校園網認證計費系統的研究

摘要：本文對寬帶IP網建設與發展過程中產生的多種認證與計費的前沿技術進行分析、比較和研究，提出了基于802.1x等協議對寬帶校園網認證、授權、計費管理系統的解決方案，全面解決了上網用戶身份認證、流量計費、收費、接入管理等校園網應用中面臨的核心問題。

關鍵詞：校園網；認證；計費

1 緒論

學校為了加快信息化建設的步伐，給全體教師學生創造一個一流的上網環境，使全體師生能方便自如地上網學習、交流信息、查詢資料，保證網絡運營有效暢通，學校要求把校園網建設成一個安全可靠、可運營、可管理的網絡。本文主要研究內容是網絡安全技術的重要組成部分的認證計費技術，訪問控制技術最新熱點技術IEEE802.lx在校園網中的應用和實現。利用互聯網技術，在已有的校園網絡架構的基本上，實現對全校教學、辦公、生活區的所有接入到校園網的師生提供認證、計費和授權的服務。

2 需求分析

經過這幾年網絡基礎設施的建設和完善，校園網作為服務于全校教育、科研和行政管理的計算機信息網絡，實現了計算機互聯、信息資源的共享，并通過CERNET與Internet互聯。在滿足學校教職員工、學生連入互聯網進行正常的教學、科研任務的同時，也逐步面臨一個新的問題，那就是如何規范、有效地對網絡進行管理，保證校園網正常穩定地運行。并且隨著接入校園網用戶的日漸增多，和基于寬帶的應用的逐漸增加，如視頻點播、視頻會議等，因此，如何合理計費的問題已經逐漸凸顯出來。

3 認證系統的總體設計

3.1 系統功能設計

認證系統必須實現以下功能，才能算是一個比較完整的認證系統：

（l） 用戶接入控制功能：打開IEEE802.lx認證功能后，缺省情況下，所有用戶都處在未認證狀態。此時，用戶對網絡進行訪問的所有信息都將被交換機禁止，當然不包括認證過程需要的報文。交換機將為認證需要的報文維護一個專門的通道，保證所有用戶都可以進行正常的認證過程。用戶認證通過后，交換機才允許該用戶訪問網絡的所有信息通過。

（2） 重認證功能：在設定的重認證時間后自動向用戶 （IEEE802.lx客戶端軟件）發出重認證請求，以再次驗證用戶身份的合法性。

（3） 認證計費服務器參數設置靈活：交換機可以設置認證服務器IP地址、認證UDP端口、計費服務器護地址、備份計費服務器IP地址、計費UDP端口、認證服務器與認證者（交換機）的驗證字。特點是設置靈活方便，同時可靠性高。認證服務器通常使用Radius服務器。

3.2系統總體設計

本系統的網絡結構圖如圖3-1所示：

（1）校園網拓撲圖

在圖3-2中，核心交換機為cisco7613、cisco6509系列交換機。匯聚層設備為cisco4506、 cisco3750等三層以太網交換機。接入層設備為cisco2950系列以太網交換機。數據中心有AAA服務器、DHCP服務器、WWW服務器，在校園網接入中，cisco2950以太網交換機放在小區的弱電機房內，向上通過光纖連接到小區匯聚層設備cisco4506交換機，再通過光纖接入到網絡中心核心設備（如cisco7613等）。

（2）客戶端用戶認證過程

Cisco2950系列以太網都提供802.1x特性，可以對用戶進行802.1x認證。計算機上網必須先進行認證：在本計算機上啟動802.1x終端軟件，輸入用戶名和密碼；可以通過Radius服務器進行遠端認證。一般情況下交換機和Radius認證服務器之間傳輸的是標準的Radius報文，下面介紹在這種情況下802.1x認證的數據交互過程。

（3） DHCP自動分配IP地址

用戶計算機開機后會通過DHCP報文申請IP地址。接入層交換機、匯聚層交換機會將此請求報文轉發給DHCP服務器。DHCP服務器通過應答報文給用戶PC分配IP地址。有了IP地址后，用戶就可以上網了。

（4）數據存儲與備份

本系統目前設計支持Red Hat Enterprise Linux AS： release 3平臺，數據庫采用MS SQL Server2000。認證計費的數據量非常龐大，而且需要長期保存，因此數據應該存儲在諸如存儲陣列等大容量存儲設備中，并有容錯和備份功能。計費數據對運營中心來說至關重要，因此必須保證數據存儲的安全性和可靠性，并能做到備份與恢復。主要手段有：

（1） 磁盤陣列啟用RAID5，實現冗余；

（2） 數據庫兩臺機器進行熱備份，主備數據庫服務器同時運行，共享同一個磁盤陣列，當一臺服務器崩潰時，另一臺數據庫可以在很短的時間內的時間內接管系統，不中斷服務。

（3） 定期用光盤、磁帶機備份數據，可以每天備份一次，當系統中的數據丟失后，可以恢復前一天數據。

4 認證計費系統的實現

本系統主要模塊涵蓋了數據業務的業務受理、用戶認證、業務計費、資源管理等領域，是一套完整的數據業務運營支撐系統。

用戶自助服務系統：系統提供一個面向用戶開放的WEB站點，為每個數據業務用戶提供基本的計費及賬單數據查詢服務，使得用戶清楚自己的上網時間、流量及賬單數據，還可以在線修改自己的登錄口令。

5 系統測試

測試的目的是為了發現設計和編程過程中的錯誤，檢驗系統是否能滿足設計時的要求。因此，測試在整個開發過程中處于相當重要的地位。本系統測試分為系統功能測試和安全測試兩個階段。主要采用測試方法有白盒測試和黑盒測試。測試內容主要有：假冒用戶身份、共享MAC上網、利用代理軟件上網、利用路由器共享上網。系統測試階段的焦點集中在整個802.1x認證系統的功能和性能上是否能滿足設計目標。安全測試階段主要進行基于對非法用戶的接入進行測試。

6. 結束語

校園網的認證計費問題是校園網建設的一個重要的組成部分，為了滿足高校管理方便、計費準確、建網成本低的突出要求，通過對各種認證計費技術的比較，提出了基于802.1x的計費管理模式。解決了校園網用戶身份認證、授權，流量、時間計費，接入管理等寬帶IP網應用過程中面臨的核心問題。本系統經過測試和試用，效果良好。系統運行正常、穩定，認證速度快，計費準確，達到了預期的目的。

參考文獻

[1] 邢京武，何濤. CCNA學習指南-cisco certified network associate （exam 640-801）（中文版） 北京：人民郵電出版社，2014：50-54

[2] 韓江，黃海.思科網絡技術學院教程 人民郵電出版社2017

[3] Simpson W Editor. The Point-to-Point Protoeol （PPP）.STD51， RFC 1661， July， 2014

[4] 郭放. 校園網以太寬帶接入方案研究. 微型電腦應用. 2017

[5] 肖志新，楊岳湘等. 基于802.lx的寬帶認證技術在校園網中的應用仁 計算機系統應用 2004

作者簡介：陳首忠（1980- ），男，廣東湛江，本科，研究方向：信息技能、網絡安全。

（作者單位：廣州南洋理工職業學院）