◆馬 煜

?

分析QinQ與Portal認(rèn)證技術(shù)在校園網(wǎng)的應(yīng)用

◆馬 煜

（陜西中醫(yī)藥大學(xué) 陜西 712046）

本文在分析QinQ技術(shù)與Portal認(rèn)證技術(shù)的基礎(chǔ)上，針對(duì)校園網(wǎng)絡(luò)構(gòu)建現(xiàn)狀，通過(guò)對(duì)校園網(wǎng)匯聚層設(shè)備的技術(shù)應(yīng)用實(shí)施，針對(duì)網(wǎng)內(nèi)不同的用戶及業(yè)務(wù)類型進(jìn)行了端口隔離與訪問(wèn)認(rèn)證，有效地避免了可能出現(xiàn)的網(wǎng)絡(luò)安全隱患，完善了校園網(wǎng)絡(luò)管理與控制技術(shù)。

QinQ技術(shù)；Portal認(rèn)證技術(shù)；校園網(wǎng)

0 引言

在互聯(lián)網(wǎng)飛速發(fā)展的今天，校園網(wǎng)絡(luò)與其線上應(yīng)用規(guī)模不斷擴(kuò)大，龐大的校園網(wǎng)用戶群體在控制與管理層面需要采用新的技術(shù)與方法。ARP攻擊與廣播域風(fēng)暴泛濫是校園網(wǎng)內(nèi)常見(jiàn)的網(wǎng)絡(luò)問(wèn)題，盡管通過(guò)VLAN劃分可以有效遏制該問(wèn)題引起的影響，但信息化校園建設(shè)的業(yè)務(wù)應(yīng)用擴(kuò)展所需的VLAN數(shù)早已超過(guò)傳統(tǒng)VLAN技術(shù)下的可用數(shù)量，為了滿足接入網(wǎng)上承載具有不同QoS需求的業(yè)務(wù)，采用一種新型的VLAN管理技術(shù)已是迫在眉睫，同時(shí)結(jié)合現(xiàn)有的Portal認(rèn)證技術(shù)去解決現(xiàn)階段校園網(wǎng)絡(luò)管理技術(shù)中的難題。

1 QinQ與Portal認(rèn)證技術(shù)簡(jiǎn)介

1.1 QinQ技術(shù)

QinQ技術(shù)是將私網(wǎng)VLAN Tag封裝在公網(wǎng)VLAN Tag中，網(wǎng)絡(luò)數(shù)據(jù)報(bào)文攜帶雙層Tag穿越信息服務(wù)商的骨干網(wǎng)絡(luò)中，從而為用戶提供一種二層VPN隧道[1]。QinQ協(xié)議是在IEEE 802.1Q技術(shù)的基礎(chǔ)上創(chuàng)建而成，因?yàn)樵诠歉删W(wǎng)絡(luò)傳輸中的數(shù)據(jù)幀有雙層802.1Q Tag標(biāo)記，所以被稱為QinQ協(xié)議。支持QinQ技術(shù)的網(wǎng)絡(luò)設(shè)備可以在數(shù)據(jù)傳輸時(shí)用一個(gè)公網(wǎng)VLAN將私網(wǎng)內(nèi)的多個(gè)VLAN保留。由于二層網(wǎng)絡(luò)中最多支持4094個(gè)VLAN，在實(shí)際應(yīng)用中數(shù)量遠(yuǎn)不能滿足業(yè)務(wù)需要，利用QinQ技術(shù)標(biāo)記兩層Tag，進(jìn)而可以實(shí)現(xiàn)4094*4094個(gè)VLAN，滿足了隔離用戶的需要。

1.2 Portal認(rèn)證技術(shù)

Portal認(rèn)證通常部署在校園網(wǎng)內(nèi)部管理中，當(dāng)用戶訪問(wèn)網(wǎng)絡(luò)時(shí)Portal認(rèn)證會(huì)自動(dòng)將訪問(wèn)頁(yè)面跳轉(zhuǎn)至認(rèn)證界面，通過(guò)輸入用戶名密碼登錄認(rèn)證后才可以訪問(wèn)互聯(lián)網(wǎng)資源。該認(rèn)證技術(shù)可以提供一種靈活的訪問(wèn)控制方式，不需安裝客戶端即可在接入層實(shí)施訪問(wèn)控制，而且對(duì)于校園內(nèi)的不同區(qū)域?qū)嵤￢LAN+DHCP池的級(jí)別控制，讓不同類型的用戶僅能夠在對(duì)應(yīng)的區(qū)域認(rèn)證登錄[2]。

2 校園網(wǎng)絡(luò)構(gòu)建與技術(shù)實(shí)施

2.1學(xué)校網(wǎng)絡(luò)構(gòu)建現(xiàn)狀

陜西中醫(yī)藥大學(xué)目前擁有南北兩個(gè)校區(qū)，對(duì)外的網(wǎng)絡(luò)出口分別包括教育專線、移動(dòng)專線、聯(lián)通專線和電信專線，校園網(wǎng)有線接入點(diǎn)擁有5400余個(gè)，無(wú)線AP設(shè)備部署800余個(gè)，接入層到匯聚層設(shè)備光纖互通。信息化建設(shè)管理處于2016年通過(guò)對(duì)原有網(wǎng)絡(luò)結(jié)構(gòu)的改造，在匯聚層設(shè)備上啟用了QinQ技術(shù)，極大地緩解了VLAN資源匱乏的現(xiàn)象，完善了校園網(wǎng)絡(luò)信息安全。用戶在教學(xué)、生活區(qū)的接入端使用Portal認(rèn)證技術(shù)訪問(wèn)互聯(lián)網(wǎng)資源，認(rèn)證賬號(hào)和密碼通過(guò)與認(rèn)證系統(tǒng)內(nèi)的數(shù)據(jù)庫(kù)對(duì)接，認(rèn)證成功后用戶即可連接互聯(lián)網(wǎng)。

