校园网接入认证系统研究与分析.docVIP

校园网接入认证系统研究与分析 　　【摘要】介绍了PPPoE、Web/Portal及802.1x三种常用认证方式的原理，根据校园网的特点，从校园网认证需求的角度，对比分析了三种认证方式的优点和缺点，并对认证系统在校园网的实际部署提出了建议。 　　【关键词】PPPoE；Web/Portal；802.1x；校园网 　　1.引言 　　在教育信息化的浪潮下，校园网作为高校校园的基础设施，承担着信息传递，资源共享的重要功能。如何有效的管理好校园网，充分发挥其在管理、教学、科研活动中的作用，一直是长久以来所讨论的热点。从技术角度上讲，实现对校园网的有效管理首先是选择合适的认证方式。本文讨论了PPPoE、Web/Portal及802.1三种认证方式各自的原理及特点，给出了校园网建设过程中选择认证方式的一般性建议。 　　2.以太网接入认证方式介绍 　　一般来说，局域网中的客户端不需要认证，只要配置合适的IP地址，子网掩码及网关等网络信息就可以接入。当局域网作为校园网时，为了对上网用户进行计费，对网络安全进行管控，对网络流量进行调配，客户端在接入时必须要通过认证。常见的以太网接入认证方式有PPPoE，Web/Portal及802.1x。 　　2.1 PPPoE认证方式 　　PPPoE(Point-to-Point Protocol over Ethernet)是一种独立的拨号技术。它通过以太网承载PPP协议，实现在共享介质的网络中提供逻辑的点到点的连接。通过PPPoE协议，ISP可以在以太网上实现PPP协议的主要功能，实现对用户认证计费、带宽控制等管理手段。 　　应用于大型局域网的PPPoE认证系统由客户端和宽带接入服务器（BAS）两个实体组成。其工作流程分为发现和会话两个阶段。在发现阶段客户端以广播方式寻找网内的所有BAS设备，获得其以太网MAC地址。确定需要连接的主机及PPP会话标识号码。在会话阶段，客户端根据和BAS在发现阶段确定的连接参数进行PPP会话，所有的数据都要经确定的逻辑链路进行传输，由BAS设备进行PPPoE封装及解封。配合Radius计费服务器，PPPoE可以实现对认证用户的计费。 　　2.2 Web/Portal认证方式 　　Web/Portal认证起初主要被门户网站采用，是一种业务类型的认证。此种认证现在也被ISP所使用，主要作为WLAN的接入认证方式。其认证过程为：客户机使用动态获取或静态配置的IP地址，打开浏览器后会被自动定位到Portal Server所提供的认证页面。在此页面中，用户提交帐号和口令。之后用户的信息(IP地址、帐号和口令)会被传送给BAS。BAS根据IP地址获取用户的二层地址、物理端口等信息，检查用户的合法性。之后会将用户的帐号信息传至Radius计费服务器进行认证。经确认后将认证结果返回BAS，BAS对该用户的ACL进行设置，使得用户可以访问外网或特定的网络服务。 　　2.3 802.1x认证 　　IEEE802.1x是基于端口的访问控制协议，它基于Clinent/Server模式实现对用户的访问控制和身份认证。802.1x是专门针对共享以太网所设计的一种认证协议。客户端访问网络所提供的业务时，首先会在和交换机连接的端口上经过认证。认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过端口，认证通过后，正常的数据可以被允许通过以太网端口。 　　802.1x认证技术的核心部分是PAE(端口访问实体)，包含3个部分：认证者，指的是对接入的用户/设备进行认证的端口；请求者——被认证的设备和用户；认证服务器——根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。以太网的每个物理端口被分为受控和不受控的两个逻辑端口。非受控端口主要用来传输基于EAPoL的认证信息。认证者PAE根据认证的结果，改变受控端口的授权状态，从而实现对用户访问网络资源的限制。简单来说，其认证流程为：客户端发起认证请求，其请求信息经过EAPoL协议封装，通过接入层交换机物理端口的不受控逻辑端口，被传送至认证服务器。认证服务器确认认证信息后，通知接入层交换机打开相应端口的受控通道，用户数据帧得以正常传输。 　　3.校园网认证需求分析 　　3.1 校园网的特点 　　与宽带城域网及企业网相比，校园网有着以下特点：第一，网络的构成相对复杂，一般有包含教育网出口及电信运营商出口在内的两个或多个出口。第二，用户规模大，上网时间比较集中。学生群体是校园网的主要用户，其上网时间主要集中在课余时间，网络高峰时间相对固定，突发流量相对较大。第三，网络应用的需求主要集中在比较消耗带宽的服务上 　　（如P2P软件），造成校园网出口存在较大压力。第四，网络管理难度较大。主要是因为学生群体比较活跃，非法、不健康的网络不