基于Portal认证的电信宽带接入在校园网中的应用.docVIP

基于Portal认证的电信宽带接入在校园网中的应用 摘要：根据校园网运营的现状分析，本文提出了校园网用户采用Portal认证的电信宽带接入Internet的方案，并介绍了该方案的系统架构和特点，以及方案的实施步骤。经过运营实践证明该方案安全、稳定，低投资高回报，保证了校园网的可持续运营，实现了“以网养网”的目的 关键词：Portal认证；宽带接入：校园网 中图分类号：TP393.18　文献标识码：B　文章编号：1673-8454(2011)21-0079-02 一、引言 随着互联网应用和信息资源不断地丰富，校园网用户对接入Internet的网络带宽的需求越来越大，同时校园网用户不断地增多，校园网互联网出口带宽需要不断地扩容，致使校园网出口带宽费用越来越高，运营压力越来越大。本文提出了校园网用户采用Portal认证的电信宽带接入Internet，校园网保持自治，电信提供互联网带宽、认证计费和流量控制的技术方案，与学校共同运营．为学校师生提供Internet接入服务。校园网自治可以保持校园网的传统三层结构，有利于学校进一步建设和普及校园网的应用，有利于师生网络之间的互联互通和资源共享、电信运营商的优势在于他们的互联网出口带宽资源丰富，认证计费平台和网络服务质量的保证都已非常成熟和稳定，能够为师生提供专业的宽带接入服务。两者结合可以使学校的网络和信息部门从为师生提供Internel接入服务的工作中解放出来，专注于学校的信息化建设和网络技术的研究，另外，也可以为学校节省网络出口带宽、认证计费平台、网络出口设备和专业流量控制设备的投资 二、基于PortaI认证的校园宽带接入方案 1.系统架构 (1)物理连接 为实现基于Portal认证的校园宽带接入网络，电信将在校方网络中心机房新建综合接入例关设备及信息安全和宽带共享监控设备。综合接入网关通过宽带城域网专线接入互联网，学校的核心交换机通过千兆链路与信息安全和宽带共享监控设备相连接，再通过千兆链路与综合接入网关相连。综合接入网关设备连接了校园网与电信的宽带城域网。主要完成校同网内部TP地址到电信的公网IP地址的地址转换，Portal认证页面推送，以及防火墙等功能。信息安全和宽带共享监控设备主要是完成用户行为审计和记录、共享上网检测等功能。学校的核心交换机主要完成策略路由功能。拓扑结构如图1所示 (2)用户认证流程 如图2.用户在IE上输入页面，由位于电信局端BAS检测此IP是否已经通过认证，如果没有通过认证．则重定向到Portal服务器发起访问请求。请求通过下台防火墙至负载均衡设备后，通过负载均衡设备发送至某一台正常工作的Portal服务器．Portal服务器返回认证界面，IE打开此界面时会检测到超链接．此时会发起HTTP请求下载，Portal服务器接到请求后，向用户返同指定的页面。用户输入账号密码后，点认证，IE把HTFP POST请求发给负载均衡设备，负载均衡设备收到请求后分发到其中一台工作的Portal Server.Portal Servel收到帐号密码后进行预认证，此时会查询一次数据库，根据查询结果判断帐号是否已经绑定，如果未绑定则进入绑定流程，如果已绑定则向BAS发起认证，此认证过程为Portal协议，BAS收到UDP报文后，把相关信息如帐号、密码、用户IP、NAS IP等通过RadlUS协议发送给负载均衡设备．负载均衡设备收到Radius报文后．分发到正常工作的Radius服务器，Radius Server收到认证请求后对帐号进行认证，此时会查询一次用户表数据，如果认证成功则还需要查询一次在线表，判断用户是否已经在线，末在线则写入一次在线表记录．并返回认证结果：如果帐号是不可用的，则不会查询在线表，直接返回认证失败结果给BAS；BAS收到认证结果后返回认证结果给Portal Server．Portal Server收到认证结果后，根据认证结果返回不同的提示信息给用户，并且．转到认证成功界面．完成整个认证过程 2.方案特点 该宽带接入方案并不改变校园网内部网络拓扑结构，简单易行。电信提供管理平台，学校管理员可以对帐号进行关停、复通处理。提供对上网帐号的查询、控制功能。提供对各种应用系统的分权管理。能进行共享上网检测、系统报表功能。能对采用HUB＼无线AP等共享没备和采用代理方式进行共享上网的普通用户等进行判断和限制、干扰。能对网站访问、邮件收发、P2P下载、论坛、在线视频等事件进行全面有效管理。能进行上网时段管理 三、基于Portal认证的校园宽带接入实施步骤 1.开通综合接入网关到中国电信局端的链路 由电信负责铺设电信端至学校端的光纤线路。根据用户数量决定提供几条链路。考虑到网络的可靠性，一般至