基于802.1x協(xié)議的跨平臺網(wǎng)絡(luò)管理認(rèn)證系統(tǒng)設(shè)計與實(shí)現(xiàn)

劉宸

摘 要：以西安交通大學(xué)校園網(wǎng)為例，介紹了校園網(wǎng)建設(shè)概況。針對校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋸?fù)雜、網(wǎng)絡(luò)設(shè)備繁多、用戶數(shù)量龐大等狀況，對比了802.1x、PPPoE、Web/Portal 3種常見認(rèn)證方式的優(yōu)缺點(diǎn)，闡述了網(wǎng)絡(luò)管理認(rèn)證系統(tǒng)的分析、設(shè)計及實(shí)現(xiàn)方法，最后通過模擬實(shí)際使用場景對系統(tǒng)進(jìn)行了完整測試。通過該系統(tǒng)的研發(fā)，增強(qiáng)了校園網(wǎng)絡(luò)安全性，提高了網(wǎng)絡(luò)可靠性，滿足了學(xué)校信息化管理和網(wǎng)絡(luò)應(yīng)用需求，探索出一套針對校園網(wǎng)精細(xì)化管理問題有效的解決方案。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)管理；802.1x；Radius；認(rèn)證協(xié)議

DOI：10.11907/rjdk.172901

中圖分類號：TP319

文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2018）006-0128-04

Abstract：Taking Xi′an Jiao Tong University campus network as an example， this paper firstly introduces general situation of campus network construction，secondly according to the complicated architectures， diverse devices and large number of users condition，the advantages and disadvantages of three common authentication methods of 802.1x， PPPoE and Web/Portal are compared. This paper expounds the analysis， design and implementation method of network management authentication system. Finally， the whole system is tested by simulating the actual use scenarios. With the development of the system， network security is enhanced， network reliability is improved， which meet our school information management and network applications requirements. A set of solutions which can effectively solve the problems of campus network management is explored.

Key Words：802.1x； Radius； authentication； protocol

0 引言

西安交通大學(xué)于1994年開始進(jìn)行校園網(wǎng)建設(shè)，是國內(nèi)最早接入互聯(lián)網(wǎng)的高校之一。經(jīng)過20多年的建設(shè)，截至目前，已累計完成投資5 000多萬元，建立起一個規(guī)模龐大、運(yùn)營良好的校園計算機(jī)網(wǎng)絡(luò)，在國內(nèi)高校處于領(lǐng)先水平。其中，共完成光纖鋪設(shè)94km，校園聯(lián)網(wǎng)機(jī)器超過50 000臺，網(wǎng)絡(luò)出口帶寬2.5Gb。2013年，通過國家CNGI校園網(wǎng)IPv6技術(shù)升級子項(xiàng)目建設(shè)，學(xué)校校園網(wǎng)已全面升級為萬兆主干互聯(lián)、千兆鏈路到樓宇、百兆鏈路到桌面，覆蓋了所有教學(xué)區(qū)域、學(xué)生宿舍，以及3個附屬醫(yī)院與家屬區(qū)的IPv6/IPv4雙棧網(wǎng)絡(luò)。

學(xué)校同時也是中國教育科研和計算機(jī)網(wǎng)（CERNET）西北地區(qū)中心的依托單位，負(fù)責(zé)接入西北地區(qū)各高校校園網(wǎng)，西安市教育城域網(wǎng)也由學(xué)校網(wǎng)絡(luò)中心負(fù)責(zé)建設(shè)與運(yùn)行管理。在國家下一帶互聯(lián)網(wǎng)（CNGI）計劃中，學(xué)校是CERNET2的主節(jié)點(diǎn)之一，并自行建設(shè)了校園IPv6科研網(wǎng)。

在校園網(wǎng)中包括2個主干網(wǎng)：一個為運(yùn)行主干網(wǎng)，上聯(lián)CERNET（IPv4），可滿足教學(xué)、科研、管理等對網(wǎng)絡(luò)的需求；另一個為科研主干網(wǎng)，上聯(lián)CERNET2（IPv6），主要為各學(xué)科特定的科研需求提供支持，以滿足國家對下一代互聯(lián)網(wǎng)研究的需求。

經(jīng)過10多年發(fā)展，尤其是近期CNGI-IPv6校園網(wǎng)升級子項(xiàng)目建設(shè)，校園網(wǎng)已發(fā)展成為一個擁有超過5萬不同類型網(wǎng)絡(luò)終端用戶，以及約2 000臺品牌型號各異的網(wǎng)絡(luò)設(shè)備，支持IPv4/IPv6雙棧技術(shù)，提供郵件、存儲、FTP、Web等多種網(wǎng)絡(luò)應(yīng)用的龐大而復(fù)雜的園區(qū)網(wǎng)絡(luò)。管理、運(yùn)行、維護(hù)該網(wǎng)絡(luò)急需一套與之相適應(yīng)的高度自動化與智能化的用戶管理系統(tǒng)。

