焦志競(jìng)

摘要：現(xiàn)在大部分家庭中使用路由器實(shí)現(xiàn)多終端上網(wǎng)，家庭寬帶路由器上行接口和下行接口都接在LAN口上，DHCP服務(wù)設(shè)置關(guān)閉，將路由器作為二層設(shè)備來(lái)使用，接入層交換機(jī)不做802.1x認(rèn)證，只做普通報(bào)文轉(zhuǎn)發(fā)。社區(qū)網(wǎng)網(wǎng)關(guān)仍然設(shè)置在匯聚層的S6500交換機(jī)上，通過(guò)啟用DHCP服務(wù)對(duì)終端進(jìn)行規(guī)劃的IP地址的分配。在匯聚交換機(jī)上各旁掛1臺(tái)S5800交換機(jī)作為Portal認(rèn)證網(wǎng)關(guān)，用于小區(qū)內(nèi)的用戶認(rèn)證。

關(guān)鍵詞：社區(qū)網(wǎng)；Portal認(rèn)證；動(dòng)態(tài)IP地址分配

引言

吐哈油田社區(qū)網(wǎng)已建設(shè)多年，主要用于員工家庭上網(wǎng)，為了實(shí)現(xiàn)對(duì)居民上網(wǎng)的認(rèn)證計(jì)費(fèi)，目前現(xiàn)網(wǎng)采用了802.1X認(rèn)證方式進(jìn)行部署。認(rèn)證過(guò)程由客戶端發(fā)起，接入交換機(jī)的物理端口對(duì)報(bào)文嚴(yán)格控制，啟用802.1X認(rèn)證，默認(rèn)情況下只允許認(rèn)證報(bào)文通過(guò)，只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi)，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。如果認(rèn)證通過(guò)，用戶才能訪問(wèn)互聯(lián)網(wǎng)資源和內(nèi)網(wǎng)服務(wù)資源。

一、社區(qū)網(wǎng)現(xiàn)狀

現(xiàn)有802.1X認(rèn)證需要安裝需要特定客戶端軟件，運(yùn)維管理復(fù)雜。社區(qū)網(wǎng)共涉及近萬(wàn)戶居民，如果采用采用802.1X認(rèn)證方式，需要對(duì)每個(gè)用戶終端安裝維護(hù)認(rèn)證客戶端軟件，日常維護(hù)工作量巨大。

面對(duì)用戶多終端上網(wǎng)的趨勢(shì)，802.1X認(rèn)證無(wú)法對(duì)移動(dòng)終端如手機(jī)、IPAD進(jìn)行認(rèn)證，用戶體驗(yàn)感差。目前居民家中不僅部署臺(tái)式電腦，像智能手機(jī)、平板電腦等終端應(yīng)用也越來(lái)越普遍，傳統(tǒng)的802.1X認(rèn)證方式無(wú)法滿足智能移動(dòng)終端的認(rèn)證需求。

由于上述原因，當(dāng)前采用的802.1X認(rèn)證方式難以滿足不斷發(fā)展的用戶移動(dòng)終端接入和管理員維護(hù)管理需求。

二、認(rèn)證方式與部署模式選擇

（一）認(rèn)證方式選擇

目前，業(yè)界主要采用PPPOE、802.1X、Portal這三種認(rèn)證方式，下面就這三種認(rèn)證方式的原理和主要優(yōu)缺點(diǎn)進(jìn)行比較。

1、PPPoE認(rèn)證方式。通過(guò)PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議，服務(wù)提供商可以在以太網(wǎng)上實(shí)現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。

PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議允許通過(guò)一個(gè)連接客戶的簡(jiǎn)單以太網(wǎng)橋啟動(dòng)一個(gè)PPP對(duì)話。

第一章PPP協(xié)議和Ethernet技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低

第二章PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量，對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響

第三章組播業(yè)務(wù)開(kāi)展困難，而視頻業(yè)務(wù)大部分是基于組播的

第四章需要運(yùn)營(yíng)商提供客戶終端軟件，維護(hù)工作量過(guò)大

第五章PPPoE認(rèn)證一般需要外置BAS，認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過(guò)BAS設(shè)備，容易造成單點(diǎn)瓶頸和故障，而且該設(shè)備通常非常昂貴。

