讓認證管理高效進行

文/陳小亮

在當前校園環(huán)境中，缺乏對用戶行為的掌控，導致欺騙、病毒、仿冒等多種非法行為，進而影響網絡的運營秩序，同時，多操作系統(tǒng)、多種復雜應用業(yè)務以及復雜的網絡設備交織在一起，使網絡的控制策略很難統(tǒng)一，此時如何在一個管理平臺上將上述問題進行統(tǒng)一的無差異化管理就擺在了我們面前。

用戶安全運營管理需求

認證

安全運營管理的關鍵在于用戶認證，從認證點分為準入和準出認證，準入認證指的是通過采用802.1X、Portal等網絡認證手段控制用戶接入網絡，針對不同的用戶組設置不同的內網訪問權限，結合安全、審計等功能對用戶訪問網絡的行為進行權限控制、安全檢查等；準出認證是在網絡出口作為控制點進行認證，對用戶的外網訪問權限進行控制。因為校園網內網帶寬資源充足，一般都為千兆甚至萬兆骨干網，所以不需要做精細化的流量計費，而校園網出口帶寬有限，很難無限制提供給用戶使用，所以網絡出口常常結合流量計費、帶寬控制以便讓用戶更合理的使用網絡。

從部署位置來看，準入認證又有核心層集中部署與接入層分布部署的區(qū)別。安全

認證只是解決了網絡運營中的準入準出的身份及權限控制問題，如何保障用戶在一個可靠、可信的網絡上進行學習、開展業(yè)務是網絡運營管理的關鍵。

運營

隨著高校學生數量的不斷增多，手機、PAD、電腦終端使用網絡需求的增加和網絡多媒體業(yè)務以及高消耗帶寬應用的發(fā)展，導致網絡出口壓力的不斷增大。盡管使用了流控設備，但治標不治本，還是不能夠從根本上解決帶寬濫用的現象?；诹髁坑嬞M的運營策略可以大大地緩解這個問題，真正做到以網養(yǎng)網。成本

管理運營離不開成本問題。而這里的成本又包含了兩個方面，一個是管理成本，包括網絡配置工作量、故障排查恢復時間、用戶易用性、習慣延續(xù)性等方面。另一部分是擴容成本，主要包括認證系統(tǒng)擴容采購成本、其他設備擴容采購成本以及是否由于私有協議而額外支出的采購成本。如何合理根據學校的情況選擇合適的方案減少成本的支出是管理員必須要考慮的一個問題。

用戶認證管理技術對比

常見的校園網認證技術從認證位置和功能來看，主要分為準入認證和準出認證；從實現技術方面主要分為802.1X、Portal、IPoE（PPPoE技術由于組播特性支持較差，不適合校園網應用環(huán)境，故本文不做詳述）；從認證點和使用技術可分為集中式認證和分布式認證。下文主要從分布式、集中式認證這個劃分緯度來做對比分析。

圖1 認證方式分類及功能區(qū)別

圖2 集中式、分布式認證點在網絡中的分布

分布式認證

分布式部署是目前主流的部署方式，認證點分布在接入或者匯聚交換機上，多采用802.1X或者Web認證技術，發(fā)生故障僅對單臺設備下用戶帶來影響，范圍很小，而且認證點的分布也減輕了單一設備集中認證帶來的性能壓力。

802.1 X和Web認證技術在校園網的優(yōu)勢主要體現在安全性、業(yè)務支撐能力、可靠性、認證效率和校園流量模型匹配上面。但是在管理成本和擴容成本上有所欠缺，這主要體現在接入層設備眾多，策略復雜導致配置工作量較大；而安全功能、可靠性在接入（匯聚）交換機上實現，較普通功能簡單的交換機在擴容帶來一定成本。

集中式認證

集中式認證主流技術為 Portal、IPOE、PPPoE。其中,后兩種技術在路由器作為BRAS設備時候使用，多用于運營商小區(qū)寬帶，Portal方式則是在交換機上實現。

首先我們從業(yè)務流量模型上分析集中式認證。目前運營商廣泛采用集中式認證，而校園里由于用戶的特定業(yè)務、使用方式、習慣等原因，存在著大量橫向通信的流量，如用戶間文件共享，宿舍間聯機對戰(zhàn)，教研室間特定軟件訪問。圖4是一張流量模型對比圖。

