扁平化網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)的設(shè)計

范華峰

摘 要：穩(wěn)定可靠、安全高可控、易維護(hù)等諸多優(yōu)點(diǎn)的運(yùn)營商扁平化網(wǎng)絡(luò)正在逐步影響著高校，利用核心設(shè)備Bras路由器和接入控制系統(tǒng)實(shí)現(xiàn)對用戶接入控制。本文將基于Juniper MX 960多業(yè)務(wù)路由器為核心，通過對接入控制原理的分析，設(shè)計了扁平化網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)，滿足高校網(wǎng)絡(luò)精細(xì)化管理的需求。

關(guān)鍵詞：COA；扁平化網(wǎng)絡(luò)；接入認(rèn)證

中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A

Design Flat Network Access Authentication System

FAN Huafeng

（Changzhou Institute of Mechatronic Technology，Changzhou 213164，China）

Abstract：Reliable，secure high controllability，easy maintenance and many other advantages of the flat network operators are gradually affecting the universities，the use of core equipment Bras routers and access control system to realize the user access control.This article is based on Juniper MX 960 Services Router as the core，through the access control principle of analysis，design a flat network access authentication system to meet the needs of the university network meticulous management.

Keywords：COA；flat network；access authentication

1 引言（Introduction）

隨著應(yīng)用與管理的深入，以Cisco為代表的三層網(wǎng)絡(luò)構(gòu)建模式面臨著諸多難以解決的問題，越來越多的高校在參考各大運(yùn)營商的網(wǎng)絡(luò)發(fā)展經(jīng)驗(yàn)后，網(wǎng)絡(luò)結(jié)構(gòu)正在從復(fù)雜的多層結(jié)構(gòu)轉(zhuǎn)向以Juniper為代表的簡單扁平化結(jié)構(gòu)[1]發(fā)展。在校園網(wǎng)中，通過部署Juniper MX960作為核心路由器，利用其Bras功能通過radius協(xié)議與接入認(rèn)證系統(tǒng)交互，實(shí)現(xiàn)靈活的網(wǎng)絡(luò)接入控制、認(rèn)證和計費(fèi)等方面功能。

2 Radius協(xié)議（Radius protocol）

RADIUS協(xié)議（Remote Access Dail-In User Service，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)協(xié)議）主要提供三個基本功能：Authentication（認(rèn)證）、Authorization（授權(quán)）、Accounting（計費(fèi)），即AAA功能[2]。該協(xié)議是一種可擴(kuò)展的協(xié)議，采用C/S構(gòu)架模型，以UDP作為傳輸協(xié)議（1812認(rèn)證授權(quán)端口，1813記賬端口），具有強(qiáng)大的認(rèn)證能力，是管理遠(yuǎn)程用戶驗(yàn)證和授權(quán)的常用方法。

3 接入控制原理（Access control principle）

用戶設(shè)備（有線、無線）通過采用QinQ的方式連接至核心路由器，接入控制將進(jìn)行如下步驟：（1）用戶設(shè)備配置DHCP動態(tài)獲取IP地址，發(fā)起Dhcp Discovery。（2）核心路由器根據(jù)用戶的DHCP請求（包含設(shè)備MAC地址、接入QinQ編號或VLAN號、設(shè)備指紋等）信息生成唯一會話編號，同時將DHCP請求轉(zhuǎn)換成Radius請求，轉(zhuǎn)發(fā)請求至接入認(rèn)證系統(tǒng)做DHCP認(rèn)證，對該設(shè)備進(jìn)行合法性校驗(yàn)。（3）接入認(rèn)證系統(tǒng)查詢相關(guān)數(shù)據(jù)判斷用戶設(shè)備是否允許接入，若允許接入則回應(yīng)Accept，同時下發(fā)radius的相關(guān)屬性包含訪問策略、帶寬管理策等。（4）路由器根據(jù)接入認(rèn)證系統(tǒng)返回的數(shù)據(jù)生成一個動態(tài)邏輯接口并將相關(guān)的Radius屬性應(yīng)用到該接口上下發(fā)用戶獲取到的IP地址。此時就完成了對用戶設(shè)備的初始化控制。（5）路由器將用戶設(shè)備獲取的IP地址、會話編號和認(rèn)證的相關(guān)信息生成Radius記賬開始報文發(fā)送給接入認(rèn)證系統(tǒng)。（6）在用戶設(shè)備上打開瀏覽器打開任意網(wǎng)頁。（7）web請求被將進(jìn)入核心路由器上用戶設(shè)備對應(yīng)的動態(tài)邏輯接口，動態(tài)邏輯接口此時策略會將用戶請求重定向到認(rèn)證設(shè)備上的PORTAL登錄頁面，當(dāng)打開登錄頁面時，認(rèn)證設(shè)備將根據(jù)設(shè)備的IP地址找到相應(yīng)的會話編號，認(rèn)證設(shè)備根據(jù)用戶輸入用戶名和密碼，查找相關(guān)數(shù)據(jù)得到用戶的策略信息，認(rèn)證設(shè)備使用會話編號和用戶策略信息向核心路由器發(fā)起Radius COA擴(kuò)展協(xié)議報文，通知路由器修改該會話編號對應(yīng)的邏輯接口的策略信息。（8）路由器收到接入認(rèn)證系統(tǒng)的發(fā)來的COA報文后，修改邏輯接口相關(guān)策略。（9）成功后向接入認(rèn)證系統(tǒng)發(fā)送Ack報文和發(fā)生記賬更新報文，此時可以實(shí)現(xiàn)設(shè)備、賬號、訪問權(quán)限的完全綁定。如圖1所示。

