淺析校園網接入認證系統

王紅麗 趙紅霞 王蓉

摘要：校園網接入認證系統是目前很多高校局域網內使用的，基于80.21X協議的接入認證方式。該文以h3c的接入認證系統CAMS為例，講解一下接入認證系統的原理及使用中出現的問題。

關鍵詞：校園網；接入認證；802.1X

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）09-0144-02

1認證原理

高校的網絡是一個大的園區網，也就是局域網。這個大的園區網面臨的網絡安全問題不僅來自外部的互聯網，更多的來自內部的局域網使用者。很多用戶出于好奇或者惡意報復等心理會攻擊校園網絡，事件嚴重甚至會造成網絡癱瘓，所以如何有效地管理和控制接入用戶的有效性和安全性，是高校園區網絡面臨的很重要的問題。

我們以H3C的接入控制系統CAMS為例，該接入認證系統可以無縫連接所有同品牌交換機及路由器。CAMS全稱綜合訪問管理服務，它可以配合交換機、寬帶接入服務器等接入層設備，完成對用戶上網過程的認證、授權和計費。CAMS側重于對企業、校園、小區和酒店的網絡使用進行控制和管理，在基本的認證計費功能之上，CAMS提供了更強大的用戶認證、計費和管理平臺，可以實現網絡的可管理、可運營，保證網絡和用戶信息的安全。

CAMS接入控制系統使用的是基于802.1X的認證管理技術，隨著大規模的網絡發展，越來越多的局域網在接入互聯網之前都啟用對用戶的接入進行控制和配置。802.1X是一種基于端口的認證協議，是一種對用戶進行認證的方法和策略。在用戶需要聯網時，首先客戶端的認證請求通過交換機上傳至接入認證服務器，服務器接收到請求后，需要驗證用戶身份，如果用戶的口令正確，則允許通過。如果口令或用戶名、密碼錯誤等，則服務器會發送錯誤指令代碼到客戶端，此時需修改后重新認證才能通過。

2認證特點

我們使用的CAMS校園網認證服務是基于用戶名、密碼、IP地址、MAC地址、端口號五合一的認證，有任何一個錯誤都不能通過認證。即每個上網賬號都有唯一的、系統分配好的用戶名、密碼，同時對應自己的房間號和上網機器的MAC地址以及機器的唯一IP地址。CAMS認證系統的特點有以下幾方面。

1）認證的安全性：CAMS除了可以完成基本的基于用戶名、密碼的認證功能外，還支持對用戶IP、MAC、接入設備、接入端口和VLAN（虛擬網）的綁定認證，并可控制用戶的訪問權限和上網帶寬。

2）計費方式的靈活性：CAMS采用的計費模型具有良好的適應性，能夠為用戶提供靈活的計費策略，可以支持包月、包月限時、分檔計費、獎勵等多種計費方案。

3）強大的用戶管理：CAMS支持卡號、賬號兩種用戶，可以批量生成和回收卡號、批量導入賬號；并提供賬號用戶的預注冊、賬號附加信息設置、用戶數據查詢與導出、統計報表等輔助管理功能。

CAMS認證系統提供了一種用戶接入認證的手段，認證的最終目的就是確定一個端口是否可用。如果認證成功，那就“打開”這個端口，允許所有的報文通過；如果認證不成功，就使這個端口保持“關閉”。認證的結果過在于端口狀態的改變，而不涉及其他認證技術所考慮的IP地址協商和分配問題，是各種認證技術中最為簡單的。[1]

3常見問題

了解CAMS認證系統的基本原理以后，認證過程也就不再那么神秘了。但是用戶在使用過程中依然會遇到很多問題，系統后臺的認證失敗日志記錄了最終用戶認證失敗時的登錄名、用戶類型、認證失敗原因、賬號名、用戶姓名、用戶MAC地址、用戶IP地址、接入設備IP地址、接入設備端口號等信息，在這里我們把系統客戶端的常見提示問題匯總如下。

3.1用戶不存在或者用戶沒有申請該服務

系統管理員為每個上網賬號分配好了用戶名和密碼，必須使用系統指定的用戶名和密碼才能通過認證，所以必須牢記自己的上網賬號。如果系統提示用戶不存在或者用戶沒有申請該服務，說明使用了錯誤的用戶名，請重新核實后再重新連接或與系統管理員聯系獲取正確的用戶名。

3.2用戶密碼錯誤，將被加入黑名單

默認使用初始密碼登錄，如果自己更改了用戶密碼而又不記得。可以憑借有效憑證聯系管理員初始化密碼。

3.3靜態IP地址綁定檢查失敗

如果客戶端系統提示靜態IP地址綁定檢查失敗，有以下三種可能：在認證客戶端忘記選擇上傳IP地址選項；把IP地址設置在虛擬網卡上了，必須是真實有效的本地網卡才可以；網卡選擇正確，IP地址本身設置錯誤，把系統管理員分配的地址填寫錯了；請對照自己的實際問題一一檢查各項有沒有錯誤。

3.4 MAC地址綁定檢查失敗

H3C認證系統是基于802.1X的五合一認證，如果更換上網電腦、更換房間或者更換電腦主板，相應的網卡地址會發生變更。這種情況徐要與系統管理員聯系，通過系統后臺修改后才能重新認證上網。

3.5認證通過后無法打開網頁

如果H3C的客戶端認證已經通過，但仍然不能連接到互聯網。這種情況下，說明物理線路沒有問題，是五合一認證中的地址設置及子網掩碼、網關、DNS設置有錯誤。請在“開始/控制面板/查看網絡狀態和任務/更改適配器設置/本地連接”中雙擊本地連接，打開屬性面板，選擇“Internet協議版本4”在面板中查看核對地址設置及相關信息，必須一一設置正確才能聯網。

以上幾方面就是用戶使用中的常見問題，為了保證CAMS系統的可靠性和可追溯性，CAMS認證系統提供了完善的日志跟蹤及查詢功能，系統管理員可以通過查詢記錄到后臺的認證失敗日志來了解用戶認證失敗的原因等信息。

參考文獻：

[1] 魏楚元.大型園區網絡建設與管理[M].北京：機械工業出版社，2015：226.