返回
构建基于ieee802

构建基于ieee802

ID:26504903

大小:1.34 MB

页数:6页

时间:2018-11-27

构建基于ieee802_第1页
构建基于ieee802_第2页
构建基于ieee802_第3页
构建基于ieee802_第4页
构建基于ieee802_第5页
资源描述:

《构建基于ieee802》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、构建基于IEEE802.1X的校园网RADIUS认证计费和网络管理系统【中文摘要】本文就校园网应用面临的问题构建以IEEE802.1X为主,开发自主的RADIUS服务解决方案。通过积累相关认证、计费信息辅助解决校园网用户用网模式,帮助网络管理人员快速解决网络使用故障。【关键词】802.1XRADIUS校园网认证计费网络管理随着校园网规模日益扩大,网络的合理应用和网络安全管理成为校园网基础建设的首要考虑问题。校园网用户的认证计费和相关衍生出的网络综合管理系统成为校园网管理的有利工具之一。单就网络认证计费系统主要有出口网关型和内部设备型两大类。出口网关型在早期的的认证计费系统中

2、应用较多,具有所需设备投入数量少、统一管理的优点,但随着网络出口数量和带宽日益增加,其设备成为网络的瓶颈,设备成本也成倍增加。当校园网规模逐渐扩大,各种应用和数据流量类型层出不穷,网关型认证计费系统对通过经济杠杆调节用户用网模式的能力降低,特别是对校园网内部流量的调控显得无能为力。相比之下基于接入层、汇聚层设备的认证计费系统的优势日渐明显,其分布式的认证、计费设备(主要由接入层交换机实现)和旁置的主、备认证计费RADIUS服务器充分保证了网络认证计费系统的健壮性和扩展性,而用户接入端的策略部署也从源头解决了网络流量控制问题。对内部设备型又可分为PVLAN、PPPOE、WEB

3、和802.1X几种主要类型。802.1X以其便捷、稳定、管理粒度细、数据流处理合理而在集中接入方式中脱颖而出。802.1X是IEEE802.1X的简称,是一种基于接入层交换机端口认证计费的方式。其业务报文和控制报文分离,业务报文的流转方式与传统以太网无异,同一端口可支持多台计算机。对没有认证的终端隔离在校园网之外;对认证通过但操作系统补丁或杀毒软件更新没有达到要求的计算机只能访问指定的资源,这些特性非常适合校园网的接入管理。有其利必有其弊,使用802.1X认证的计算机必需安装认证客户端软件(虽然XP/2003内置了认证客户端,但功能很弱,上传IP地址等许多功能都无法实现),

4、而且不同厂商对8021.X的协议都进行了扩充,导致厂商设备的客户端认证软件都不兼容。不过由于802.1X可以实现基于接入端口的认证和二层的用户信息传递,即可以将用户信息从二层发送给NAS(这里的NAS是指支持802.1X接入的交换机),再由NAS传送给远端的RADIUS服务器,因此对校园网内远程判断用户无法上网的原因是线路问题还是用户计算机设置问题有非常大的帮助。这在传统的认证计费功能上提升了网络管理和故障维护功能。校园网作为一个以应用为主的运作模式不同于电信等运营商以盈利为加以主的运营模式,这决定了网络接入、计费必与运营商的模式存在差异。随着校园网规模的扩大,对接入用户在

5、带宽、安全、权限等方面进行更小粒度的控制显得尤为重要。由于校园网的建设是一个逐步更新、扩张、升级的过程,可能存在接入层设备是多家厂商的情况,可部分采用汇聚层实施802.1X认证或WEB认证加以解决。由于标准的RADIUS报文功能较弱,各厂商都对NAS与RADIUS服务器的通讯报文进行了扩展,因此各厂商的RADIUS服务器端软件存在互不兼容的状况,第三方免费的RADIUS软件由于功能太弱,难以满足校园网复杂、多变的认证计费功能,更不要说网络故障分析功能了。WEB认证中的NAS与认证计费服务器也可以传送相同的RADIUS认证计费报文,所以自行开发兼容各厂商的RADIUS是解决统

6、一认证计费和网络故障管理问题的可持续之计。以下以标准RADIUS为主,结合华为、H3C设备讲解RADIUS的原理和实现方式。一、认证、计费华为的交换机具有很强的AAA(Authentication验证、Authorization授权、andAccounting记账)功能,其实现的基础是RADIUS协议。主要由认证、计费和协议扩展三部分组成(相关协议请看RFC2865、RFC2866和RFC2869文档)。图1是用户计算机通过交换机的一个端口校园网连接的原理图。一台计算机连接交换机的一个物理端口,此物理端口划分出两个逻辑端口:受控端口和非受控端口。业务数据走受控端口,控制信息

7、数据走非受控端口。受控端口默认是常开,即用户计算机与网络的正常通讯报文不能通过该受控端口,也就无法通过该物理端口,只有认证通过后才能闭合受控端口,实现正常数据传输。非受控端口保持常闭,只能传输二层控制信息,即相关认证、计费信息由用户计算机与非受控端口通讯处理后以交换机的名义发起与服务器的RADIUS通讯。由此可看出交换机在控制信息的通讯中起到代理的作用,隔离了用户计算机与RADIUS服务器的直接通讯,增强了RADIUS服务器的安全性。图1802.1X工作原理图(Diagram1Theworkprincipledia

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。