基于IP控制网关和802.1x的校园.PDF

基于IP控制网关和802.1x的校园 网认证记费解决方案 北京大学计算中心 2008年1月9 日 n 校园网用户的认证和记费，是校园网管理工作中的关键性 任务。 n 授权目前主要针对具体应用系统，目前还不是校园网管理 工作。 n 理想的校园网认证计费系统： （1）对网络用户进行有效的管理和控制，以确保网络的 安全性， （2 ）适合校园网计费实际需要的计费方式。 n IP控制网关（IP control Gateway ） n 802.1x认证 IEEE 802.1x协议 n 802.1x协议由IEEE于2001年提出，它是一 种基于端口的网络访问控制协议。 n 802.1x协议起源于802.11协议，它的提出 最初是为了解决无线局域网用户的接入认 证问题。但是，802.1x协议不仅仅适用于 无线局域网，它同样适用于有线局域网。 802.1x认证体系 n 请求者是局域网中的一个结点，通常是局域网中支持802.1x的用户终 端设备 （客户端）。 n 认证者负责对请求者进行认证，它通常是支持802.1x协议的网络设备 （例如交换机或AP ）。 n 认证服务器负责提供认证服务，它通常是RADIUS服务器。 n 802.1x使用可扩展认证协议（Extensible Authentication Protocol，简称为EAP ）在 请求者、认证者和认证服务器之间传递认 证数据。EAP通常是工作在数据链路层。 可控端口和非可控端口 n 认证者与请求者连接的接入端口由可控端口和非可控端口 组成。非可控端口始终处于打开状态，负责传递EAP报文。 受控端口在认证前处于关闭状态，只在认证成功后打开。 受控端口负责传递各种网络数据。因此，请求者必须通过 认证才能访问网络资源。 802.1x认证的特点 n （1）安全性：在接入层对用户进行认证和控制，比传统的认证方式 （例如基于网关的认证方式）更安全。 n （2 ）认证协议所在网络层：数据链路层。因此，通过认证前，无需 给请求者分配IP地址。 n （3）对客户端的要求：作为请求者的客户端必须要运行802.1x客户 端软件。 n （4 ）对网络设备的要求：作为认证者的网络设备 （如交换机或AP ） 必须支持802.1x协议。 n （5）网络记费：802.1x协议本身并没有给出计费方案。尽管作为认 证服务器的RADIUS服务器能提供一定的记费功能，但802.1x认证体 系中的RADIUS服务器不能 用户访问的IP地址来对用户进行计费 （比如区分国际、国内流量进行记费）。而 用户访问的IP地址来对 用户进行计费是校园网记费系统不可缺少的功能。 IP控制网关简介 n 基于透明网关的设计思想，北京大学计算中心自行设计开 发了千兆IP控制网关（IP control Gateway，简称IPcG ）。 n IPcG工作于千兆网络环境中，实时检查网络链路上通过的 数据包的IP地址等信息，并根据计费策略控制数据包的转 发，从而控制校内IP地址的对外访问。同时，IPcG能统计 相关网络流量、访问记录等信息。 n IPcG通过软件实现，适应于通用开放平台 （主流PC服务 器、通用网卡、操作系统），易于维护和升级。 IP控制网关（IPcG ）体系结构 注：用户也可使用专用的客户端进行认证 IPcG实际运行情况 n 2002年，IPcG在 大校园网正式部署和实施，架设于出 口路由器和出口交换机之间的双IPcG系统共同承载着北京 大学的出口流量。五年多时间的实际运行证明，IPcG很好 地满足了校园网计费和管理的需要。 n 目前，IPcG系统已经在中国农业大学、北京地质大学等十 多所高校中实际运行。 IPcG的特点 n （1）安全性：存在一定的安全隐患。主要表现在：不能在接入层对 用户进行认证和控制。 n （2 ）认证协议所在网络层：IP层。在认证前，必须保证所有请求认 证的用户（客户端）都能够获得 （静态或动态获得）和使用有效的IP 地址，无论这些用户是否合法。在这种认证体系下，不合法的用户也 可以得到和使用有效的IP地址，这既增 了网络的不安全因素，也造 成