油田社區網接入認證優化推廣應用前景

焦志競

摘要：現在大部分家庭中使用路由器實現多終端上網，家庭寬帶路由器上行接口和下行接口都接在LAN口上，DHCP服務設置關閉，將路由器作為二層設備來使用，接入層交換機不做802.1x認證，只做普通報文轉發。社區網網關仍然設置在匯聚層的S6500交換機上，通過啟用DHCP服務對終端進行規劃的IP地址的分配。在匯聚交換機上各旁掛1臺S5800交換機作為Portal認證網關，用于小區內的用戶認證。

關鍵詞：社區網；Portal認證；動態IP地址分配

引言

吐哈油田社區網已建設多年，主要用于員工家庭上網，為了實現對居民上網的認證計費，目前現網采用了802.1X認證方式進行部署。認證過程由客戶端發起，接入交換機的物理端口對報文嚴格控制，啟用802.1X認證，默認情況下只允許認證報文通過，只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務。如果認證通過，用戶才能訪問互聯網資源和內網服務資源。

一、社區網現狀

現有802.1X認證需要安裝需要特定客戶端軟件，運維管理復雜。社區網共涉及近萬戶居民，如果采用采用802.1X認證方式，需要對每個用戶終端安裝維護認證客戶端軟件，日常維護工作量巨大。

面對用戶多終端上網的趨勢，802.1X認證無法對移動終端如手機、IPAD進行認證，用戶體驗感差。目前居民家中不僅部署臺式電腦，像智能手機、平板電腦等終端應用也越來越普遍，傳統的802.1X認證方式無法滿足智能移動終端的認證需求。

由于上述原因，當前采用的802.1X認證方式難以滿足不斷發展的用戶移動終端接入和管理員維護管理需求。

二、認證方式與部署模式選擇

（一）認證方式選擇

目前，業界主要采用PPPOE、802.1X、Portal這三種認證方式，下面就這三種認證方式的原理和主要優缺點進行比較。

1、PPPoE認證方式。通過PPPoE（Point-to-Point Protocol over Ethernet）協議，服務提供商可以在以太網上實現PPP協議的主要功能，包括采用各種靈活的方式管理用戶。

PPPoE（Point-to-Point Protocol over Ethernet）協議允許通過一個連接客戶的簡單以太網橋啟動一個PPP對話。

第一章PPP協議和Ethernet技術本質上存在差異，PPP協議需要被再次封裝到以太幀中，所以封裝效率很低

第二章PPPoE在發現階段會產生大量的廣播流量，對網絡性能產生很大的影響

第三章組播業務開展困難，而視頻業務大部分是基于組播的

第四章需要運營商提供客戶終端軟件，維護工作量過大

第五章PPPoE認證一般需要外置BAS，認證完成后，業務數據流也必須經過BAS設備，容易造成單點瓶頸和故障，而且該設備通常非常昂貴。

2、802.1x認證方式。是一種client/server 模式的訪問控制和認證協議，主要的應用環境是局域網的接入控制、身份認證，往往做為校園網、WLAN的接入控制手段。802.1x是基于端口的訪問控制機制。用戶或設備在認證前，交換機端口處于受控狀態，此時只允許EAPOL協議（擴展局域網認證協議）通訊數據通過；認證通過后，端口處于非受控狀態，此時用戶的所有網絡通訊數據都可以通過。802.1x實際上為每個用戶建立一個邏輯的鏈路，端口的邏輯狀態是只對該用戶有效，不同用戶的端口邏輯狀態不相互影響。802 .1x認證過程就是EAPOL協議交互。

缺點：需特定客戶端軟件，用戶交換機需要升級，IP地址分配、網絡安全、計費均存在問題。

3、Portal認證方式。Portal認證的基本過程是：客戶機首先通過DHCP協議獲取到IP地址（也可以使用靜態IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。一般通過修改接入設備的訪問控制表（ACL）可以做到。

用戶登錄到Portal Server后，可以瀏覽上面的內容，比如廣告、新聞等免費信息，同時用戶還可以在網頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實現用戶的認證。

優點：不需要特殊的客戶端軟件，降低網絡維護工作量，用戶體驗好。

缺點：對于設備的要求較高，建網成本高；用戶連接性差，易用性不夠好。

綜合對比三種主要認證方式，可以發現Portal認證方式可以滿足居民的移動終端如平板電腦、智能手機等認證需求；并且Portal認證方式不需要安裝客戶端，通過Web界面進行認證，日常管理維護簡單，可以滿足社區網當前認證需求。因此，建議在社區網中使用Portal認證方式。

（二）部署模式選擇。在Portal認證方式的部署中，根據BAS設備（即Portal認證網關設備）部署數量和位置的不同可以分為集中式部署模式和分布式部署模式兩類，下面就這兩種部署模式的優劣進行比較。

集中式部署就是將全網所有的認證流程集中在一臺BAS設備上進行Portal認證。因此對BAS設備的性能和可靠性要求非常高，一旦BAS設備出現故障將會導致全網所有用戶認證過程中斷。

分布式部署就是將認證所需的BAS設備上分布式部署在各個匯聚節點上，分別對各個園區進行Portal認證，因此BAS設備的性能要求稍低。該部署模式中，每臺BAS設備只需負責所在園區的認證流程，影響范圍有限。

