XX学院点对互联网专线接入与认证措施.docVIP

内部公开 注意保密 陕西XX学院点对互联网专线 接入与认证解决方案 陕西联通集团客户响应中心 2009年11月 客户情况与业务需求 陕西XX大学现有两个校区，总面积2003亩，其中西安校区占地面积1590亩，是学校的主校区，用于本科生和研究生教育；咸阳校区占地面积413亩，用于高等职业技术教育与继续教育；目前西安校区约有学生3000人左右。 根据客户现场调研结果，确认客户校园网组网结构如下： 说明：客户校园网目前直接接入教育网，中国电信在客户内网为学生区提供PPPoE互联网接入（按流量计费）。 学校网络部负责人陈老师明确客户业务需求如下： 西安校区需以光纤方式接入联通China169 不能对校园网当前组网结构进行任何变更 学校出于网络安全考虑对学生上网终端固定了IP地址，应尽量避免采用DHCP技术。 中国联通新增网络接入服务不会导致中国电信现有网络接入服务失败或受到明显干扰 学生计算机能够自由选择中国联通或中国电信的网络接入服务（如两者客户端拨号程序冲突，学校可负责解决） 学生计算机拨入China169后不影响对校园服务器组的访问 学生计算机之间的互访不会因拨入China169而受到影响（非必须实现） 我公司客户经理要求如下： 客户端接入能够防止私接 客户端接入能够防代理 网络接入方案 陕西XX大学客户本次有租用互联网专线的需求，但没有接入到东五路、西高新等骨干节点的特殊要求，并且今后没有双路由保护和其它SDH专线需求。 组网示意图如下： 建议直接通过“光纤＋光模块”的方式接入就近市话端局的IP节点，而不必经过MSTP网络来承载，避免占用不必要的网络资源。 可为客户提供以下业务种类及速率 以太网专线 N×10M ～ 100M 缺点：光纤单链路接入光缆终端无保护，没有安全保障。 现网认证技术分析 省内Radius平台下的集中认证（PPPoE方式） 在客户校园网核心H3C 8512至China169之间增加Huawei MA5200g一台，由省内Radius平台完成学生账号的鉴权，授权和计费。该方案技术成熟，运行稳定。目前Radius能够通过用户登陆唯一性限制实现防私接。防代理可通过城域网业务监控网关实现。 组网方式如下图： 但由于客户校园网内同时存在中国电信的BAS，两台BAS在同一网内会出现客户网络认证不稳定的现象。下图对这种双BAS的冲突方式进行了简化以便说明问题： 上网计算机拨号后首先发起PPPoE广播，本次广播与用户的拨号软件没有任何关系同时也不携带用户名等认证信息，网络上的两台BAS会同时对广播响应，响应速度快的BAS会首先与拨号计算机建立连接。两台BAS的响应速度受网络速度、设备利用率等因素限制。这样带来的结果是拨号计算机连续碰到691错误，直到正确的BAS响应。 所以省内Radius平台下的集中认证方式不能满足客户对于网络接入方式的需求。 省内Radius平台下的集中认证（L2TP-VPN方式） 在客户校园网核心H3C 8512至China169之间增加Huawei MA5200g一台，学生上网计算机安装H3C公司的专用拨号软件，两者之间使用L2TP协议建立VPN隧道完成三层设备的传统，省内Radius平台负责完成学生账号的鉴权，授权和计费。Radius通过用户登陆唯一性限制实现防私接。防代理由H3C专用拨号软件完成。 该方式能够满足业务需求，且与电信的AAA系统不会互相干扰。但存在如下问题： 需要为现有的BAS增加LNS单板； 华为与华为3Com公司之间已无产业链关系，需要与H3C采购相关软件和维保； 全省Radius系统从未测试和应用过L2TP-VPN方式下的鉴权，授权和计费。 城市热点的本地认证方式 在客户校园网核心H3C 8512至China169之间增加D 2133一台，负责完成用户的认证和授权；城市热点Dr.COM Billingware平台负责完成学生账号的管理、开通和策略配置。可以在Dr.COM Billingware平台配置用户登陆唯一性策略实现防私接。防代理由学生上网计算机安装的城市热点拨号软件完成。 组网方式如下图： 认证建议方案 建议采用城市热点认证方式。下对城市热点各部分的功能进行说明。 城市热点支持的认证方式 Dr.COM 2133 B-RAS同时支持以下认证方式： 1）WEB方式 2）专用客户端方式（使用Dr.COM 专用客户端软件） 3）802.1x 4）PPPoE（此时接入服务器与用户终端需为二层交换网络） 根据业务需求，建议采用专用客户端方式。 城市热点各部分的功能 Dr.COM 2133采用的是硬件认证计费方式，用户账号资料以及各种用户策略全部内置在Dr.COM 2133 FLASH ROM中，当用户发出认证请求，由Dr.COM 2133 作认证终结，账号认证和鉴权直接在