2.2 QinQ技術(shù)的實(shí)施

陜中醫(yī)校園網(wǎng)骨干網(wǎng)絡(luò)通過(guò)核心、匯聚、接入三層構(gòu)建，核心層與匯聚層設(shè)備鏈路均已達(dá)到萬(wàn)兆相連，匯聚層部署了五臺(tái)H3C S7510E以太網(wǎng)交換機(jī)，分別管理無(wú)線AP設(shè)備群組、辦公區(qū)、學(xué)生區(qū)、家屬區(qū)、圖書館。考慮到網(wǎng)絡(luò)信息安全，信管處詳細(xì)劃分了各院系辦公室、教學(xué)樓、家屬樓、學(xué)生宿舍的接入層設(shè)備端口的VLAN，以便對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行統(tǒng)一集中的管理和監(jiān)控，通過(guò)對(duì)不同類型用戶的VLAN隔離，有效地防止了ARP攻擊與廣播風(fēng)暴。以家屬區(qū)匯聚層交換機(jī)某端口為例，配置如下：

Interface GigabitEthernet0/0/29

description to_xjsf-1

port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk pvidvlan 2005

port trunk permit vlan 500 2005

qinq enable

qinq transparent-vlan 500

通過(guò)此配置，管理Vlan500通過(guò)該端口時(shí)不需添加外層VLAN Tag標(biāo)記，而下聯(lián)接入層的所有用戶對(duì)外訪問(wèn)時(shí)，會(huì)自動(dòng)在源數(shù)據(jù)幀的Tag前添加公網(wǎng)VLAN Tag 2005傳輸，在達(dá)到目的地址后通過(guò)對(duì)公網(wǎng)VLAN Tag 2005剝離，識(shí)別源接入層用戶VLAN進(jìn)行信息的有效送達(dá)。

2.3 Portal認(rèn)證技術(shù)的實(shí)施

Portal認(rèn)證是通過(guò)HTTP協(xié)議發(fā)起認(rèn)證請(qǐng)求，HTTP報(bào)文經(jīng)過(guò)接入設(shè)備后，對(duì)訪問(wèn)Portal服務(wù)器的報(bào)文允許通過(guò)，對(duì)訪問(wèn)其他地址的報(bào)文重定向到Portal服務(wù)器[3]。Portal認(rèn)證技術(shù)提供網(wǎng)頁(yè)頁(yè)面引導(dǎo)用戶輸入賬號(hào)與密碼進(jìn)行認(rèn)證，其認(rèn)證過(guò)程大致如下:首先，用戶通過(guò)管理員靜態(tài)獲取IP或DHCP Server動(dòng)態(tài)獲取IP，直接訪問(wèn)Portal服務(wù)器；其次，用戶在登錄界面輸入的賬號(hào)與密碼被Web客戶端送達(dá)至Portal服務(wù)器；再次，Portal服務(wù)器將用戶請(qǐng)求發(fā)送至BAS(寬帶接入服務(wù)器)，隨后BAS傳遞到Radius(遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng))進(jìn)行認(rèn)證；最后，把認(rèn)證通過(guò)的信息傳回Portal服務(wù)器，再由Portal服務(wù)器推送認(rèn)證成功界面到用戶Web客戶端。針對(duì)Portal認(rèn)證，用戶所擁有的IP地址是唯一識(shí)別用戶類型的關(guān)鍵屬性，在不同類型用戶所處VLAN ID的網(wǎng)關(guān)設(shè)備上添加強(qiáng)制跳轉(zhuǎn)Portal認(rèn)證頁(yè)面的策略，可以有效實(shí)施對(duì)限定VLAN下的用戶進(jìn)行訪問(wèn)控制。

3 結(jié)束語(yǔ)

文章通過(guò)以陜中醫(yī)校園網(wǎng)絡(luò)部署結(jié)構(gòu)為背景，分析了QinQ與Portal認(rèn)證技術(shù)在校園網(wǎng)匯聚層設(shè)備上的應(yīng)用思路，通過(guò)對(duì)兩種技術(shù)的結(jié)合應(yīng)用，針對(duì)校園網(wǎng)內(nèi)不同的用戶及業(yè)務(wù)類型，安全穩(wěn)定地進(jìn)行了端口隔離，以避免可能出現(xiàn)的網(wǎng)絡(luò)安全隱患。

[1]李洪民.QINQ技術(shù)在高校校園網(wǎng)中的應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用，2014.

[2]邊永濤.靈活QinQ技術(shù)在校園網(wǎng)中的設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息，2010.

[3]閻琦.關(guān)于QINQ技術(shù)的探討[J].制造業(yè)自動(dòng)化，2010.