圖中可以看出，在校園橫向流量模型下進行分布式認證部署將更為匹配，而集中式認證在校園網這種橫向流量模型的條件下，所有的數據流都要經過核心設備再繞回接入層，流量的迂回在校園網中不僅僅帶來效率問題，還有逐級收斂問題，將帶給核心設備很大的壓力。在實際部署的時候，集中式認證的核心設備的性能要求較高，多采用雙機熱備的方式保證核心關鍵節(jié)點的可靠性。此種認證方式比較適用于老校區(qū)在經費有限的情況下進行網絡改造，如IPv4到IPv6的升級，此時只需更換核心設備即實現網絡的功能升級，而接入層采用舊有功能簡單的交換機即可。

圖3 集中式認證在校園、小區(qū)寬帶的流量模型對比

圖4 H3C用戶安全運營管理解決方案

H3C用戶安全運營管理解決方案

H3C綜合考慮集中式、分布式認證的適用條件，推薦新校區(qū)建設采用分布式認證，根據不同區(qū)域的使用需求部署不同的認證技術，學生宿舍區(qū)使用802.1X客戶端方式進行嚴格管控，而辦公區(qū)采用Web認證方式實現無客戶端即可認證上網。安全防御問題由防ARP技術和SAVI技術結合安全地址綁定、用戶上網審計功能實現。在解決管理與維護工作量方面，采用H3C的分布式批量部署B(yǎng)IMS解決方案，通過與BIMS服務器的配合實現設備上電即可完成配置的批量下發(fā)。很容易完成復雜組網的零接觸搭建。大大降低了網絡管理員的部署工作量。老校區(qū)改造采用集中式認證+QinQ方式，接入層交換機配置每端口VLAN，端口和端口之間分屬不同的VLAN，實現用戶的二層隔離，避免了ARP欺騙、二層攻擊的行為。接入層新交換機批量部署可采用零配置方案，舊有交換僅僅手工配置基本功能以及劃分VLAN即可。匯聚層設備開啟QinQ功能進行外層VLAN的標記，采用靈活QinQ方式實現每個接入層交換機一個外層VLAN。核心設備配置三層功能實現不同VLAN互訪，同時開啟ARP欺騙防御和掃描攻擊防御。核心設備采用熱備技術保證了關鍵認證點的可靠性。ARP攻擊防御

集中式認證通過PUPV+QinQ實現了全網二層隔離，避免了二層報文的攻擊與欺騙。通過在核心交換機上部署ARP防御功能，同時過濾外網的未知IP、ARP報文，實現掃描攻擊防護，來實現整網安全防御。

分布式認證在接入層交換機部署ARP Detection來實現用戶合法性檢查、ARP報文有效性檢查等功能，部署SAVI技術，來避免IPv6環(huán)境下的地址欺騙、報文攻擊的問題。

無線用戶接入

無線用戶接入的整體策略還是以自身的認證以及安全為主體。AC上不需要開啟QinQ功能，只需要保證無線用戶VLAN和QinQ外層VLAN不同即可完成互訪。無線用戶間的安全防護以及用戶隔離通過非法AP檢測、黑名單、白名單、無線協議攻擊防御等功能來實現。

組播業(yè)務部署

全網接入層和匯聚層已經部署了PUPV，所有用戶都在單獨的二層網絡，所以在進行組播VLAN設計的時候，配置基于端口的組播VLAN，避免組播在多個VLAN的重復復制，并將之延伸到核心交換機。

計費網關部署

H3C安全運營解決方案中的計費部分組件包括iMC UAM/CAMS、出口流量網關。出口流量計費網關統(tǒng)一交由第三方軟件來實現，內網認證由iMC UAM承擔，iMC UAM和第三方軟件通過LDAP服務器、RADIUS代理等方式對接來實現用戶身份的統(tǒng)一管理，整個體系只有一套用戶名和密碼，最終實現用戶數據的一體化管理。

高校校園網在采用集中式認證要特別考慮核心設備的可靠性以及安全性；分布式認證技術能更好的將壓力分擔到各個接入層設備，安全防御手段多種多樣。兩者結合，做到內網準入認證保證網絡接入的可信可靠，外網流量計費保證網絡的精細化運營。