王紅麗 趙紅霞 王蓉

摘要：校園網(wǎng)接入認證系統(tǒng)是目前很多高校局域網(wǎng)內(nèi)使用的，基于80.21X協(xié)議的接入認證方式。該文以h3c的接入認證系統(tǒng)CAMS為例，講解一下接入認證系統(tǒng)的原理及使用中出現(xiàn)的問題。

關(guān)鍵詞：校園網(wǎng)；接入認證；802.1X

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）09-0144-02

1認證原理

高校的網(wǎng)絡(luò)是一個大的園區(qū)網(wǎng)，也就是局域網(wǎng)。這個大的園區(qū)網(wǎng)面臨的網(wǎng)絡(luò)安全問題不僅來自外部的互聯(lián)網(wǎng)，更多的來自內(nèi)部的局域網(wǎng)使用者。很多用戶出于好奇或者惡意報復(fù)等心理會攻擊校園網(wǎng)絡(luò)，事件嚴重甚至會造成網(wǎng)絡(luò)癱瘓，所以如何有效地管理和控制接入用戶的有效性和安全性，是高校園區(qū)網(wǎng)絡(luò)面臨的很重要的問題。

我們以H3C的接入控制系統(tǒng)CAMS為例，該接入認證系統(tǒng)可以無縫連接所有同品牌交換機及路由器。CAMS全稱綜合訪問管理服務(wù)，它可以配合交換機、寬帶接入服務(wù)器等接入層設(shè)備，完成對用戶上網(wǎng)過程的認證、授權(quán)和計費。CAMS側(cè)重于對企業(yè)、校園、小區(qū)和酒店的網(wǎng)絡(luò)使用進行控制和管理，在基本的認證計費功能之上，CAMS提供了更強大的用戶認證、計費和管理平臺，可以實現(xiàn)網(wǎng)絡(luò)的可管理、可運營，保證網(wǎng)絡(luò)和用戶信息的安全。

CAMS接入控制系統(tǒng)使用的是基于802.1X的認證管理技術(shù)，隨著大規(guī)模的網(wǎng)絡(luò)發(fā)展，越來越多的局域網(wǎng)在接入互聯(lián)網(wǎng)之前都啟用對用戶的接入進行控制和配置。802.1X是一種基于端口的認證協(xié)議，是一種對用戶進行認證的方法和策略。在用戶需要聯(lián)網(wǎng)時，首先客戶端的認證請求通過交換機上傳至接入認證服務(wù)器，服務(wù)器接收到請求后，需要驗證用戶身份，如果用戶的口令正確，則允許通過。如果口令或用戶名、密碼錯誤等，則服務(wù)器會發(fā)送錯誤指令代碼到客戶端，此時需修改后重新認證才能通過。

2認證特點

我們使用的CAMS校園網(wǎng)認證服務(wù)是基于用戶名、密碼、IP地址、MAC地址、端口號五合一的認證，有任何一個錯誤都不能通過認證。即每個上網(wǎng)賬號都有唯一的、系統(tǒng)分配好的用戶名、密碼，同時對應(yīng)自己的房間號和上網(wǎng)機器的MAC地址以及機器的唯一IP地址。CAMS認證系統(tǒng)的特點有以下幾方面。

1）認證的安全性：CAMS除了可以完成基本的基于用戶名、密碼的認證功能外，還支持對用戶IP、MAC、接入設(shè)備、接入端口和VLAN（虛擬網(wǎng)）的綁定認證，并可控制用戶的訪問權(quán)限和上網(wǎng)帶寬。

2）計費方式的靈活性：CAMS采用的計費模型具有良好的適應(yīng)性，能夠為用戶提供靈活的計費策略，可以支持包月、包月限時、分檔計費、獎勵等多種計費方案。

3）強大的用戶管理：CAMS支持卡號、賬號兩種用戶，可以批量生成和回收卡號、批量導(dǎo)入賬號；并提供賬號用戶的預(yù)注冊、賬號附加信息設(shè)置、用戶數(shù)據(jù)查詢與導(dǎo)出、統(tǒng)計報表等輔助管理功能。

