论文部分内容阅读
摘 要:一种新的校园网运营和实现方法,在校园网在多出口(如CERNET出口和新增运营商网络出口)、多认证(校方和合作运营方)情况下,实现以下目标:不认证用户能够使用校园网免费资源,两类认证用户账号均可在校园网接入网上使用,其中仅校方认证的用户能通过原CERNET出口链路访问外部网络,仅合作运营方认证的用户能够通过运营商网络出口链路访问外部网络,解决合作运营校园网结构问题和二次认证等难题。
关键词:校园网 认证 方法
中图分类号:TP393.18 文献标识码:A 文章编号:1007-3973(2013)008-101-02
1 背景与问题
随着高校网络需求不断提高,高校校园网通常在中国教育和科研计算机网(CERNET,China Education & Research Net)出口之外另增运营商网络出口;高校与其他社会力量合作建设和运营校园网成为部分高校的选择。校园网开始从过去的单出口(CERNET)、单认证计费管理方(校方),逐步向多出口(CERNET出口以及一到多个运营商网络出口)、多认证计费管理方(校方及合作运营方)发展,出现了校园网多出口、多认证、多方对网络运营进行管理监督的复杂情况。
对于多接入网络、多出口、多认证计费管理方的情况,现有方案的各种实现方法只能以降低要求为主,如:简化网络结构,采用二层网络结构和PPPOE认证方式,将数据交换负担集中在BAS设备上;简化认证管理,由学校或运营商统一进行认证计费管理,或将校园网分离为两个平面,校园有线网络由校方管理,运营商投资另建独立的校园接入网由运营商独立管理,或要求用户进行二次认证。
由于校园网用户与家庭用户不同,校园网存在大量的内部资源共享情况,采用二层网络及PPPOE认证使核心交换设备负荷过重,而且不利于网络安全;简化认证则不利于校园网的灵活运营。现有方法不能真正实现多接入网络、多出口、多认证的校园网。
2 一种新的校园网方案
2.1 传统的原有校园网结构
2.2 新的校园网结构
图1为常见的校园网结构,校方自主运营,当增加新的运营合作方时,出现了双方共同认证的需要,实现方法见图2。
其中:校园网接入网,采用三层网络结构,用于为用户提供网络服务。
认证网关,用于接收校园网内终端发送的网络访问请求,当网络访问的目的地址为校园网外部地址时,向该终端推送Web认证登陆页,接收用户通过该页面返回的账号类别及账号,确认账号类别如果账号类别是校方认证的I类账号,向本地认证计费服务器发起认证请求,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,如果否,向远程计费服务器发起认证,通过后,将该终端访问网络的数据包路由指向校园网第二出口;
校园网核心交换机,用于根据设定的路由策略将数据包传输到相应网络中;
校园网第一出口,归属于校方,用于连接校园网和外部网络CERNET,传输校园网的数据包;
校园网第二出口,归属于合作运营方,用于连接校园网和外部网络运营商网络,传输校园网的数据包;
本地认证计费服务器,归属于校方,用于对I类账号用户进行认证计费;
远程认证计费服务器,归属于合作运营方,用于对Ⅱ类账号进行认证计费。
2.3 新的校园网认证方案
如图2所示,在不改变原有校园网三层网络架构和设备的基础上,新增认证网关,完成基于账号进行认证并路由控制的功能。认证网关不仅是接入设备,同时也是账号认证和路由控制设备,具体过程如下:
A、认证网关接收到校园网内终端发送的网络访问请求,根据目的地址确定是否为校园网内地址,如果是,执行步骤B;否则,执行步骤C;
B、认证网关将该终端访问网络的数据包路由指向校园网内;
C、认证网关向该终端推送Web认证登陆页,接收该用户通过该页面返回的账号类别、账号及密码,确认账号类别如果是校方认证的I类账号,则执行步骤D;否则执行步骤E;
D、认证网关向校方的本地认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,控制用户通过校园网的第一出口访问外部网络中国教育和科研计算机网CERNET;
E、认证网关向合作运营方的远程认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第二出口,控制该用户通过校园网的第二出口访问外部网络运营商网络。接入控制网关在线侦听远程认证计费服务器的认证成功信息,根据侦听的认证成功信息确定认证成功用户的数据包,透传认证成功用户的数据包,阻断未认证用户数据包。
2.4 各类型用户的权限和出口路由
3 小结
通过本方法,在不改变校园原有网络结构的前提下,灵活的解决了多接入、多出口、多认证的组网问题,校方及合作运营商实现了对校园网的共同运营和监管,并最大限度的保护了既有网络建设的投资。本方法也适用于其他合作运营的园区网络。
参考文献:
[1] 田志英.基于RADIUS协议的校园网用户认证计费系统的实现[D].西安:西安科技大学,2010.