2、802.1x認(rèn)證方式。是一種client/server 模式的訪問(wèn)控制和認(rèn)證協(xié)議，主要的應(yīng)用環(huán)境是局域網(wǎng)的接入控制、身份認(rèn)證，往往做為校園網(wǎng)、WLAN的接入控制手段。802.1x是基于端口的訪問(wèn)控制機(jī)制。用戶或設(shè)備在認(rèn)證前，交換機(jī)端口處于受控狀態(tài)，此時(shí)只允許EAPOL協(xié)議（擴(kuò)展局域網(wǎng)認(rèn)證協(xié)議）通訊數(shù)據(jù)通過(guò)；認(rèn)證通過(guò)后，端口處于非受控狀態(tài)，此時(shí)用戶的所有網(wǎng)絡(luò)通訊數(shù)據(jù)都可以通過(guò)。802.1x實(shí)際上為每個(gè)用戶建立一個(gè)邏輯的鏈路，端口的邏輯狀態(tài)是只對(duì)該用戶有效，不同用戶的端口邏輯狀態(tài)不相互影響。802 .1x認(rèn)證過(guò)程就是EAPOL協(xié)議交互。

缺點(diǎn)：需特定客戶端軟件，用戶交換機(jī)需要升級(jí)，IP地址分配、網(wǎng)絡(luò)安全、計(jì)費(fèi)均存在問(wèn)題。

3、Portal認(rèn)證方式。Portal認(rèn)證的基本過(guò)程是：客戶機(jī)首先通過(guò)DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認(rèn)證通過(guò)前只能訪問(wèn)特定的IP地址，這個(gè)地址通常是PORTAL服務(wù)器的IP地址。采用Portal認(rèn)證的接入設(shè)備必須具備這個(gè)能力。一般通過(guò)修改接入設(shè)備的訪問(wèn)控制表（ACL）可以做到。

用戶登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費(fèi)信息，同時(shí)用戶還可以在網(wǎng)頁(yè)上輸入用戶名和密碼，它們會(huì)被WEB客戶端應(yīng)用程序傳給 Portal Server，再由Portal Server與NAS之間交互來(lái)實(shí)現(xiàn)用戶的認(rèn)證。

優(yōu)點(diǎn)：不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量，用戶體驗(yàn)好。

缺點(diǎn)：對(duì)于設(shè)備的要求較高，建網(wǎng)成本高；用戶連接性差，易用性不夠好。

綜合對(duì)比三種主要認(rèn)證方式，可以發(fā)現(xiàn)Portal認(rèn)證方式可以滿足居民的移動(dòng)終端如平板電腦、智能手機(jī)等認(rèn)證需求；并且Portal認(rèn)證方式不需要安裝客戶端，通過(guò)Web界面進(jìn)行認(rèn)證，日常管理維護(hù)簡(jiǎn)單，可以滿足社區(qū)網(wǎng)當(dāng)前認(rèn)證需求。因此，建議在社區(qū)網(wǎng)中使用Portal認(rèn)證方式。

（二）部署模式選擇。在Portal認(rèn)證方式的部署中，根據(jù)BAS設(shè)備（即Portal認(rèn)證網(wǎng)關(guān)設(shè)備）部署數(shù)量和位置的不同可以分為集中式部署模式和分布式部署模式兩類，下面就這兩種部署模式的優(yōu)劣進(jìn)行比較。

集中式部署就是將全網(wǎng)所有的認(rèn)證流程集中在一臺(tái)BAS設(shè)備上進(jìn)行Portal認(rèn)證。因此對(duì)BAS設(shè)備的性能和可靠性要求非常高，一旦BAS設(shè)備出現(xiàn)故障將會(huì)導(dǎo)致全網(wǎng)所有用戶認(rèn)證過(guò)程中斷。

分布式部署就是將認(rèn)證所需的BAS設(shè)備上分布式部署在各個(gè)匯聚節(jié)點(diǎn)上，分別對(duì)各個(gè)園區(qū)進(jìn)行Portal認(rèn)證，因此BAS設(shè)備的性能要求稍低。該部署模式中，每臺(tái)BAS設(shè)備只需負(fù)責(zé)所在園區(qū)的認(rèn)證流程，影響范圍有限。