CAMS認證系統(tǒng)提供了一種用戶接入認證的手段，認證的最終目的就是確定一個端口是否可用。如果認證成功，那就“打開”這個端口，允許所有的報文通過；如果認證不成功，就使這個端口保持“關(guān)閉”。認證的結(jié)果過在于端口狀態(tài)的改變，而不涉及其他認證技術(shù)所考慮的IP地址協(xié)商和分配問題，是各種認證技術(shù)中最為簡單的。[1]

3常見問題

了解CAMS認證系統(tǒng)的基本原理以后，認證過程也就不再那么神秘了。但是用戶在使用過程中依然會遇到很多問題，系統(tǒng)后臺的認證失敗日志記錄了最終用戶認證失敗時的登錄名、用戶類型、認證失敗原因、賬號名、用戶姓名、用戶MAC地址、用戶IP地址、接入設(shè)備IP地址、接入設(shè)備端口號等信息，在這里我們把系統(tǒng)客戶端的常見提示問題匯總?cè)缦隆?/p>

3.1用戶不存在或者用戶沒有申請該服務(wù)

系統(tǒng)管理員為每個上網(wǎng)賬號分配好了用戶名和密碼，必須使用系統(tǒng)指定的用戶名和密碼才能通過認證，所以必須牢記自己的上網(wǎng)賬號。如果系統(tǒng)提示用戶不存在或者用戶沒有申請該服務(wù)，說明使用了錯誤的用戶名，請重新核實后再重新連接或與系統(tǒng)管理員聯(lián)系獲取正確的用戶名。

3.2用戶密碼錯誤，將被加入黑名單

默認使用初始密碼登錄，如果自己更改了用戶密碼而又不記得?？梢詰{借有效憑證聯(lián)系管理員初始化密碼。

3.3靜態(tài)IP地址綁定檢查失敗

如果客戶端系統(tǒng)提示靜態(tài)IP地址綁定檢查失敗，有以下三種可能：在認證客戶端忘記選擇上傳IP地址選項；把IP地址設(shè)置在虛擬網(wǎng)卡上了，必須是真實有效的本地網(wǎng)卡才可以；網(wǎng)卡選擇正確，IP地址本身設(shè)置錯誤，把系統(tǒng)管理員分配的地址填寫錯了；請對照自己的實際問題一一檢查各項有沒有錯誤。

3.4 MAC地址綁定檢查失敗

H3C認證系統(tǒng)是基于802.1X的五合一認證，如果更換上網(wǎng)電腦、更換房間或者更換電腦主板，相應(yīng)的網(wǎng)卡地址會發(fā)生變更。這種情況徐要與系統(tǒng)管理員聯(lián)系，通過系統(tǒng)后臺修改后才能重新認證上網(wǎng)。

3.5認證通過后無法打開網(wǎng)頁

如果H3C的客戶端認證已經(jīng)通過，但仍然不能連接到互聯(lián)網(wǎng)。這種情況下，說明物理線路沒有問題，是五合一認證中的地址設(shè)置及子網(wǎng)掩碼、網(wǎng)關(guān)、DNS設(shè)置有錯誤。請在“開始/控制面板/查看網(wǎng)絡(luò)狀態(tài)和任務(wù)/更改適配器設(shè)置/本地連接”中雙擊本地連接，打開屬性面板，選擇“Internet協(xié)議版本4”在面板中查看核對地址設(shè)置及相關(guān)信息，必須一一設(shè)置正確才能聯(lián)網(wǎng)。

以上幾方面就是用戶使用中的常見問題，為了保證CAMS系統(tǒng)的可靠性和可追溯性，CAMS認證系統(tǒng)提供了完善的日志跟蹤及查詢功能，系統(tǒng)管理員可以通過查詢記錄到后臺的認證失敗日志來了解用戶認證失敗的原因等信息。

參考文獻：

[1] 魏楚元.大型園區(qū)網(wǎng)絡(luò)建設(shè)與管理[M].北京：機械工業(yè)出版社，2015：226.