PPPoE认证在校园网中的应用.ppt

PPPoE认证在校园网中的应用 华中农业大学 网络中心 马力 叶颖泽2009-5-21 校园网用户认证计费模式现状 大部分高校采用802.1x认证模式 有的高校采用基于Web或专用客户端的Portal认证模式 计费策略主要有：包月、包月限流量 基于Web或专用客户端的Portal认证模式 基于Web或专用客户端的Portal认证模式 使用Web浏览器或专用客户端和认证服务器交互 在出口网关上实现用户控制 优点：部署简单; 对基础网络设备要求很低;易于实现按流量、按目的IP计费等功能 缺点： 流量大时Portal服务器会成为瓶颈 对用户接入和使用基础网络难以控制，受ARP攻击影响大 802.1x接入认证模式 802.1x接入认证模式 专用客户端软件、接入交换机和Radius服务器三者交互，实现AAA 优点：在网络边缘实现用户控制；认证系统独立于出口设备；防代理；按流量计费 缺点： 对接入交换机要求高；要实现特色功能则要求交换机是同一厂家的 受ARP攻击影响大；按流量计费易与用户产生争议；难以实现按带宽计费 ARP攻击及防御 攻击主机通过ARP欺骗造成同一局域网内用户大面积、频繁断网，并借此传播病毒 通常的防御策略： 汇聚交换机和802.1x接入交换机上相互做ARP绑定 接入交换机上做用户物理端口隔离 敦促用户安装杀毒软件和ARP防火墙 发现攻击时追查攻击源，然后封账号/封端口 PPPoE认证模式 接入网 Radius Server PPPOE BAS ATM/IP网 PORTAL Server 3、BAS和Radius server配合验证PPPOE用户 1、用户发起PPPOE呼叫 2、BAS终结PPPOE 5、用户获得合法IP地址，可以上网 4、BAS分配IP地址或做NAT 5、Radius server对用户计费 PPPoE认证模式 拨号软件、BAS(Broadband Access Server)和Radius服务器三者交互 特点： BAS通常部署在汇聚层 接入层为二层VLAN，并在BAS上终结 BAS和用户PC透过以太网建立PPP连接 用户PC之间的网络层通讯也需要通过BAS 通常由BAS负责分配IP和做NAT PPPoE认证模式 优点： 多BAS时负载分散 ARP攻击完全失灵 克服了做端口隔离时用户间正常通讯受阻的缺点 在BAS上做ACL防病毒防攻击 可实现包月限带宽计费策略 对接入交换机要求很低 IP地址非常节约 缺点： 需购买若干台BAS设备 用Windows XP自带的拨号软件不能实现防代理 PPPoE认证模式在我校的应用 2008年初，学校要求对办公区逐步实现认证计费以规范办公用户的管理 经过比较分析，最终选择了PPPoE这一运营商常用的更易于进行运维管理的认证计费模式 PPPoE认证模式在我校的应用 普通用户拨号上网 服务器和教室电脑通过IP专线接入（无需认证、ARP绑定、限带宽） 2008年3月以微生物楼为试点，开始实施，试点中不断完善配置方案，9月份开始推广，2008年共完成28栋办公楼的改造，并在荟园12栋学生宿舍试点将802.1x认证改为PPPoE认证 ，目前办公区改造已基本结束 VLAN规划（认证用户、 网管、服务器、教室） BRAS A楼 服务器VLAN A楼认证用户VLAN 教室VLAN B楼 汇聚交换机 VLAN规划示意图 B楼认证用户VLAN A楼网管VLAN B楼网管VLAN PPPoE认证模式在我校的应用 增加的设备及软件： 一台ZTE ZXUAS 10600宽带接入服务器 一套ZTE ZXISAM 营业收费系统 采用包月限带宽计费策略，注册用户数近4000，在线用户数一般2300，下行流量峰值420Mbps 实际使用效果：用户很少报故障，终端维护工作量大幅降低 PPPoE认证模式在我校的应用 BRAS 处理器利用率 内存占用率(09:30AM，在线用户2023 人) 结束语 相关技术进步很快，准备不够充分，错误之处难免 希望能借此机会抛砖引玉，与各位领导、专家共探讨！ 谢谢各位 领导及专家！ 华中农业大学网络中心 叶颖泽 马力