吐哈油田社區網涉及到近20000名用戶，如果采用集中式部署方式，對認證網關設備性能和可靠性要求極高。目前業界支持20000名用戶Portal認證的設備必須為高端機箱式設備，即使采用機箱式設備也基本上達到了該設備認證數量的極限。隨著后續接入用戶的增多，還需要更換為更高端的認證網關，后期投資大；另外，采用集中式部署影響范圍廣，一旦認證網關出現故障，將造成全網用戶的認證中斷。因此，在綜合對比以上兩種部署模式后，建議采用分布式部署模式。

三、優化設計方案

（一）組網架構。在社區網中采用Portal認證方式的組網架構如下圖所示：

1、現在部分家庭中部署了家庭寬帶路由器用于實現多終端上網的需求，家庭寬帶路由器上行接口和下行接口都接在LAN口上，DHCP服務設置關閉，簡單講，就是將家庭寬帶路由器作為二層設備來使用，接入層交換機不做802.1x認證，只做普通報文轉發。

2、社區網網關仍然設置在匯聚層的S6500交換機上，通過啟用DHCP服務對終端進行規劃的IP地址的分配。在本方案中，需要在匯聚交換機上各旁掛1臺S5800交換機作為Portal認證網關，用于小區內的用戶認證。

3、針對鄯善園區近4000名用戶的認證接入需求，采用和哈密園區相同的分布式認證方式，所有用戶的Portal認證網關均部署在本地。在鄯善園區的每個匯聚節點部署1臺S5800交換機設備，在鄯善園區共需部署5臺。在鄯善園區，所有用戶的上網認證都需要經過部署在哈密園區的Portal服務器和綜合認證系統，實現鄯善、哈密兩個園區統一的認證接入。

（二）認證流程。吐哈油田社區網采用Portal認證方式：用戶通過IE訪問需要授權的網絡資源，首先認證過程經過S5800網關設備；S5800網關發現用戶還沒有通過認證則強制到Portal服務器；Portal 服務器將WEB頁面強推給用戶，提示用戶需要進行認證，用戶在WEB頁面中輸入用戶名密碼并提交認證；S5800網關將用戶認證信息轉換為Radius報文發送到現有綜合認證系統進行認證。

（三）IP地址規劃。在終端接入IP地址分配中，主要分為靜態IP地址和動態IP地址兩類。在本方案中，如果配置靜態IP地址，涉及終端數量非常多，需要提前對每個終端進行規劃，后期管理維護工作量巨大。如果配置動態IP地址，只需在每個匯聚節點的三層網關配置DHCP功能即可，滿足用戶在不同區域接入的移動上網需求。因此，建議采用動態IP地址分配方式。

（四）高可靠性設計。吐哈油田社區網現有綜合認證系統中，采用自研軟件進行認證、授權及計費工作。本方案將由H3C iMC UAM用戶接入管理組件實現用戶身份認證與現有認證系統進行有效融合實現對用戶上網認證計費的有效管理。

（五）用戶接入管理。本方案支持多終端接入，即同一個用戶名允許有多個終端同時上網。無論是臺式電腦、平板電腦還是智能手機，只要在允許的數量范圍內，都可以同時上網，滿足家庭用戶多終端的上網需求。每個用戶名下可同時接入終端的數量可以在管理界面進行設置，在滿足居民上網體驗的同時做到可控可管，有效防止個別用戶對網絡資源的過度占用。

（六）方案可行性分析。在設備投資方面：充分利用現網6500匯聚交換機、各樓層交換機、家用無線路由器及綜合認證系統。只需在每個匯聚交換機旁掛1臺盒式交換機S5800作為本區域的Portal認證網關，另外在核心交換機上旁掛服務器作為Portal服務器，Portal服務器運行UAM用戶接入管理軟件。

在方案可靠性方面：增設備與現有設備及認證系統可以實現良好的兼容。現網部署的6500交換機與新增S5800交換機均為H3C品牌系列產品，并且新舊設備之間均通過標準網絡技術進行互通，因此在硬件設備層面具有良好的兼容性；綜合認證系統與新增S5800交換機采用標準Radius報文進行通信，新增S5800交換機和現有綜合認證系統均支持該報文，因此在兼容性方面均有良好的可行性。

四、方案優點總結

對現有802.1x認證方式進行替換，采用Portal認證方式主要具備以下幾方面優點：

管理維護簡單 ：采用Portal認證方式不需要安裝客戶端軟件，通過網頁即可實現認證。管理員不再需要逐一為每個上網用戶安裝和升級客戶端軟件，極大減輕管理難度。

部署簡單：本方案在實施部署中，不需要對現有網絡架構進行變更，只需在每個匯聚節點旁掛一臺Portal認證網關，實施工作量較小。

用戶體驗感好：采用Portal認證方式，通過網頁方式對用戶終端進行認證，因此可以實現對智能手機、平板電腦等移動終端的認證，可以滿足用戶不斷變化的終端認證需求，整體上網體驗可以得到保障。

認證頁面人性化：可根據不同用戶的需求對認證頁面進行定制化開發，滿足不同企業用戶的人性化、個性化需求，如可定制認證頁面的標題、內容、背景等。