國內(nèi)外現(xiàn)有的網(wǎng)絡(luò)用戶管理系統(tǒng)多由設(shè)備廠商自行開發(fā)，通常面向單一品牌，品牌依賴性較強(qiáng)，部分系統(tǒng)如IBM Tivoli、HP OpenView、Cisco NetWorks雖然能夠部分支持多品牌，但主要集中在網(wǎng)絡(luò)設(shè)備自身的管理上，缺乏用戶管理功能，且系統(tǒng)龐大復(fù)雜，部署困難。目前，業(yè)內(nèi)尚沒有完全符合學(xué)校網(wǎng)絡(luò)用戶管理需求的產(chǎn)品。

1 網(wǎng)絡(luò)管理認(rèn)證系統(tǒng)研究現(xiàn)狀

目前，國內(nèi)外高校主要采用網(wǎng)絡(luò)認(rèn)證方式，802.1×[1-3]、PPPoE、Web/Portal 3種常見認(rèn)證方式對比如表1所示[4]。

綜上述，由于802.1 x認(rèn)證的突出優(yōu)點(diǎn)是實(shí)現(xiàn)簡單、認(rèn)證效率高、安全可靠，無需多業(yè)務(wù)網(wǎng)管設(shè)備，既能保證IP網(wǎng)絡(luò)的無縫相連，同時消除了網(wǎng)絡(luò)認(rèn)證計費(fèi)瓶頸的單點(diǎn)故障。在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，可大大降低整個網(wǎng)絡(luò)的建網(wǎng)成本。因此，目前基于802.1x的認(rèn)證技術(shù)在校園網(wǎng)絡(luò)應(yīng)用非常普遍。

2 網(wǎng)絡(luò)管理認(rèn)證系統(tǒng)分析與設(shè)計

2.1 系統(tǒng)分析

為進(jìn)一步適應(yīng)校園網(wǎng)管理需要，解決現(xiàn)有校園網(wǎng)面臨的各種問題，如業(yè)務(wù)種類、用戶種類及設(shè)備類型繁多等，迫切需要設(shè)計實(shí)現(xiàn)一套融合統(tǒng)一用戶管理、統(tǒng)一認(rèn)證管理、統(tǒng)一客戶端等多功能于一體的適應(yīng)IPv6/IPv4雙棧網(wǎng)絡(luò)的綜合一體化校園網(wǎng)用戶管理系統(tǒng)。學(xué)校校園網(wǎng)管理現(xiàn)狀如下：

（1）網(wǎng)絡(luò)管理。網(wǎng)絡(luò)設(shè)備多樣化，多廠商、多型號、功能不一；用戶類型有教職工、學(xué)生、家屬、其他；IP地址分配分為靜態(tài)分配、動態(tài)分配、靜態(tài)動態(tài)混合分配。

（2）用戶管理。目前校園網(wǎng)在網(wǎng)人數(shù)達(dá)3萬余人，用戶類型繁多。不同用戶類型需要不同的網(wǎng)絡(luò)權(quán)限，設(shè)置復(fù)雜繁瑣，極易出現(xiàn)各種問題。

（3）安全管理。網(wǎng)絡(luò)及出口由總體防火墻及流控設(shè)備進(jìn)行管理，缺乏具體安全防護(hù)措施；用戶終端需自行安裝防病毒軟件；應(yīng)用服務(wù)器僅小部分有統(tǒng)一防護(hù)，大部分由系統(tǒng)管理員自行負(fù)責(zé)。

2.2 系統(tǒng)設(shè)計

該系統(tǒng)在設(shè)計中要考慮的一個重要因素，就是要基于已建設(shè)的校園網(wǎng)絡(luò)，融合多廠商、多品牌網(wǎng)絡(luò)設(shè)備，在不對校園網(wǎng)總體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)作較大改變的前提下，實(shí)現(xiàn)校園網(wǎng)用戶分類以及訪問權(quán)限的差異，面向不同用戶提供不同的網(wǎng)絡(luò)訪問權(quán)限控制，并通過與校園網(wǎng)內(nèi)其它應(yīng)用系統(tǒng)對接，構(gòu)成統(tǒng)一數(shù)字化校園網(wǎng)。校園網(wǎng)平臺架構(gòu)如圖1所示，網(wǎng)絡(luò)管理認(rèn)證系統(tǒng)見其中深色部分。

