,让认证未通过的用户无法接入到外网。关于RADIUS和BAS设备之间的通信,目前常见的方式有COA,这是由RADIUS主动触发的策略调整。另一种常见的方式就是通过BAS设备厂商自有的策略控制器,先由RADIUS通知给策略控制器,再由策略控制器通知给BAS设备进行相关调整。
三、校园网综合认证计费系统应用方式
结合上述的几种技术,根据校园网的实际网络状况,从而可以制定相应的解决方案。
(一)认证计费方式
宽带认证计费服务器 BRAS 支持包括PPPoE、IPoE、DHCP+Web等多种认证,也可根据需要灵活选择多种接入认证方式并存。并为校园网用户提供无线、有线多重认证方式的接入。AAA 系统规划支持多种计费策略,根据各种业务的不同要求,系统采用不同计费措施,包括按流量计费、按月 / 季 / 学期计费、按时长计费、按访问次数计费、上网卡计费、不计费等。针对不同业务特点采用不同的计费措施,为灵活开展业务提供了保证。同时AAA 还应支持各种的优惠措施(时间、用户、服务),提供计费保护功能或根据用户提供不同“套餐”。可以通过域管理区分不同用户,从而提供不同带宽、不同访问权限差异化的服务,实现用户的精细化管理。
(二)集中认证、摆脱绑定、易于维护
基于宽带认证服务器的BRAS 的PPPoE、IPoE、以及DHCP+WEB认证方式标准化程度高,有标准的客户端程序,并且可以灵活定制,易于维护,摆脱了传统 802.1X认证方式存在的 AAA 系统和接入交换机的紧绑定问题。同时配合汇聚交换机 QINQ 的VLAN 嵌套部署,使校园网二层用户完全隔离,整个校园网得到最大程度的扁平化。网络的配置、维护集中在核心机房,极大地降低了维护的工作量。降低了对校园网中的接入层交换机的功能需求,降低了设备采购成本使得在交换机选用上不会被某些厂商限定。并且集中认证方式能够享受到与基础网络运营商相同的可靠性和高性能,为过度到可管理、可运营、可持续发展的大型数字化校园网铺平了道路。
(三)为校园网提供全面的安全防护
利用不同的认证模式针对不同的网络层次采用不同的安全手段,部署有针对性的安全策略,形成多层次、全方位、一体化的安全校园网解决方案。二、三层分离的网络结构可实现业务的有效隔离,同时,可通过对终端鉴别和授权、仿冒终端的识别、隔离与控制,充分保证终端的安全性,隔离非法终端,抑止合法终端的非法活动,如网络攻击、病毒等。宽带认证计费服务器 BRAS提供基于用户级的 DDOS 防护,精确地隔离了攻击源,降低了户间的安全冲突和安全干扰;完备的链路级保护方案,支持用户侧的板内捆绑和跨板捆绑,为 PPPoE/IPoE 接入用户提供安全防护。
为了保证校园网内部认证计费系统的安全性,在园区的核心区域配置防火墙和ISP入侵监测系统。用Vlan技术将校园网用户,划分成不同的子网,然后在防火墙上设置对这些不同子网,不同业务用户的分级控制,从而实现安全等级的划分。ISP入侵监测系统利用深度包检测技术从校园网网络系统中若干的关键点收集信息,并分析这些信息从而杜绝校园网收到内部、外部和误操作造成的网络攻击,并且对用户或的业务、数据进行精细化的管理,实现对校园网的安全监控管理和上网行为管理,进一步提高校园网的安全、稳定和可管理性。
参考文献
[1] 唐学岭.高校校园网认证方式选择分析[J].计算机与网络,2006.
[2] 孙旭.高校创新型认证计费解决方案[J].智能建筑与城市信息,2012.
作者简介:王伟(1982.11- ),男,本科,网络工程师,研究方向:计算机。