摘要：本文對(duì)寬帶IP網(wǎng)建設(shè)與發(fā)展過(guò)程中產(chǎn)生的多種認(rèn)證與計(jì)費(fèi)的前沿技術(shù)進(jìn)行分析、比較和研究，提出了基于802.1x等協(xié)議對(duì)寬帶校園網(wǎng)認(rèn)證、授權(quán)、計(jì)費(fèi)管理系統(tǒng)的解決方案，全面解決了上網(wǎng)用戶身份認(rèn)證、流量計(jì)費(fèi)、收費(fèi)、接入管理等校園網(wǎng)應(yīng)用中面臨的核心問(wèn)題。

關(guān)鍵詞：校園網(wǎng)；認(rèn)證；計(jì)費(fèi)

1 緒論

學(xué)校為了加快信息化建設(shè)的步伐，給全體教師學(xué)生創(chuàng)造一個(gè)一流的上網(wǎng)環(huán)境，使全體師生能方便自如地上網(wǎng)學(xué)習(xí)、交流信息、查詢資料，保證網(wǎng)絡(luò)運(yùn)營(yíng)有效暢通，學(xué)校要求把校園網(wǎng)建設(shè)成一個(gè)安全可靠、可運(yùn)營(yíng)、可管理的網(wǎng)絡(luò)。本文主要研究?jī)?nèi)容是網(wǎng)絡(luò)安全技術(shù)的重要組成部分的認(rèn)證計(jì)費(fèi)技術(shù)，訪問(wèn)控制技術(shù)最新熱點(diǎn)技術(shù)IEEE802.lx在校園網(wǎng)中的應(yīng)用和實(shí)現(xiàn)。利用互聯(lián)網(wǎng)技術(shù)，在已有的校園網(wǎng)絡(luò)架構(gòu)的基本上，實(shí)現(xiàn)對(duì)全校教學(xué)、辦公、生活區(qū)的所有接入到校園網(wǎng)的師生提供認(rèn)證、計(jì)費(fèi)和授權(quán)的服務(wù)。

2 需求分析

經(jīng)過(guò)這幾年網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)和完善，校園網(wǎng)作為服務(wù)于全校教育、科研和行政管理的計(jì)算機(jī)信息網(wǎng)絡(luò)，實(shí)現(xiàn)了計(jì)算機(jī)互聯(lián)、信息資源的共享，并通過(guò)CERNET與Internet互聯(lián)。在滿足學(xué)校教職員工、學(xué)生連入互聯(lián)網(wǎng)進(jìn)行正常的教學(xué)、科研任務(wù)的同時(shí)，也逐步面臨一個(gè)新的問(wèn)題，那就是如何規(guī)范、有效地對(duì)網(wǎng)絡(luò)進(jìn)行管理，保證校園網(wǎng)正常穩(wěn)定地運(yùn)行。并且隨著接入校園網(wǎng)用戶的日漸增多，和基于寬帶的應(yīng)用的逐漸增加，如視頻點(diǎn)播、視頻會(huì)議等，因此，如何合理計(jì)費(fèi)的問(wèn)題已經(jīng)逐漸凸顯出來(lái)。

3 認(rèn)證系統(tǒng)的總體設(shè)計(jì)

3.1 系統(tǒng)功能設(shè)計(jì)

認(rèn)證系統(tǒng)必須實(shí)現(xiàn)以下功能，才能算是一個(gè)比較完整的認(rèn)證系統(tǒng)：

（l） 用戶接入控制功能：打開IEEE802.lx認(rèn)證功能后，缺省情況下，所有用戶都處在未認(rèn)證狀態(tài)。此時(shí)，用戶對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)的所有信息都將被交換機(jī)禁止，當(dāng)然不包括認(rèn)證過(guò)程需要的報(bào)文。交換機(jī)將為認(rèn)證需要的報(bào)文維護(hù)一個(gè)專門的通道，保證所有用戶都可以進(jìn)行正常的認(rèn)證過(guò)程。用戶認(rèn)證通過(guò)后，交換機(jī)才允許該用戶訪問(wèn)網(wǎng)絡(luò)的所有信息通過(guò)。

（2） 重認(rèn)證功能：在設(shè)定的重認(rèn)證時(shí)間后自動(dòng)向用戶 （IEEE802.lx客戶端軟件）發(fā)出重認(rèn)證請(qǐng)求，以再次驗(yàn)證用戶身份的合法性。

