分析QinQ與Portal認證技術在校園網的應用

◆馬 煜

?

分析QinQ與Portal認證技術在校園網的應用

◆馬 煜

（陜西中醫藥大學 陜西 712046）

本文在分析QinQ技術與Portal認證技術的基礎上，針對校園網絡構建現狀，通過對校園網匯聚層設備的技術應用實施，針對網內不同的用戶及業務類型進行了端口隔離與訪問認證，有效地避免了可能出現的網絡安全隱患，完善了校園網絡管理與控制技術。

QinQ技術；Portal認證技術；校園網

0 引言

在互聯網飛速發展的今天，校園網絡與其線上應用規模不斷擴大，龐大的校園網用戶群體在控制與管理層面需要采用新的技術與方法。ARP攻擊與廣播域風暴泛濫是校園網內常見的網絡問題，盡管通過VLAN劃分可以有效遏制該問題引起的影響，但信息化校園建設的業務應用擴展所需的VLAN數早已超過傳統VLAN技術下的可用數量，為了滿足接入網上承載具有不同QoS需求的業務，采用一種新型的VLAN管理技術已是迫在眉睫，同時結合現有的Portal認證技術去解決現階段校園網絡管理技術中的難題。

1 QinQ與Portal認證技術簡介

1.1 QinQ技術

QinQ技術是將私網VLAN Tag封裝在公網VLAN Tag中，網絡數據報文攜帶雙層Tag穿越信息服務商的骨干網絡中，從而為用戶提供一種二層VPN隧道[1]。QinQ協議是在IEEE 802.1Q技術的基礎上創建而成，因為在骨干網絡傳輸中的數據幀有雙層802.1Q Tag標記，所以被稱為QinQ協議。支持QinQ技術的網絡設備可以在數據傳輸時用一個公網VLAN將私網內的多個VLAN保留。由于二層網絡中最多支持4094個VLAN，在實際應用中數量遠不能滿足業務需要，利用QinQ技術標記兩層Tag，進而可以實現4094*4094個VLAN，滿足了隔離用戶的需要。

1.2 Portal認證技術

Portal認證通常部署在校園網內部管理中，當用戶訪問網絡時Portal認證會自動將訪問頁面跳轉至認證界面，通過輸入用戶名密碼登錄認證后才可以訪問互聯網資源。該認證技術可以提供一種靈活的訪問控制方式，不需安裝客戶端即可在接入層實施訪問控制，而且對于校園內的不同區域實施VLAN+DHCP池的級別控制，讓不同類型的用戶僅能夠在對應的區域認證登錄[2]。

2 校園網絡構建與技術實施

2.1學校網絡構建現狀

陜西中醫藥大學目前擁有南北兩個校區，對外的網絡出口分別包括教育專線、移動專線、聯通專線和電信專線，校園網有線接入點擁有5400余個，無線AP設備部署800余個，接入層到匯聚層設備光纖互通。信息化建設管理處于2016年通過對原有網絡結構的改造，在匯聚層設備上啟用了QinQ技術，極大地緩解了VLAN資源匱乏的現象，完善了校園網絡信息安全。用戶在教學、生活區的接入端使用Portal認證技術訪問互聯網資源，認證賬號和密碼通過與認證系統內的數據庫對接，認證成功后用戶即可連接互聯網。

2.2 QinQ技術的實施

陜中醫校園網骨干網絡通過核心、匯聚、接入三層構建，核心層與匯聚層設備鏈路均已達到萬兆相連，匯聚層部署了五臺H3C S7510E以太網交換機，分別管理無線AP設備群組、辦公區、學生區、家屬區、圖書館。考慮到網絡信息安全，信管處詳細劃分了各院系辦公室、教學樓、家屬樓、學生宿舍的接入層設備端口的VLAN，以便對整個網絡系統進行統一集中的管理和監控，通過對不同類型用戶的VLAN隔離，有效地防止了ARP攻擊與廣播風暴。以家屬區匯聚層交換機某端口為例，配置如下：

Interface GigabitEthernet0/0/29

description to_xjsf-1

port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk pvidvlan 2005

port trunk permit vlan 500 2005

qinq enable

qinq transparent-vlan 500

通過此配置，管理Vlan500通過該端口時不需添加外層VLAN Tag標記，而下聯接入層的所有用戶對外訪問時，會自動在源數據幀的Tag前添加公網VLAN Tag 2005傳輸，在達到目的地址后通過對公網VLAN Tag 2005剝離，識別源接入層用戶VLAN進行信息的有效送達。

2.3 Portal認證技術的實施

Portal認證是通過HTTP協議發起認證請求，HTTP報文經過接入設備后，對訪問Portal服務器的報文允許通過，對訪問其他地址的報文重定向到Portal服務器[3]。Portal認證技術提供網頁頁面引導用戶輸入賬號與密碼進行認證，其認證過程大致如下:首先，用戶通過管理員靜態獲取IP或DHCP Server動態獲取IP，直接訪問Portal服務器；其次，用戶在登錄界面輸入的賬號與密碼被Web客戶端送達至Portal服務器；再次，Portal服務器將用戶請求發送至BAS(寬帶接入服務器)，隨后BAS傳遞到Radius(遠程用戶撥號認證系統)進行認證；最后，把認證通過的信息傳回Portal服務器，再由Portal服務器推送認證成功界面到用戶Web客戶端。針對Portal認證，用戶所擁有的IP地址是唯一識別用戶類型的關鍵屬性，在不同類型用戶所處VLAN ID的網關設備上添加強制跳轉Portal認證頁面的策略，可以有效實施對限定VLAN下的用戶進行訪問控制。

3 結束語

文章通過以陜中醫校園網絡部署結構為背景，分析了QinQ與Portal認證技術在校園網匯聚層設備上的應用思路，通過對兩種技術的結合應用，針對校園網內不同的用戶及業務類型，安全穩定地進行了端口隔離，以避免可能出現的網絡安全隱患。

[1]李洪民.QINQ技術在高校校園網中的應用研究[J].數字技術與應用，2014.

[2]邊永濤.靈活QinQ技術在校園網中的設計與實現[J].微計算機信息，2010.

[3]閻琦.關于QINQ技術的探討[J].制造業自動化，2010.