基于Linux设计实用的校园网网关与认证系统
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于Linux设计实用的校园网网关与认证系统范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要: 本文通过介绍我院校园网网关与认证系统的总体设计过程,并针对校园网的特点,提出了一种新的实用的校园网网关与认证模式,同时具体描述了包括IP转发控制、身份认证、数据库、网关控制模块、流量控制等实现过程。该系统实现了对于用户身份的鉴别,同时保证了对于上层的协议和用户的透明性,用户与IP地址绑定,而且充分利用网络特性能够支持大型网络。系统具有实用、易扩展、灵活、安全、使用方便的特点。
关键词:IP转发;Iptables网关过滤;TC流量控制
中图分类号:TP339文献标识码:A文章编号:1009-3044(2007)03-10690-01
1 引言
我院于2003年7月建立了校园网,随着我院上网用户数的增加,校园网原来所提供的服务已经远远不能满足师生的需求,而且给网络中心网管人员带来了不便。认证服务器,网关已成为网络的系统瓶颈,造成网络性能的下降,随之带来的网络管理问题也日渐突出。所以,必须对校园网络的网关和认证系统进行重新设计,根据运行以来出现的突出问题,我们提出了在网关与认证系统的软件设计上,必须达到如下要求:(1)系统能对独立IP带宽进行有效的分配,分配要合理,使得BT不再影响网络的运转;(2)网关、认证服务器不能成为网络的系统瓶颈而造成网络性能的下降,认证服务器和网关要分离,可以多台网关同时工作;(3)系统需要有相当的安全性足以保护用户的利益。
2 系统的实现
2.1 系统物理拓扑图设计
图1
2.2 认证服务器
本服务器使用linux操作系统,安装mysql,和我们设计的认证系统等软件,下面就认证系统主要的数据库和认证过程做简要介绍。
2.2.1 数据库分为用户表、在线用户表、日志、网关资料表。
2.2.1.1 用户表
2.2.1.2 在线用户表:为认证用,防止多个IP同一用户上线,防止IP无限制上线。
2.2.1.3 日志表:供以后查询
2.2.1.4 网关资料表
2.2.2 认证过程
客户机登陆时,服务器发唯一随机码给客户机,客户机用md5对,本机IP、随机码、密码产生摘要,然后摘要和用户名一起发送到服务器,服务器收到后,用数据库密码和客户机IP,随机码产生摘要,比较是否一致!一致就通告网关放行。使用md5(R,ip,password)可以避免报文重发,还可以避免水桶攻击,没有存在任何安全问题。客户机每5分钟发一下延长生存期报文,服务器认为客户在线,如果10分钟,服务器没有收到延长生存期报文就认为客户已下线。通告网关,用户已下线了。(见图2和图3)
图2
2.3 网关的工作过程
网关使用Linux操作系统,安装有iptables,tc,和我们设计的网关管理软件。
2.3.1 启用ip转发功能
网关初始禁止所有IP:iptables CA FORWARD Cj DROP;IP过网关,当收到认证服务器放行报文,就用iptables CI FORWARD 0 Cs *.*.*.* -j ACCEPT;iptables CI FORWARD 0 Cd *.*.*.* -j ACCEPT;收到认证服务器用户下线报文,就用iptables CD FORWARD Cs *.*.*.* -j ACCEPT;iptables CD FORWARD Cd *.*.*.* -j ACCEPT。
2.3.2 TC流量控制
tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 10Mbit rate 200Kbit allot 1513 cell 8 weight 50Kbitavpkt 1000 bounded
该队列的最大可用带宽为10Mb,实际分配的带宽为 200kb,最大传输单元(加MAC头)大小为1513字节,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为50Kb,独占带宽。
通过限制速度200kb,使得在用户在线的高峰期,服务器能不超载,200Kb×2000(用户)=400Mb
tc filter add dev eth0 parent 1:0 prio 5 u32 ht 1:6: match ip src *.*.*.* flowid 1:1
匹配 *.*.*.* 的IP地址的包都要符合上面规定。
2.4 系统的扩展
此系统性能要求最高在于网关服务器,对于CPU P4 2.4,内存DDR 512M,硬盘10G的计算机可以支持1500在线,如果有更多的用户数,可以增加多台网关共用来支持,就能轻松满足需要了。
3 结束语
校园网网关与认证系统在我院校园网运行一年多来,基本解决了网络系统的瓶颈问题,大大提高了网络的性能,受到了学院师生的好评。
参考文献:
[1] 沈金龙. 计算机通信与网络[M]. 北京:北邮大学出版社,2002,(122).
[2] 朱明. 计算机网络安全[J]. 南京: 中国科技信息,2005,(20).
[3] 张汉文,等. 计算机网络安全与防范问题初探[Z]. 信息安全与通信保密,2005.10.
[4] 林宇, 郭凌云. Linux网络编程[M]. 北京:人民邮电出版社,2000.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。