2.3 系統(tǒng)數(shù)據(jù)庫設(shè)計

系統(tǒng)數(shù)據(jù)庫在設(shè)計上分為認(rèn)證數(shù)據(jù)管理、管理數(shù)據(jù)管理與業(yè)務(wù)支持?jǐn)?shù)據(jù)管理，3部分通過關(guān)聯(lián)字段建立關(guān)聯(lián)，協(xié)同完成系統(tǒng)的數(shù)據(jù)庫工作。

認(rèn)證數(shù)據(jù)管理包括系統(tǒng)用到的教職工、學(xué)生、離退休人員數(shù)據(jù)，該部分?jǐn)?shù)據(jù)從數(shù)字校園統(tǒng)一平臺公共數(shù)據(jù)庫進(jìn)行對接獲取。除人員數(shù)據(jù)外，認(rèn)證管理數(shù)據(jù)還包括用戶分組數(shù)據(jù)、校園網(wǎng)絡(luò)區(qū)域數(shù)據(jù)及其它數(shù)據(jù)。該部分?jǐn)?shù)據(jù)庫的部署是在一臺IBM服務(wù)器上采用數(shù)據(jù)視圖的方式進(jìn)行對接。

管理數(shù)據(jù)包含所有認(rèn)證網(wǎng)絡(luò)設(shè)備、RADIUS[5-6]及DHCP等數(shù)據(jù)，還包含相關(guān)環(huán)境數(shù)據(jù)信息等。

業(yè)務(wù)支持?jǐn)?shù)據(jù)管理指系統(tǒng)的業(yè)務(wù)功能數(shù)據(jù)及相應(yīng)的支持?jǐn)?shù)據(jù)部分，是支撐系統(tǒng)使用的基礎(chǔ)部分，也是系統(tǒng)核心部分，主要包括認(rèn)證數(shù)據(jù)、環(huán)境配置數(shù)據(jù)、業(yè)務(wù)同步數(shù)據(jù)、業(yè)務(wù)管理數(shù)據(jù)及日志數(shù)據(jù)。3部分?jǐn)?shù)據(jù)管理關(guān)系[7]如圖2所示。

3 系統(tǒng)開發(fā)實(shí)現(xiàn)

本系統(tǒng)采用Java語言開發(fā)，服務(wù)器端和應(yīng)用服務(wù)器均使用Liunx操作系統(tǒng)，數(shù)據(jù)庫為PostgreSQL。基于Sun JEE平臺，采用XML、SCOKET、JDBC、JAVABEAN等技術(shù)開發(fā)架構(gòu)[8]。

開發(fā)客戶機(jī)使用Windows 7操作系統(tǒng)、IE7.0以上瀏覽器，開發(fā)采用的Java環(huán)境是JDK1.4.2，開發(fā)工具為myEclipse6.5、PLSQL7.0。

系統(tǒng)認(rèn)證客戶端運(yùn)行于用戶計算機(jī)，占用資源少且平均。由于存在很多功能模塊以及在后臺運(yùn)行的眾多分析、采集功能，不可避免會占用用戶系統(tǒng)資源，因此要求能夠依據(jù)用戶對系統(tǒng)使用狀況動態(tài)調(diào)整資源分配，盡可能地將數(shù)據(jù)采集、上報等功能在用戶資源空閑時調(diào)用；客戶端界面效果美觀，有豐富的皮膚可供選擇；功能按鈕布局合理，名稱規(guī)范通俗易懂，用戶較易上手操作。

客戶端具有上網(wǎng)記錄統(tǒng)計功能，可方便用戶查詢上網(wǎng)日志?？蛻舳诉€擁有浮動消息功能，可由系統(tǒng)管理員自定義消息內(nèi)容，配置發(fā)布時間。消息的主要數(shù)據(jù)屬性有：標(biāo)題、內(nèi)容、發(fā)布時間段、區(qū)域?？蛻舳诉€具有網(wǎng)絡(luò)診斷功能，在網(wǎng)絡(luò)不通時，可進(jìn)行一鍵診斷，方便用戶排除故障?？蛻舳苏J(rèn)證與網(wǎng)絡(luò)診斷界面如圖3、圖4所示。

4 系統(tǒng)測試

對認(rèn)證客戶端穩(wěn)定性的測試也是對系統(tǒng)長期穩(wěn)定運(yùn)行能力的測試。在系統(tǒng)運(yùn)行過程中，對系統(tǒng)施壓，觀察系統(tǒng)各種性能指標(biāo)[9]。由于客戶端軟件運(yùn)行在單機(jī)環(huán)境下，所以不存在并發(fā)用戶數(shù)概念，取而代之的是一些多進(jìn)程、長時間的操作，以及各種復(fù)雜的并發(fā)場景組合。一款客戶端軟件的穩(wěn)定性測試需求包括：①長時間運(yùn)行及各種操作下，軟件的可靠性以及各種性能指標(biāo)的劣化趨勢；②多進(jìn)程或多線程運(yùn)行時的穩(wěn)定性；③不同操作系統(tǒng)在不同宿主軟件下運(yùn)行的穩(wěn)定性。