吐哈油田社區(qū)網(wǎng)涉及到近20000名用戶，如果采用集中式部署方式，對(duì)認(rèn)證網(wǎng)關(guān)設(shè)備性能和可靠性要求極高。目前業(yè)界支持20000名用戶Portal認(rèn)證的設(shè)備必須為高端機(jī)箱式設(shè)備，即使采用機(jī)箱式設(shè)備也基本上達(dá)到了該設(shè)備認(rèn)證數(shù)量的極限。隨著后續(xù)接入用戶的增多，還需要更換為更高端的認(rèn)證網(wǎng)關(guān)，后期投資大；另外，采用集中式部署影響范圍廣，一旦認(rèn)證網(wǎng)關(guān)出現(xiàn)故障，將造成全網(wǎng)用戶的認(rèn)證中斷。因此，在綜合對(duì)比以上兩種部署模式后，建議采用分布式部署模式。

三、優(yōu)化設(shè)計(jì)方案

（一）組網(wǎng)架構(gòu)。在社區(qū)網(wǎng)中采用Portal認(rèn)證方式的組網(wǎng)架構(gòu)如下圖所示：

1、現(xiàn)在部分家庭中部署了家庭寬帶路由器用于實(shí)現(xiàn)多終端上網(wǎng)的需求，家庭寬帶路由器上行接口和下行接口都接在LAN口上，DHCP服務(wù)設(shè)置關(guān)閉，簡(jiǎn)單講，就是將家庭寬帶路由器作為二層設(shè)備來(lái)使用，接入層交換機(jī)不做802.1x認(rèn)證，只做普通報(bào)文轉(zhuǎn)發(fā)。

2、社區(qū)網(wǎng)網(wǎng)關(guān)仍然設(shè)置在匯聚層的S6500交換機(jī)上，通過(guò)啟用DHCP服務(wù)對(duì)終端進(jìn)行規(guī)劃的IP地址的分配。在本方案中，需要在匯聚交換機(jī)上各旁掛1臺(tái)S5800交換機(jī)作為Portal認(rèn)證網(wǎng)關(guān)，用于小區(qū)內(nèi)的用戶認(rèn)證。

3、針對(duì)鄯善園區(qū)近4000名用戶的認(rèn)證接入需求，采用和哈密園區(qū)相同的分布式認(rèn)證方式，所有用戶的Portal認(rèn)證網(wǎng)關(guān)均部署在本地。在鄯善園區(qū)的每個(gè)匯聚節(jié)點(diǎn)部署1臺(tái)S5800交換機(jī)設(shè)備，在鄯善園區(qū)共需部署5臺(tái)。在鄯善園區(qū)，所有用戶的上網(wǎng)認(rèn)證都需要經(jīng)過(guò)部署在哈密園區(qū)的Portal服務(wù)器和綜合認(rèn)證系統(tǒng)，實(shí)現(xiàn)鄯善、哈密兩個(gè)園區(qū)統(tǒng)一的認(rèn)證接入。

（二）認(rèn)證流程。吐哈油田社區(qū)網(wǎng)采用Portal認(rèn)證方式：用戶通過(guò)IE訪問(wèn)需要授權(quán)的網(wǎng)絡(luò)資源，首先認(rèn)證過(guò)程經(jīng)過(guò)S5800網(wǎng)關(guān)設(shè)備；S5800網(wǎng)關(guān)發(fā)現(xiàn)用戶還沒(méi)有通過(guò)認(rèn)證則強(qiáng)制到Portal服務(wù)器；Portal 服務(wù)器將WEB頁(yè)面強(qiáng)推給用戶，提示用戶需要進(jìn)行認(rèn)證，用戶在WEB頁(yè)面中輸入用戶名密碼并提交認(rèn)證；S5800網(wǎng)關(guān)將用戶認(rèn)證信息轉(zhuǎn)換為Radius報(bào)文發(fā)送到現(xiàn)有綜合認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。

（三）IP地址規(guī)劃。在終端接入IP地址分配中，主要分為靜態(tài)IP地址和動(dòng)態(tài)IP地址兩類。在本方案中，如果配置靜態(tài)IP地址，涉及終端數(shù)量非常多，需要提前對(duì)每個(gè)終端進(jìn)行規(guī)劃，后期管理維護(hù)工作量巨大。如果配置動(dòng)態(tài)IP地址，只需在每個(gè)匯聚節(jié)點(diǎn)的三層網(wǎng)關(guān)配置DHCP功能即可，滿足用戶在不同區(qū)域接入的移動(dòng)上網(wǎng)需求。因此，建議采用動(dòng)態(tài)IP地址分配方式。