（3） 認(rèn)證計(jì)費(fèi)服務(wù)器參數(shù)設(shè)置靈活：交換機(jī)可以設(shè)置認(rèn)證服務(wù)器IP地址、認(rèn)證UDP端口、計(jì)費(fèi)服務(wù)器護(hù)地址、備份計(jì)費(fèi)服務(wù)器IP地址、計(jì)費(fèi)UDP端口、認(rèn)證服務(wù)器與認(rèn)證者（交換機(jī)）的驗(yàn)證字。特點(diǎn)是設(shè)置靈活方便，同時(shí)可靠性高。認(rèn)證服務(wù)器通常使用Radius服務(wù)器。

3.2系統(tǒng)總體設(shè)計(jì)

本系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖3-1所示：

（1）校園網(wǎng)拓?fù)鋱D

在圖3-2中，核心交換機(jī)為cisco7613、cisco6509系列交換機(jī)。匯聚層設(shè)備為cisco4506、 cisco3750等三層以太網(wǎng)交換機(jī)。接入層設(shè)備為cisco2950系列以太網(wǎng)交換機(jī)。數(shù)據(jù)中心有AAA服務(wù)器、DHCP服務(wù)器、WWW服務(wù)器，在校園網(wǎng)接入中，cisco2950以太網(wǎng)交換機(jī)放在小區(qū)的弱電機(jī)房?jī)?nèi)，向上通過(guò)光纖連接到小區(qū)匯聚層設(shè)備cisco4506交換機(jī)，再通過(guò)光纖接入到網(wǎng)絡(luò)中心核心設(shè)備（如cisco7613等）。

（2）客戶端用戶認(rèn)證過(guò)程

Cisco2950系列以太網(wǎng)都提供802.1x特性，可以對(duì)用戶進(jìn)行802.1x認(rèn)證。計(jì)算機(jī)上網(wǎng)必須先進(jìn)行認(rèn)證：在本計(jì)算機(jī)上啟動(dòng)802.1x終端軟件，輸入用戶名和密碼；可以通過(guò)Radius服務(wù)器進(jìn)行遠(yuǎn)端認(rèn)證。一般情況下交換機(jī)和Radius認(rèn)證服務(wù)器之間傳輸?shù)氖菢?biāo)準(zhǔn)的Radius報(bào)文，下面介紹在這種情況下802.1x認(rèn)證的數(shù)據(jù)交互過(guò)程。

（3） DHCP自動(dòng)分配IP地址

用戶計(jì)算機(jī)開機(jī)后會(huì)通過(guò)DHCP報(bào)文申請(qǐng)IP地址。接入層交換機(jī)、匯聚層交換機(jī)會(huì)將此請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給DHCP服務(wù)器。DHCP服務(wù)器通過(guò)應(yīng)答報(bào)文給用戶PC分配IP地址。有了IP地址后，用戶就可以上網(wǎng)了。

（4）數(shù)據(jù)存儲(chǔ)與備份

本系統(tǒng)目前設(shè)計(jì)支持Red Hat Enterprise Linux AS： release 3平臺(tái)，數(shù)據(jù)庫(kù)采用MS SQL Server2000。認(rèn)證計(jì)費(fèi)的數(shù)據(jù)量非常龐大，而且需要長(zhǎng)期保存，因此數(shù)據(jù)應(yīng)該存儲(chǔ)在諸如存儲(chǔ)陣列等大容量存儲(chǔ)設(shè)備中，并有容錯(cuò)和備份功能。計(jì)費(fèi)數(shù)據(jù)對(duì)運(yùn)營(yíng)中心來(lái)說(shuō)至關(guān)重要，因此必須保證數(shù)據(jù)存儲(chǔ)的安全性和可靠性，并能做到備份與恢復(fù)。主要手段有：

（1） 磁盤陣列啟用RAID5，實(shí)現(xiàn)冗余；

（2） 數(shù)據(jù)庫(kù)兩臺(tái)機(jī)器進(jìn)行熱備份，主備數(shù)據(jù)庫(kù)服務(wù)器同時(shí)運(yùn)行，共享同一個(gè)磁盤陣列，當(dāng)一臺(tái)服務(wù)器崩潰時(shí)，另一臺(tái)數(shù)據(jù)庫(kù)可以在很短的時(shí)間內(nèi)的時(shí)間內(nèi)接管系統(tǒng)，不中斷服務(wù)。

