| 出版日期:2003-12-22 总期号:1277 本年期号:96 |
|
 |
中央财经大学采用S-Radius管理宿舍网
可运营的宿舍网 叶新恩、周涛 中央财经大学校园网作为服务于全校教育、科研和行政管理的计算机信息网络,实现了计算机互联、信息资源的共享,并通过CERNET与Internet互联。目前,校园网中现有连网节点1200多个,其网络结构是以电教楼为中心,通过多模光纤连接校园内建筑物;楼内水平线缆采用超五类双绞线缆。 学校对认证计费的需求 中央财经大学总结了以往校园网建设中的经验,探索出学生宿舍网与教工宿舍网差异化的需求,并结合学校对认证计费的需求,对所选用的认证计费系统提出了具体要求。 
系统能够有效地对用户进行接入控制,做到入网即认证,保证只有申请开通的合法用户才可能使用网络。对于接入用户进行账号/密码、IP地址、MAC地址、交换机IP、交换机端口、VLAN ID等多元素绑定,以确定用户身份。从功能上来说,学校希望在实现用户管理、灵活计费等基本功能基础上,还能够为用户提供自助查询服务,并且能够对管理员账号进行分级管理,支持远程登录的管理方式。对于系统的安全性,要求系统能够有效解决IP地址冲突及盗用问题,有效控制用户私自架设代理服务器。 802.1x认证计费成首选 根据学校对认证计费应用的需求,目前业界有两种主流认证方式可以选择:基于网关和基于交换机。其中,基于网关的认证计费方式又包括两种主流技术: PPPoE与Web Portal;基于交换机的认证计费方式主要是802.1x技术。为了保证能够实现最优化的应用,下面对这三种技术分别进行介绍与比较。 首先,PPPoE(PPP over Ethernet)由传统的PSTN(公共电话网)窄带拨号接入技术发展而来,其优点是与原有的窄带网络用户接入认证体系一致,操作简单且用户较容易接受。但PPPoE也有不可避免的缺点,PPP协议与以太网技术存在本质的差异,需要被再次封装到以太网的帧里,存在封装效率问题,而且无法支持组播业务。 其次,Web Portal认证最初是一种业务类型(如电子邮箱、计费浏览等)的认证,通过启动一个Web页面输入用户名/密码,实现身份认证。Web认证目前已经成为酒店网络平台的认证计费方式,通过Web页面,实现对用户是否有使用网络权限的认证。Web认证方式有以下优点:无需特殊的客户端软件,降低网络维护工程量;无需多层数据封装,保证效率。但Web认证也有明显的缺点,Web承载在应用层协议上,对设备的要求较高,建网成本高;易用性不够好,用户访问网络前,不管是Telnet、FTP,还是其他业务,都必须使用浏览器进行Web认证;开放性不够好,Web Portal认证方式均为各厂商私有,没有国际标准。 第三,IEEE 802.1x 称为基于端口的访问控制协议,其实质上是交换机基于端口对用户接入的合法性进行认证,进而决定允许或拒绝用户进入网络。在802.1x的认证体系结构中,引入了受控端口与非受控端口两个概念,即将交换机的一个物理端口分为两个逻辑端口,同时也首次将用户的认证报文流与业务报文流区分开来。其中,非受控端口一直处于常开状态,但只能传送用户的认证、计费报文流。受控端口则可以传送用户的业务报文流。当用户尚未进行认证时,受控端口处于关闭状态,即用户无法使用网络资源;只有用户在进行合法身份认证后,交换机打开受控端口,用户开始进行正常的业务流传输。 在分析比较了各种认证计费技术之后,802.1x认证计费技术成为中央财经大学宿舍网建设的最佳选择。这是因为PPPoE是传统PSTN窄带拨号接入技术在以太网接入技术的延伸,适合目前电信运营商对原有窄带网络用户进行接入认证及运行维护,无法满足学校宿舍网的建设需求。Web Portal的认证方式需要由应用层协议承载,无法实现用户接入认证的需求。如果采用此认证方式,还需要加购昂贵的网关设备,将增加建网的成本。因此,Web Portal认证方式无法满足中央财经大学此次宿舍网的建设需求。 与网关式认证方式所不同的是,802.1x采用分布认证体系,实现简单,认证计费效率高,同时,消除了网络认证计费瓶颈和单点故障等问题;保证与现有的IP网络的无缝相连,也解决了网关认证时不便于视频业务开展的难题;同时802.1x在数据链路层实现用户认证,更是大大降低了整个网络的建设成本。(见表) Radius+802.1x 根据学校校园网的结构特点及宿舍网的建网需求,决定采用Radius+802.1x认证计费体系方案。该方案考虑了以下几个组成要素:认证计费服务器(Radius)、后台数据库服务器(SQL Server)、接入控制交换机(NAS)、客户端(Supplicant)。对于以上系统设备的部署,有以下建议: 认证计费服务器Radius的部署。 此次中央财经大学青年教工楼的网络建设为一期工程,虽然用户数并不多,但为了实现认证计费服务器Radius的效益最大化,即将来此认证计费服务器还需要为其它学生宿舍网进行用户的接入认证。 因此,可以将它部署在网络中心,为整个网络所有的用户提供接入认证。 后台数据库服务器SQL Server的部署。数据库的数据安全性至关重要,一旦它被攻击而数据丢失的话,将会造成无法估计的经济损失。因此,同样将它部署在网络中心,并且与认证计费服务器Radius分开,再由核心交换机的ACL功能允许认证计费服务器Radius访问它,从而进一步提高后台数据的安全性。 接入控制交换机NAS的部署。青年教工宿舍楼采用Cisco Catalyst 2924作为汇聚交换机。因此,接入控制交换机NAS可作为青年教工宿舍楼的接入层交换机,并通过超五类双绞线上连Cisco Catalyst 2924,再以超五类双绞线连接用户。 客户端Supplicant的部署。为保证每一个用户能够接入网络,在进行安全接入认证的时候,必须安装一个客户端软件。对于客户端软件的发放,可以采用刻录光盘的方式来完成,并在每一个用户来网络中心开户的时候,配送给用户。 锐捷网络S-Radius 锐捷网络S-Radius认证计费管理系统是一套基于标准的Radius协议开发的认证计费管理系统,不仅支持PPPoE和Web Portal的认证计费方式,更支持最新的802.1x接入控制技术。它包括了S-Radius服务器、S-Radius管理系统、用户管理系统、账单系统与用户服务系统五个组成部分。 S-Radius认证计费管理系统的主要特色体现在几个方面:与安全交换机结合,可以实现对用户账号、IP、MAC、交换机IP、交换机端口、VLAN ID六元素任意绑定的严格认证,实现包月、预付款、计时长、计流量、实时扣费、卡业务等计费原型,更支持用户自定义的计费策略,并且支持限制用户固定IP地址,或限制用户只能是DHCP动态获取IP,或限制用户只能是静态设备IP地址功能,完全可以满足学校对认证计费的综合要求。 本次宿舍网的建设,只是中央财经大学更大范围内宿舍网络建设和家属院网络建设前的一个尝试。通过这次建设,为今后校园网络的进一步扩展打下良好的基础。 |
||||||||||||||||||||||||||
