校園網認證技術的研究與應用

摘要:該文在對比分析PPOE、Web Portal和802.1x等三種認證技術的基礎上，介紹了802.1x在校園網中的應用，闡明了它能很好地滿足用戶對網絡安全性、高效性和低成本的要求，為高校校園網用戶認證提供了一個良好的解決方案。

關鍵詞:802.1x;認證;校園網

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)14-3666-02

Research and Application on Campus Authentication Technology

LIU Chen-guang， YIN Li

(Information Network Center， Xuzhou Normal University， Xuzhou 221116， China)

Abstract: In this paper， on the basis of analyzing PPOE and Web Portal and 802.1x authentication techniques， the application of 802.1x in the Campus Network is introduced， it will satisfy users of network security， efficiency and low-cost the requirements and provides a good solution for campus network user authentication.

Key words: 802.1x; authentication; campus network

1 引言

校園信息化建設是衡量一所高校建設與發展的重要指標。隨著近年來國家對高等教育事業的重點扶持，我國高校的信息化建設得到了質的飛躍，校園網的規模也在迅速擴大，安全性也成為日益嚴峻的問題。諸如非法監聽郵件的內容和賬號密碼、盜用IP 地址、盜用MAC 地址、盜用用戶賬號密碼、私設代理服務器等問題。這對校園網絡管理帶來了不可預估的影響和破壞。隨著校園信息化更深入的發展，對校園網絡的應用更是急劇的增加，對網絡的安全性和穩定性要求越來越高，建立用戶上網認證系統是保障網絡安全、穩定運行的重要方面。

2 常見的認證技術分析

2.1 PPPOE 認證

PPPOE是從基于ATM 的窄帶網引入到寬帶以太網的。其方式較靈活，在窄帶網中有較豐富的應用經驗， 但PPPOE并不是為寬帶以太網量身定做的認證技術，將其應用于寬帶以太網，必然會有其局限性，尤其是它的封裝方式也造成了寬帶以太網發展中的種種問題。

在PPPOE 認證中，認證系統必須將每個包進行拆解才能判斷和識別用戶是否合法。這樣大量的拆包解包過程必須由一個功能強勁但價格昂貴的傳統BAS(寬帶接入服務器) 完成。對每個用戶發出的每個數據包，BAS 必須進行拆包識別和封裝轉發。一旦并發用戶增多或者數據包增大，封裝速度必然跟不上，造成寬帶網絡發展的瓶頸。

2.2 Web Portal 認證

Web Portal 認證是基于業務類型的認證，不需要安裝其它客戶端軟件，只需要瀏覽器就能完成，對用戶來說較為方便。但是由于Web 認證用的是七層協議，為了達到網絡二層的連接而到七層作認證，這首先不符合網絡邏輯。另外，Web Portal認證是基于七層的認證，四層以下的網絡問題往往檢測不到。如斷電、突發故障等異常離線情況必須在七層作檢測，因此Web Portal認證用戶連接性差，不容易檢測到用戶離線，基于時間的計費較難實現。

在傳統的Web Portal 認證中，無論什么用戶都可以先獲得IP地址，再上網通過客戶端認證。這種在認證前就為用戶分配了IP地址的認證方法造成了IP 的浪費，而且分配IP 地址的Web 認證服務器對用戶而言是完全裸露的，一旦受攻擊癱瘓，整網就沒法認證。

2.3 IEEE 802. 1x認證

IEEE 802. 1x 又名為基于端口的訪問控制協議 ( Port Based Network Access Control Protocol) ，它源于IEEE 802. 11 無線以太網(EAPOW) 。該協議的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現認證與業務的分離，保證了網絡傳輸的效率。802. 1x 認證系統的端口分成兩個邏輯端口:受控端口和不受控端口。不受控端口只能傳送認證的協議報文，而不管此時受控端口的狀態是已認證狀態(Authorized) 還是未認證狀態(Unauthorized) 。受控端口傳送業務報文。如果用戶通過認證，則受控端口的狀態為已認證狀態，可以傳送業務報文。如果用戶未通過認證，則受控端口的狀態為未認證狀態，不能傳送業務報文。它的認證計費方式就是通過認證前后打開/ 關閉受控端口來實現對用戶接入的控制，從而實現對用戶的物理端口的認證和控制。

3 802.1x認證技術的應用

目前，802. 1x 的認證技術在校園網中應用已相當成熟。一般是在底層的接入交換機上實現認證，除了包括用戶的用戶名和密碼，還包括機器的IP、MAC 地址，認證交換機的端口、IP 等參數參與驗證。我校采用以思科6509、星網銳捷網絡公司的RG6810、5750、3750、S2126、S1926F+ 等設備的進行組網，星網銳捷網絡設備提供基于以太網端口用戶認證的校園網接入解決方案，其中S2126S、S1926F + 為支持802. 1x 協議的銳捷交換機設備，同時也都支持802. 1Q 協議。在此方案中，采用了基于MAC 地址的端口訪問控制模式，所有的認證都是在接入層采用分布式認證。在接入交換機( S2126S 或S1926F+ ) 上就做認證，網絡安全效果最佳，既提高了認證效率，同時也減輕了上層交換機的負擔，這將降低建網成本、降低認證服務器的性能要求。

3.1 網絡配置

為了提高網絡的安全性，利用802. 1x 的基于二層的認證方式，采用靜態IP地址分配，只有用戶認證通過后，才能夠上網;同時也為了提高網絡性能和管理的方便，把整個認證網絡分成多個VLAN :1) 認證子網，包括認證服務器記賬服務器;2) 一個互聯子網，用于與核心交換機互聯，使用校園網內部網絡私有IP ;3) 一個網絡設備管理VLAN ，即所有用于認證服務的交換機所組成的子網， 使用校園網內部網絡私有IP;4) 用戶子網，使用教育網所分配的公網IP。同時在核心交換機上建立相應的ACL ，禁用病毒常用的端口上的TCP 應用，防止病毒在內網上的傳播。

3.2 方案特點

1) 解決了用戶賬號和密碼被盜的問題。由于采用用戶賬號與MAC 地址、端口、交換機地址和VLAN ID 進行綁定，所以一個賬號只能在指定位置的計算機上使用，即使知道別人的賬號和密碼也不能在別的計算機上使用。2) 對ARP欺騙有很好的隔離作用。由于S2126系列的交換機具有防ARP欺騙網關的功能，因此很好了阻止了中毒計算機在網上傳播病毒。3) 核心設備提供端口反查和自動準確關閉端口等功能，阻止病毒在內網的泛濫。同時根據銳捷計費系統，能夠定位潛藏在內網的病毒散播者。如通過在核心設備上強行禁用端口135 和4444 的TCP應用，可防止Internet 上的沖擊波病毒對內網的攻擊。

4 結束語

傳統的以太網具有開放的特性，任何用戶只要連接到交換機上，就可以通過交換機進入任何網絡服務，缺乏一種有效的用戶的身份認證手段。802.1x認證協議的引入，解決了傳統以太網存在的這一缺陷，校園網便不再是一道敞開的門，也解決了用戶身份認證和應用終端的安全性問題，增強了網絡安全性。

參考文獻:

[1] 銳捷公司.網絡互聯與實現[M].北京:北京希望電子出版社，2005.

[2] 謝希仁.計算機網絡[M].北京:電子工業出版社，2001.

[3] 王竹林.校園網組建與管理[M].北京:清華大學出版社，2002.

[4] 彭偉.使用802.1x實現校園網認證[J].計算機應用，2003(3).

[5] 馬建峰.無線局域網安全[M].北京:機械工業出版社，2005.