文/沈宏

受限于高成本帶寬及校園用戶不斷增長(zhǎng)的剛性需求，高校校園網(wǎng)絡(luò)的壓力與日俱增。為減輕帶寬壓力、降低建設(shè)成本和提供更好質(zhì)量的帶寬，很多高校都在宿舍區(qū)引入運(yùn)營(yíng)商運(yùn)營(yíng)。本文從校園網(wǎng)建設(shè)實(shí)踐出發(fā)，提出一種基于BAS設(shè)備的802.1X二次認(rèn)證用戶接入技術(shù)方案，在可管理性和安全性上提高了網(wǎng)絡(luò)運(yùn)維質(zhì)量，為校園網(wǎng)絡(luò)運(yùn)維提供了一種新的技術(shù)模式。

BAS設(shè)備的全稱是寬帶接入服務(wù)器（Broadband Access Server），是面向?qū)拵ЬW(wǎng)絡(luò)應(yīng)用的新型接入網(wǎng)關(guān)，一般位于骨干網(wǎng)的邊緣層，可以完成用戶帶寬的IP/ATM網(wǎng)的數(shù)據(jù)接入。以BAS設(shè)備做為用戶接入網(wǎng)關(guān)可以有效減少網(wǎng)絡(luò)管理成本，實(shí)現(xiàn)靈活的分組用戶管理策略，實(shí)現(xiàn)靈活的策略路由和用戶級(jí)安全策略。

而802.1X協(xié)議是典型的基于C/S架構(gòu)的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)接入端口(access port)訪問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1X對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1X只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。802.1X協(xié)議還可以根據(jù)用戶完成認(rèn)證和離線間的時(shí)間進(jìn)行時(shí)長(zhǎng)計(jì)費(fèi)。

相對(duì)PPPoE協(xié)議來(lái)說(shuō)，802.1X協(xié)議需要使用特定廠商客戶端軟件，可以有效解決客戶端防共享的問(wèn)題，相對(duì)于在校園有限的地理環(huán)境內(nèi)花費(fèi)一定的成本進(jìn)行客戶端分發(fā)和維護(hù)工作還是較容易接受。在這種運(yùn)營(yíng)模式中，學(xué)校提供網(wǎng)絡(luò)設(shè)備、綜合布線系統(tǒng)等基礎(chǔ)網(wǎng)絡(luò)設(shè)施，運(yùn)營(yíng)商提供帶寬和賬號(hào)，通過(guò)BAS設(shè)備設(shè)置不同認(rèn)證域?yàn)橛脩籼峁┙炭凭W(wǎng)和運(yùn)營(yíng)商等不同上層鏈路出口，實(shí)現(xiàn)學(xué)生流量分流，由學(xué)校統(tǒng)一進(jìn)行網(wǎng)絡(luò)運(yùn)維，學(xué)生可以根據(jù)自己對(duì)網(wǎng)絡(luò)的需求有多種選擇，學(xué)校和運(yùn)營(yíng)商能夠保持“相對(duì)平等”的關(guān)系，不致被某個(gè)運(yùn)營(yíng)商一家獨(dú)大，可以進(jìn)行“多運(yùn)營(yíng)商平等競(jìng)爭(zhēng)運(yùn)營(yíng)”模式的嘗試，從而給校園用戶提供更優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。因此，采用基于BAS設(shè)備的校園網(wǎng)802.1X二次認(rèn)證用戶接入技術(shù)能夠解決以上問(wèn)題。

我們?cè)诰唧w實(shí)施過(guò)程中主要進(jìn)行了以下幾個(gè)方面的策略選擇。

1.技術(shù)方案選擇

應(yīng)堅(jiān)持網(wǎng)絡(luò)扁平化、用戶端操作不變的原則，當(dāng)校園網(wǎng)絡(luò)用戶使用運(yùn)營(yíng)商賬號(hào)上網(wǎng)認(rèn)證時(shí)， BAS設(shè)備在收到客戶端認(rèn)證請(qǐng)求時(shí)會(huì)首先將用戶信息（用戶名、密碼、MAC地址）送到學(xué)校自有Radius認(rèn)證系統(tǒng)進(jìn)行預(yù)認(rèn)證，預(yù)認(rèn)證通過(guò)后再將用戶信息（用戶名、密碼）送到運(yùn)營(yíng)商Radius認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，兩次認(rèn)證成功后由BAS設(shè)備分配IP地址、掩碼、安全策略等接入互聯(lián)網(wǎng)，其中學(xué)校Radius認(rèn)證系統(tǒng)除了進(jìn)行用戶名、密碼認(rèn)證外，還增加綁定MAC地址的認(rèn)證，解決可管理性和安全性的問(wèn)題。

