基于ip控制网关和802.1x的校园

基于ip控制网关和802.1x的校园

ID:1145247

大小:226.76 KB

页数:22页

时间:2017-11-08

基于ip控制网关和802.1x的校园_第1页
基于ip控制网关和802.1x的校园_第2页
基于ip控制网关和802.1x的校园_第3页
基于ip控制网关和802.1x的校园_第4页
基于ip控制网关和802.1x的校园_第5页
资源描述:

《基于ip控制网关和802.1x的校园》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于IP控制网关和802.1x的校园网认证记费解决方案北京大学计算中心2008年1月9日n校园网用户的认证和记费,是校园网管理工作中的关键性任务。n授权目前主要针对具体应用系统,目前还不是校园网管理工作。n理想的校园网认证计费系统:(1)对网络用户进行有效的管理和控制,以确保网络的安全性,(2)适合校园网计费实际需要的计费方式。nIP控制网关(IPcontrolGateway)n802.1x认证IEEE802.1x协议n802.1x协议由IEEE于2001年提出,它是一种基于端口的网络访问控制协议。n802.1x协议起源于802.11协议,它

2、的提出最初是为了解决无线局域网用户的接入认证问题。但是,802.1x协议不仅仅适用于无线局域网,它同样适用于有线局域网。802.1x认证体系n请求者是局域网中的一个结点,通常是局域网中支持802.1x的用户终端设备(客户端)。n认证者负责对请求者进行认证,它通常是支持802.1x协议的网络设备(例如交换机或AP)。n认证服务器负责提供认证服务,它通常是RADIUS服务器。n802.1x使用可扩展认证协议(ExtensibleAuthenticationProtocol,简称为EAP)在请求者、认证者和认证服务器之间传递认证数据。EAP通常是工

3、作在数据链路层。可控端口和非可控端口n认证者与请求者连接的接入端口由可控端口和非可控端口组成。非可控端口始终处于打开状态,负责传递EAP报文。受控端口在认证前处于关闭状态,只在认证成功后打开。受控端口负责传递各种网络数据。因此,请求者必须通过认证才能访问网络资源。802.1x认证的特点n(1)安全性:在接入层对用户进行认证和控制,比传统的认证方式(例如基于网关的认证方式)更安全。n(2)认证协议所在网络层:数据链路层。因此,通过认证前,无需给请求者分配IP地址。n(3)对客户端的要求:作为请求者的客户端必须要运行802.1x客户端软件。n(4

4、)对网络设备的要求:作为认证者的网络设备(如交换机或AP)必须支持802.1x协议。n(5)网络记费:802.1x协议本身并没有给出计费方案。尽管作为认证服务器的RADIUS服务器能提供一定的记费功能,但802.1x认证体系中的RADIUS服务器不能按用户访问的IP地址来对用户进行计费(比如区分国际、国内流量进行记费)。而按用户访问的IP地址来对用户进行计费是校园网记费系统不可缺少的功能。IP控制网关简介n基于透明网关的设计思想,北京大学计算中心自行设计开发了千兆IP控制网关(IPcontrolGateway,简称IPcG)。nIPcG工作于

5、千兆网络环境中,实时检查网络链路上通过的数据包的IP地址等信息,并根据计费策略控制数据包的转发,从而控制校内IP地址的对外访问。同时,IPcG能统计相关网络流量、访问记录等信息。nIPcG通过软件实现,适应于通用开放平台(主流PC服务器、通用网卡、操作系统),易于维护和升级。IP控制网关(IPcG)体系结构注:用户也可使用专用的客户端进行认证IPcG实际运行情况n2002年,IPcG在北大校园网正式部署和实施,架设于出口路由器和出口交换机之间的双IPcG系统共同承载着北京大学的出口流量。五年多时间的实际运行证明,IPcG很好地满足了校园网计费

6、和管理的需要。n目前,IPcG系统已经在中国农业大学、北京地质大学等十多所高校中实际运行。IPcG的特点n(1)安全性:存在一定的安全隐患。主要表现在:不能在接入层对用户进行认证和控制。n(2)认证协议所在网络层:IP层。在认证前,必须保证所有请求认证的用户(客户端)都能够获得(静态或动态获得)和使用有效的IP地址,无论这些用户是否合法。在这种认证体系下,不合法的用户也可以得到和使用有效的IP地址,这既增加了网络的不安全因素,也造成了IP资源的浪费。n(3)对客户端的要求:用户可以使用IE等网络浏览器进行认证,不需使用专用的客户端软件。n(4

7、)对网络设备的要求:IPcG集中部署于校园网出口处,对网络设备无特殊要求。n(5)网络记费:能够基于用户访问的IP地址进行计费(比如区分国际、国内流量),满足校园网记费的需要。802.1x认证和IPcG的比较(1)802.1x认证(a)主要优势在于安全性,能在网络边缘对用户进行管理和控制。(b)其主要的局限性:*它要求相关的网络设备和客户端必须支持802.1x认证。*由于802.1x认证本身不能完全解决校园网的计费问题,因此,802.1x的部署实施必须结合其它的计费体系进行部署实施。(2)IPcG认证(a)主要优势在于:*其部署和实施的灵活性

8、(对网络设备以及客户端无特殊要求)。*较好实现了对校内IP地址对外访问的控制和记费。(b)其主要的局限性在于:*安全性存在局限性,不能在网络边缘对用户进行管理和控制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。