4 系統(tǒng)設(shè)計（System design）

通過對接入原理的分析，每一個認(rèn)證通過的設(shè)備在核心路由器上都會生成一個動態(tài)邏輯接口，每個邏輯接口對應(yīng)一臺用戶設(shè)備，此時會話編號及邏輯接口和用戶設(shè)備唯一綁定，用戶設(shè)備的所有進(jìn)出流量只能通過該邏輯接口進(jìn)行傳輸，即邏輯接口具有什么權(quán)限，用戶設(shè)備就具有相應(yīng)的權(quán)限。若要向核心路由器發(fā)送指定用戶會話編號COA請求，路由器就會修改該邏輯接口的權(quán)限，從而實(shí)現(xiàn)對用戶的精細(xì)化管理。如圖2所示。

系統(tǒng)主要由協(xié)議模塊、Radius服務(wù)模塊、Portal服務(wù)模塊、記賬服務(wù)模塊和數(shù)據(jù)庫模塊組成。協(xié)議模塊完成對Radius協(xié)議進(jìn)行編解碼；Radius服務(wù)模塊接受核心路由器MX960的認(rèn)證請求并查詢數(shù)據(jù)庫模塊來判斷用戶設(shè)備是否允許接入，認(rèn)證結(jié)果通過協(xié)議模塊返回給路由器；Portal服務(wù)模塊向用戶提供用戶名密碼輸入網(wǎng)頁，當(dāng)用戶設(shè)備完成初始化配置后，所以的用戶Web流量都會重定向至“用戶認(rèn)證頁”，用戶輸入認(rèn)證信息后，Portal將根據(jù)數(shù)據(jù)庫判斷用戶是否有權(quán)改變當(dāng)前策略并返回新的策略名稱，Portal同時通過協(xié)議模塊向核心路由器發(fā)送改變策略的請求并等待路由器返回執(zhí)行結(jié)果；記賬服務(wù)每隔一段時間對Radius的記賬報文進(jìn)行統(tǒng)計，實(shí)現(xiàn)對用戶每次上網(wǎng)的時間、流量進(jìn)行統(tǒng)計和管理。

系統(tǒng)采用Java語言，使用Hibernete+Struts2結(jié)合開發(fā)，如圖3和圖4所示。

5 結(jié)論（Conclusion）

本論文結(jié)合實(shí)際高校應(yīng)用的需求，根據(jù)Juniper MX 960多業(yè)務(wù)路由器的接口規(guī)范，設(shè)計了扁平化網(wǎng)絡(luò)的接入認(rèn)證系統(tǒng)，系統(tǒng)實(shí)現(xiàn)了對用戶接入地點(diǎn)、時長、流量、帶寬等屬性進(jìn)行精細(xì)化管理，使得網(wǎng)絡(luò)管理與維護(hù)更簡單，改善了用戶的體驗(yàn)。該系統(tǒng)已在常州機(jī)電職業(yè)技術(shù)學(xué)院使用半年來非常穩(wěn)定，最高同時在線用戶達(dá)6500人。

參考文獻(xiàn)（References）

[1] 覃毅.校園網(wǎng)絡(luò)扁平化架構(gòu)設(shè)計與實(shí)施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2015（7）：20-22.

[2] RFC2865.Remote Authentication Dial In UserService（RADIUS）[S].

[3] RFC2869 RADIUS Extensions[S].