4.1 場景設(shè)計及實(shí)現(xiàn)

測試場景一般為模擬平常的壓力與實(shí)際中用戶的日常操作。本次客戶端產(chǎn)品的穩(wěn)定性測試場景設(shè)計如圖5所示。

4.2 穩(wěn)定性測試

穩(wěn)定性測試不同于功能測試的自動化，它屬于一種概率性測試，需要長期運(yùn)行后才能得出最后的測試結(jié)論。即使穩(wěn)定性測試通過，也不能保證系統(tǒng)實(shí)際運(yùn)行時不出問題。所以要盡可能地提高測試可靠性，可以通過增加測試次數(shù)、延長測試時間、增大測試壓力的方法提高測試可靠性。

當(dāng)存在多組穩(wěn)定性場景時，為了保證運(yùn)行的及時性與可靠性，以及滿足測試環(huán)境的多樣性，穩(wěn)定性測試執(zhí)行需要采用多臺機(jī)器。如果條件允許，可以使用不同環(huán)境及配置的物理機(jī)進(jìn)行測試，也可以使用虛擬機(jī)，以更好地滿足穩(wěn)定性測試需求。

當(dāng)存在多個運(yùn)行環(huán)境和多組case時，為了保證測試場景組合的多樣性，各組case要階段性地在每個運(yùn)行環(huán)境中循環(huán)執(zhí)行，因此需要一個清晰、明確的執(zhí)行計劃和記錄?？蛻舳朔€(wěn)定性測試環(huán)境如表2所示。

4.3 測試結(jié)果

通過長時間多次對不同環(huán)境測試場景的測試，客戶端均沒有出現(xiàn)崩潰、假死等現(xiàn)象，并且客戶端對計算資源占用率小，性能指標(biāo)劣化趨勢不明顯。所以綜合測試結(jié)果表明，客戶端子系統(tǒng)可滿足對設(shè)計的穩(wěn)定性要求。

5 結(jié)語

本文在充分分析校園網(wǎng)發(fā)展現(xiàn)狀之后，提出基于802.1x協(xié)議的統(tǒng)一網(wǎng)絡(luò)管理認(rèn)證系統(tǒng)。該系統(tǒng)是為了解決校園網(wǎng)面臨的各種問題而設(shè)計實(shí)現(xiàn)的一套融合統(tǒng)一用戶管理、統(tǒng)一認(rèn)證管理、統(tǒng)一客戶端等多功能于一體的校園網(wǎng)用戶管理系統(tǒng)。網(wǎng)絡(luò)管理認(rèn)證系統(tǒng)投入使用后，截至目前，系統(tǒng)運(yùn)行狀態(tài)穩(wěn)定，效果良好，達(dá)到了預(yù)期效果。目前在校園學(xué)生區(qū)多個宿舍樓宇使用，最高同時在線人數(shù)達(dá)到4 000余人。該系統(tǒng)對學(xué)校學(xué)生區(qū)網(wǎng)絡(luò)的管理和維護(hù)，起到了不可替代的作用。

參考文獻(xiàn)：

[1] IEEE802[EB/OL].http：//en.wikipedia.org/wiki/IEEE_802.

[2] IEEE802.1X[EB/OL].http：//en.wikipedia.org/wiki/IEEE_802.1X.

[3] H3C.802.1x技術(shù)介紹[EB/OL].http：//www.h3c.com.cn.

[4] PPPOE、Web+Portal、802.1x常見三種認(rèn)證方式對比[EB/OL].http：//h3cxbj502.blog.51cto.com/821994/388910.

[5] 李春科，李偉華.MD5加密算法及其在RADIUS協(xié)議中的應(yīng)用[J].微電子學(xué)與計算機(jī)， 2004，21（2）：21-24.

[6] 楊建軍，賈晨軍，冉立新.基于RADIUS協(xié)議的網(wǎng)絡(luò)認(rèn)證技術(shù)研究[J].浙江大學(xué)學(xué)報，2005，39（2）：234-237.

[7] 賈向煒.基于流程再造的協(xié)同校務(wù)系統(tǒng)的設(shè)計和實(shí)現(xiàn)[D].西安：西安交通大學(xué)，2012.

[8] 周賢偉，劉寧，覃伯平.IEEE802.1x協(xié)議的認(rèn)證機(jī)制及其改進(jìn)[J].計算機(jī)應(yīng)用，2006，26（12）：2894-2896.

[9] 客戶端穩(wěn)定性測試[EB/OL].http：∥www.51testing.com/html/45/n-813445.html.

（責(zé)任編輯：黃 ?。?/p>