[2] 宗永升.校园网认证计费系统研究与设计[J].软件开发与设计,2011(12).
[3] 李健.一个安全宽带接入系统的建立[J].计算机工程,2012(6).
关键词:校园网 认证 方法
中图分类号:TP393.18 文献标识码:A 文章编号:1007-3973(2013)008-101-02
1 背景与问题
随着高校网络需求不断提高,高校校园网通常在中国教育和科研计算机网(CERNET,China Education & Research Net)出口之外另增运营商网络出口;高校与其他社会力量合作建设和运营校园网成为部分高校的选择。校园网开始从过去的单出口(CERNET)、单认证计费管理方(校方),逐步向多出口(CERNET出口以及一到多个运营商网络出口)、多认证计费管理方(校方及合作运营方)发展,出现了校园网多出口、多认证、多方对网络运营进行管理监督的复杂情况。
对于多接入网络、多出口、多认证计费管理方的情况,现有方案的各种实现方法只能以降低要求为主,如:简化网络结构,采用二层网络结构和PPPOE认证方式,将数据交换负担集中在BAS设备上;简化认证管理,由学校或运营商统一进行认证计费管理,或将校园网分离为两个平面,校园有线网络由校方管理,运营商投资另建独立的校园接入网由运营商独立管理,或要求用户进行二次认证。
由于校园网用户与家庭用户不同,校园网存在大量的内部资源共享情况,采用二层网络及PPPOE认证使核心交换设备负荷过重,而且不利于网络安全;简化认证则不利于校园网的灵活运营。现有方法不能真正实现多接入网络、多出口、多认证的校园网。
2 一种新的校园网方案
2.1 传统的原有校园网结构
2.2 新的校园网结构
图1为常见的校园网结构,校方自主运营,当增加新的运营合作方时,出现了双方共同认证的需要,实现方法见图2。
其中:校园网接入网,采用三层网络结构,用于为用户提供网络服务。
认证网关,用于接收校园网内终端发送的网络访问请求,当网络访问的目的地址为校园网外部地址时,向该终端推送Web认证登陆页,接收用户通过该页面返回的账号类别及账号,确认账号类别如果账号类别是校方认证的I类账号,向本地认证计费服务器发起认证请求,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,如果否,向远程计费服务器发起认证,通过后,将该终端访问网络的数据包路由指向校园网第二出口;
校园网核心交换机,用于根据设定的路由策略将数据包传输到相应网络中;
校园网第一出口,归属于校方,用于连接校园网和外部网络CERNET,传输校园网的数据包;
校园网第二出口,归属于合作运营方,用于连接校园网和外部网络运营商网络,传输校园网的数据包;
本地认证计费服务器,归属于校方,用于对I类账号用户进行认证计费;
远程认证计费服务器,归属于合作运营方,用于对Ⅱ类账号进行认证计费。
2.3 新的校园网认证方案
如图2所示,在不改变原有校园网三层网络架构和设备的基础上,新增认证网关,完成基于账号进行认证并路由控制的功能。认证网关不仅是接入设备,同时也是账号认证和路由控制设备,具体过程如下:
A、认证网关接收到校园网内终端发送的网络访问请求,根据目的地址确定是否为校园网内地址,如果是,执行步骤B;否则,执行步骤C;
B、认证网关将该终端访问网络的数据包路由指向校园网内;
C、认证网关向该终端推送Web认证登陆页,接收该用户通过该页面返回的账号类别、账号及密码,确认账号类别如果是校方认证的I类账号,则执行步骤D;否则执行步骤E;
D、认证网关向校方的本地认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,控制用户通过校园网的第一出口访问外部网络中国教育和科研计算机网CERNET;
E、认证网关向合作运营方的远程认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第二出口,控制该用户通过校园网的第二出口访问外部网络运营商网络。接入控制网关在线侦听远程认证计费服务器的认证成功信息,根据侦听的认证成功信息确定认证成功用户的数据包,透传认证成功用户的数据包,阻断未认证用户数据包。
2.4 各类型用户的权限和出口路由
3 小结
通过本方法,在不改变校园原有网络结构的前提下,灵活的解决了多接入、多出口、多认证的组网问题,校方及合作运营商实现了对校园网的共同运营和监管,并最大限度的保护了既有网络建设的投资。本方法也适用于其他合作运营的园区网络。
参考文献:
[1] 田志英.基于RADIUS协议的校园网用户认证计费系统的实现[D].西安:西安科技大学,2010.
[2] 宗永升.校园网认证计费系统研究与设计[J].软件开发与设计,2011(12).
[3] 李健.一个安全宽带接入系统的建立[J].计算机工程,2012(6).