（四）高可靠性設(shè)計(jì)。吐哈油田社區(qū)網(wǎng)現(xiàn)有綜合認(rèn)證系統(tǒng)中，采用自研軟件進(jìn)行認(rèn)證、授權(quán)及計(jì)費(fèi)工作。本方案將由H3C iMC UAM用戶接入管理組件實(shí)現(xiàn)用戶身份認(rèn)證與現(xiàn)有認(rèn)證系統(tǒng)進(jìn)行有效融合實(shí)現(xiàn)對(duì)用戶上網(wǎng)認(rèn)證計(jì)費(fèi)的有效管理。

（五）用戶接入管理。本方案支持多終端接入，即同一個(gè)用戶名允許有多個(gè)終端同時(shí)上網(wǎng)。無(wú)論是臺(tái)式電腦、平板電腦還是智能手機(jī)，只要在允許的數(shù)量范圍內(nèi)，都可以同時(shí)上網(wǎng)，滿足家庭用戶多終端的上網(wǎng)需求。每個(gè)用戶名下可同時(shí)接入終端的數(shù)量可以在管理界面進(jìn)行設(shè)置，在滿足居民上網(wǎng)體驗(yàn)的同時(shí)做到可控可管，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。

（六）方案可行性分析。在設(shè)備投資方面：充分利用現(xiàn)網(wǎng)6500匯聚交換機(jī)、各樓層交換機(jī)、家用無(wú)線路由器及綜合認(rèn)證系統(tǒng)。只需在每個(gè)匯聚交換機(jī)旁掛1臺(tái)盒式交換機(jī)S5800作為本區(qū)域的Portal認(rèn)證網(wǎng)關(guān)，另外在核心交換機(jī)上旁掛服務(wù)器作為Portal服務(wù)器，Portal服務(wù)器運(yùn)行UAM用戶接入管理軟件。

在方案可靠性方面：增設(shè)備與現(xiàn)有設(shè)備及認(rèn)證系統(tǒng)可以實(shí)現(xiàn)良好的兼容?，F(xiàn)網(wǎng)部署的6500交換機(jī)與新增S5800交換機(jī)均為H3C品牌系列產(chǎn)品，并且新舊設(shè)備之間均通過(guò)標(biāo)準(zhǔn)網(wǎng)絡(luò)技術(shù)進(jìn)行互通，因此在硬件設(shè)備層面具有良好的兼容性；綜合認(rèn)證系統(tǒng)與新增S5800交換機(jī)采用標(biāo)準(zhǔn)Radius報(bào)文進(jìn)行通信，新增S5800交換機(jī)和現(xiàn)有綜合認(rèn)證系統(tǒng)均支持該報(bào)文，因此在兼容性方面均有良好的可行性。

四、方案優(yōu)點(diǎn)總結(jié)

對(duì)現(xiàn)有802.1x認(rèn)證方式進(jìn)行替換，采用Portal認(rèn)證方式主要具備以下幾方面優(yōu)點(diǎn)：

管理維護(hù)簡(jiǎn)單 ：采用Portal認(rèn)證方式不需要安裝客戶端軟件，通過(guò)網(wǎng)頁(yè)即可實(shí)現(xiàn)認(rèn)證。管理員不再需要逐一為每個(gè)上網(wǎng)用戶安裝和升級(jí)客戶端軟件，極大減輕管理難度。

部署簡(jiǎn)單：本方案在實(shí)施部署中，不需要對(duì)現(xiàn)有網(wǎng)絡(luò)架構(gòu)進(jìn)行變更，只需在每個(gè)匯聚節(jié)點(diǎn)旁掛一臺(tái)Portal認(rèn)證網(wǎng)關(guān)，實(shí)施工作量較小。

用戶體驗(yàn)感好：采用Portal認(rèn)證方式，通過(guò)網(wǎng)頁(yè)方式對(duì)用戶終端進(jìn)行認(rèn)證，因此可以實(shí)現(xiàn)對(duì)智能手機(jī)、平板電腦等移動(dòng)終端的認(rèn)證，可以滿足用戶不斷變化的終端認(rèn)證需求，整體上網(wǎng)體驗(yàn)可以得到保障。

認(rèn)證頁(yè)面人性化：可根據(jù)不同用戶的需求對(duì)認(rèn)證頁(yè)面進(jìn)行定制化開(kāi)發(fā)，滿足不同企業(yè)用戶的人性化、個(gè)性化需求，如可定制認(rèn)證頁(yè)面的標(biāo)題、內(nèi)容、背景等。