（3） 定期用光盤、磁帶機(jī)備份數(shù)據(jù)，可以每天備份一次，當(dāng)系統(tǒng)中的數(shù)據(jù)丟失后，可以恢復(fù)前一天數(shù)據(jù)。

4 認(rèn)證計(jì)費(fèi)系統(tǒng)的實(shí)現(xiàn)

本系統(tǒng)主要模塊涵蓋了數(shù)據(jù)業(yè)務(wù)的業(yè)務(wù)受理、用戶認(rèn)證、業(yè)務(wù)計(jì)費(fèi)、資源管理等領(lǐng)域，是一套完整的數(shù)據(jù)業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)。

用戶自助服務(wù)系統(tǒng)：系統(tǒng)提供一個(gè)面向用戶開放的WEB站點(diǎn)，為每個(gè)數(shù)據(jù)業(yè)務(wù)用戶提供基本的計(jì)費(fèi)及賬單數(shù)據(jù)查詢服務(wù)，使得用戶清楚自己的上網(wǎng)時(shí)間、流量及賬單數(shù)據(jù)，還可以在線修改自己的登錄口令。

5 系統(tǒng)測(cè)試

測(cè)試的目的是為了發(fā)現(xiàn)設(shè)計(jì)和編程過(guò)程中的錯(cuò)誤，檢驗(yàn)系統(tǒng)是否能滿足設(shè)計(jì)時(shí)的要求。因此，測(cè)試在整個(gè)開發(fā)過(guò)程中處于相當(dāng)重要的地位。本系統(tǒng)測(cè)試分為系統(tǒng)功能測(cè)試和安全測(cè)試兩個(gè)階段。主要采用測(cè)試方法有白盒測(cè)試和黑盒測(cè)試。測(cè)試內(nèi)容主要有：假冒用戶身份、共享MAC上網(wǎng)、利用代理軟件上網(wǎng)、利用路由器共享上網(wǎng)。系統(tǒng)測(cè)試階段的焦點(diǎn)集中在整個(gè)802.1x認(rèn)證系統(tǒng)的功能和性能上是否能滿足設(shè)計(jì)目標(biāo)。安全測(cè)試階段主要進(jìn)行基于對(duì)非法用戶的接入進(jìn)行測(cè)試。

6. 結(jié)束語(yǔ)

校園網(wǎng)的認(rèn)證計(jì)費(fèi)問(wèn)題是校園網(wǎng)建設(shè)的一個(gè)重要的組成部分，為了滿足高校管理方便、計(jì)費(fèi)準(zhǔn)確、建網(wǎng)成本低的突出要求，通過(guò)對(duì)各種認(rèn)證計(jì)費(fèi)技術(shù)的比較，提出了基于802.1x的計(jì)費(fèi)管理模式。解決了校園網(wǎng)用戶身份認(rèn)證、授權(quán)，流量、時(shí)間計(jì)費(fèi)，接入管理等寬帶IP網(wǎng)應(yīng)用過(guò)程中面臨的核心問(wèn)題。本系統(tǒng)經(jīng)過(guò)測(cè)試和試用，效果良好。系統(tǒng)運(yùn)行正常、穩(wěn)定，認(rèn)證速度快，計(jì)費(fèi)準(zhǔn)確，達(dá)到了預(yù)期的目的。

參考文獻(xiàn)

[1] 邢京武，何濤. CCNA學(xué)習(xí)指南-cisco certified network associate （exam 640-801）（中文版） 北京：人民郵電出版社，2014：50-54

[2] 韓江，黃海.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程 人民郵電出版社2017

[3] Simpson W Editor. The Point-to-Point Protoeol （PPP）.STD51， RFC 1661， July， 2014

[4] 郭放. 校園網(wǎng)以太寬帶接入方案研究. 微型電腦應(yīng)用. 2017

[5] 肖志新，楊岳湘等. 基于802.lx的寬帶認(rèn)證技術(shù)在校園網(wǎng)中的應(yīng)用仁 計(jì)算機(jī)系統(tǒng)應(yīng)用 2004

作者簡(jiǎn)介：陳首忠（1980- ），男，廣東湛江，本科，研究方向：信息技能、網(wǎng)絡(luò)安全。

（作者單位：廣州南洋理工職業(yè)學(xué)院）