2.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和域設(shè)置

在實(shí)踐中，為提高宿舍校園網(wǎng)運(yùn)行的可靠性，我們按每位學(xué)生單獨(dú)端口單獨(dú)VLAN的標(biāo)準(zhǔn)對(duì)宿舍網(wǎng)絡(luò)進(jìn)行“扁平化大二層”改造，增配網(wǎng)絡(luò)布線系統(tǒng)，采用QinQ方式在樓宇匯聚交換機(jī)分配內(nèi)、外層Tag VLAN，對(duì)用戶實(shí)現(xiàn)端口隔離，在BAS設(shè)備開(kāi)設(shè)三個(gè)功能域，一是電信運(yùn)營(yíng)商域，域內(nèi)配置“認(rèn)證”和“預(yù)認(rèn)證”參數(shù)，分配運(yùn)營(yíng)商IP地址，通過(guò)二次認(rèn)證向用戶提供運(yùn)營(yíng)商接入服務(wù)；二是教科網(wǎng)域，承載原教科網(wǎng)用戶，使用教科網(wǎng)IP地址和策略路由；三是caijing域，認(rèn)證方式同cnc域，但用戶地址使用教科網(wǎng)地址和策略路由走教科網(wǎng)鏈路，用途是供運(yùn)營(yíng)商用戶訪問(wèn)校外免費(fèi)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)資源。BAS設(shè)備以萬(wàn)兆鏈路接入運(yùn)營(yíng)商城域網(wǎng)，默認(rèn)路由指向運(yùn)營(yíng)商，同時(shí)運(yùn)營(yíng)商鏈路用戶使用靜態(tài)路由訪問(wèn)Web、Email、教學(xué)信息、數(shù)據(jù)庫(kù)等學(xué)校網(wǎng)絡(luò)信息資源。為方便網(wǎng)絡(luò)管理，劃分業(yè)務(wù)流量和網(wǎng)管流量，我們使用單獨(dú)網(wǎng)管鏈路連接宿舍網(wǎng)絡(luò)核心設(shè)備和校園網(wǎng)核心交換機(jī)。

3.網(wǎng)絡(luò)切換相關(guān)準(zhǔn)備

為實(shí)現(xiàn)網(wǎng)絡(luò)平穩(wěn)切換，需要和運(yùn)營(yíng)商進(jìn)行管理上的溝通和協(xié)調(diào)，由于運(yùn)營(yíng)商鏈路賬號(hào)為半年預(yù)付費(fèi)卡，理論上學(xué)生每半年就會(huì)換一張卡，為避免校方和運(yùn)營(yíng)商賬號(hào)信息不同步問(wèn)題，運(yùn)營(yíng)商取消用戶自助修改密碼功能，統(tǒng)一由學(xué)校處理賬號(hào)及MAC地址綁定問(wèn)題，學(xué)校統(tǒng)一將賬號(hào)導(dǎo)入學(xué)校自有Radius認(rèn)證系統(tǒng)，并在卡銷售時(shí)記錄用戶信息及聯(lián)系方式，學(xué)校自有Radius認(rèn)證平臺(tái)具備賬號(hào)MAC地址自動(dòng)學(xué)習(xí)功能，可以自動(dòng)綁定用戶第一次認(rèn)證成功時(shí)的MAC地址，減少了用戶MAC地址登記的難度，利用原有網(wǎng)絡(luò)用戶自助系統(tǒng)處理MAC地址變更問(wèn)題。

基于BAS設(shè)備的802.1X二次接入認(rèn)證技術(shù)方案實(shí)施后，校園用戶接入方式不變，可以有多種不同層次的網(wǎng)絡(luò)服務(wù)供選擇；運(yùn)營(yíng)商通過(guò)監(jiān)控BAS設(shè)備和賬號(hào)即可掌握運(yùn)維情況；學(xué)校網(wǎng)管人員能夠在學(xué)校自有認(rèn)證系統(tǒng)中實(shí)時(shí)檢索用戶登錄錯(cuò)誤日志、歷史登錄日志等運(yùn)維信息，對(duì)網(wǎng)絡(luò)故障定位和解決用戶問(wèn)題提供強(qiáng)有力的幫助。由于賬號(hào)綁定MAC地址，賬號(hào)安全性和可管理性大幅提高，用戶體驗(yàn)和后續(xù)運(yùn)維管理反映良好。