范華峰

摘 要：穩(wěn)定可靠、安全高可控、易維護等諸多優(yōu)點的運營商扁平化網(wǎng)絡正在逐步影響著高校，利用核心設備Bras路由器和接入控制系統(tǒng)實現(xiàn)對用戶接入控制。本文將基于Juniper MX 960多業(yè)務路由器為核心，通過對接入控制原理的分析，設計了扁平化網(wǎng)絡的接入認證系統(tǒng)，滿足高校網(wǎng)絡精細化管理的需求。

關鍵詞：COA；扁平化網(wǎng)絡；接入認證

中圖分類號：TP393.1 文獻標識碼：A

Design Flat Network Access Authentication System

FAN Huafeng

（Changzhou Institute of Mechatronic Technology，Changzhou 213164，China）

Abstract：Reliable，secure high controllability，easy maintenance and many other advantages of the flat network operators are gradually affecting the universities，the use of core equipment Bras routers and access control system to realize the user access control.This article is based on Juniper MX 960 Services Router as the core，through the access control principle of analysis，design a flat network access authentication system to meet the needs of the university network meticulous management.

Keywords：COA；flat network；access authentication

1 引言（Introduction）

隨著應用與管理的深入，以Cisco為代表的三層網(wǎng)絡構建模式面臨著諸多難以解決的問題，越來越多的高校在參考各大運營商的網(wǎng)絡發(fā)展經(jīng)驗后，網(wǎng)絡結構正在從復雜的多層結構轉向以Juniper為代表的簡單扁平化結構[1]發(fā)展。在校園網(wǎng)中，通過部署Juniper MX960作為核心路由器，利用其Bras功能通過radius協(xié)議與接入認證系統(tǒng)交互，實現(xiàn)靈活的網(wǎng)絡接入控制、認證和計費等方面功能。

2 Radius協(xié)議（Radius protocol）

RADIUS協(xié)議（Remote Access Dail-In User Service，遠程認證撥號用戶服務協(xié)議）主要提供三個基本功能：Authentication（認證）、Authorization（授權）、Accounting（計費），即AAA功能[2]。該協(xié)議是一種可擴展的協(xié)議，采用C/S構架模型，以UDP作為傳輸協(xié)議（1812認證授權端口，1813記賬端口），具有強大的認證能力，是管理遠程用戶驗證和授權的常用方法。

3 接入控制原理（Access control principle）

用戶設備（有線、無線）通過采用QinQ的方式連接至核心路由器，接入控制將進行如下步驟：（1）用戶設備配置DHCP動態(tài)獲取IP地址，發(fā)起Dhcp Discovery。（2）核心路由器根據(jù)用戶的DHCP請求（包含設備MAC地址、接入QinQ編號或VLAN號、設備指紋等）信息生成唯一會話編號，同時將DHCP請求轉換成Radius請求，轉發(fā)請求至接入認證系統(tǒng)做DHCP認證，對該設備進行合法性校驗。（3）接入認證系統(tǒng)查詢相關數(shù)據(jù)判斷用戶設備是否允許接入，若允許接入則回應Accept，同時下發(fā)radius的相關屬性包含訪問策略、帶寬管理策等。（4）路由器根據(jù)接入認證系統(tǒng)返回的數(shù)據(jù)生成一個動態(tài)邏輯接口并將相關的Radius屬性應用到該接口上下發(fā)用戶獲取到的IP地址。此時就完成了對用戶設備的初始化控制。（5）路由器將用戶設備獲取的IP地址、會話編號和認證的相關信息生成Radius記賬開始報文發(fā)送給接入認證系統(tǒng)。（6）在用戶設備上打開瀏覽器打開任意網(wǎng)頁。（7）web請求被將進入核心路由器上用戶設備對應的動態(tài)邏輯接口，動態(tài)邏輯接口此時策略會將用戶請求重定向到認證設備上的PORTAL登錄頁面，當打開登錄頁面時，認證設備將根據(jù)設備的IP地址找到相應的會話編號，認證設備根據(jù)用戶輸入用戶名和密碼，查找相關數(shù)據(jù)得到用戶的策略信息，認證設備使用會話編號和用戶策略信息向核心路由器發(fā)起Radius COA擴展協(xié)議報文，通知路由器修改該會話編號對應的邏輯接口的策略信息。（8）路由器收到接入認證系統(tǒng)的發(fā)來的COA報文后，修改邏輯接口相關策略。（9）成功后向接入認證系統(tǒng)發(fā)送Ack報文和發(fā)生記賬更新報文，此時可以實現(xiàn)設備、賬號、訪問權限的完全綁定。如圖1所示。

4 系統(tǒng)設計（System design）

通過對接入原理的分析，每一個認證通過的設備在核心路由器上都會生成一個動態(tài)邏輯接口，每個邏輯接口對應一臺用戶設備，此時會話編號及邏輯接口和用戶設備唯一綁定，用戶設備的所有進出流量只能通過該邏輯接口進行傳輸，即邏輯接口具有什么權限，用戶設備就具有相應的權限。若要向核心路由器發(fā)送指定用戶會話編號COA請求，路由器就會修改該邏輯接口的權限，從而實現(xiàn)對用戶的精細化管理。如圖2所示。

系統(tǒng)主要由協(xié)議模塊、Radius服務模塊、Portal服務模塊、記賬服務模塊和數(shù)據(jù)庫模塊組成。協(xié)議模塊完成對Radius協(xié)議進行編解碼；Radius服務模塊接受核心路由器MX960的認證請求并查詢數(shù)據(jù)庫模塊來判斷用戶設備是否允許接入，認證結果通過協(xié)議模塊返回給路由器；Portal服務模塊向用戶提供用戶名密碼輸入網(wǎng)頁，當用戶設備完成初始化配置后，所以的用戶Web流量都會重定向至“用戶認證頁”，用戶輸入認證信息后，Portal將根據(jù)數(shù)據(jù)庫判斷用戶是否有權改變當前策略并返回新的策略名稱，Portal同時通過協(xié)議模塊向核心路由器發(fā)送改變策略的請求并等待路由器返回執(zhí)行結果；記賬服務每隔一段時間對Radius的記賬報文進行統(tǒng)計，實現(xiàn)對用戶每次上網(wǎng)的時間、流量進行統(tǒng)計和管理。

系統(tǒng)采用Java語言，使用Hibernete+Struts2結合開發(fā)，如圖3和圖4所示。

5 結論（Conclusion）

本論文結合實際高校應用的需求，根據(jù)Juniper MX 960多業(yè)務路由器的接口規(guī)范，設計了扁平化網(wǎng)絡的接入認證系統(tǒng)，系統(tǒng)實現(xiàn)了對用戶接入地點、時長、流量、帶寬等屬性進行精細化管理，使得網(wǎng)絡管理與維護更簡單，改善了用戶的體驗。該系統(tǒng)已在常州機電職業(yè)技術學院使用半年來非常穩(wěn)定，最高同時在線用戶達6500人。

參考文獻（References）

[1] 覃毅.校園網(wǎng)絡扁平化架構設計與實施[J].農(nóng)業(yè)網(wǎng)絡信息，2015（7）：20-22.

[2] RFC2865.Remote Authentication Dial In UserService（RADIUS）[S].

[3] RFC2869 RADIUS Extensions[S].