【正文】 證，那么網(wǎng)絡(luò)管理員只 需要對其 配置認(rèn)證服務(wù)器 即可。例 如，可以選擇 RADIUS server1 來 實(shí)現(xiàn)認(rèn)證和授權(quán)， 而 RADIUS server2 則用來 實(shí)現(xiàn)計(jì)費(fèi)。 NAS對于用戶來說是服務(wù)器，可對服務(wù)器來說則是客戶端。 如果認(rèn)證失敗 ，則流程到此結(jié)束 ； 10) 認(rèn)證通過 ， 則 用戶通過標(biāo)準(zhǔn)的 DHCP協(xié)議 （ 可以是 DHCP Relay， 通過所連的 接入設(shè)備 來獲取合法 的 IP地址 ； 11) 如果認(rèn)證通過 ， 接入設(shè)備 則 發(fā)起計(jì)費(fèi)開始請求給 RADIUS用戶認(rèn)證服務(wù)器 ； 12) 用戶認(rèn)證服務(wù)器 會 回應(yīng)計(jì)費(fèi)開始 的 請求報(bào)文 。 EAP數(shù)據(jù)包 是 在請求基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 6 者和驗(yàn)證者之間的鏈路層上傳輸 數(shù)據(jù) ， 并通過驗(yàn)證者與驗(yàn)證服務(wù)器之間的IP/RADIUS的 連接 。 認(rèn)證服務(wù)器還 會 負(fù)責(zé)管理從認(rèn)證者 所 發(fā)來的記帳數(shù)據(jù) 。 該種設(shè)備有兩種類型的端口 ： 受控端口 （ controled Port） 和非受控端口 （ uncontrolled Port）。 認(rèn)證者 ： 認(rèn)證者一般 都是作 為交換機(jī)等接入設(shè)備 。 ： 請求者 ： 它是 連接到網(wǎng)絡(luò)和 請求其服務(wù)的設(shè)備 ， 通常是終端站 。 ： IEEE 標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商 都 在其設(shè)備 上 ，包括路由器、 交換機(jī) 和無線 AP 上都提供對該協(xié)議的支持。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 4 第二章 協(xié)議的介紹 基于以太網(wǎng)端口認(rèn)證的 的 優(yōu)勢 1． 二層協(xié)議 ， 不需要到達(dá)三層 ， 并且 對設(shè)備的整體性能要求不 是很 高 ， 可以有效的減少組 網(wǎng)成本 ； 2． 可 借用 EAP（ 擴(kuò)展認(rèn)證協(xié)議 ）， 為其 提供良好的擴(kuò)展性和適應(yīng)性 ， 并兼容傳統(tǒng) 的 PPP認(rèn)證架構(gòu) 體系 ； 3． “ 受控端口 ” 和 “ 非控端口 ” 的邏輯功能 ， 可 實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證 的 分離 ， 由于 對用戶的認(rèn)證與控制 是 RADIUS和交換機(jī)利用不可控的邏輯端口 來 共同完成 的 ， 所以 業(yè)務(wù)報(bào)文直接承載著 正常的二層報(bào)文上通過可控端口進(jìn)行交換 ， 而 其通過認(rèn)證后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包 ； 后臺認(rèn)證系統(tǒng)降低部署的成本 的使用 ， 并 且還 有豐富的業(yè)務(wù)支持 ； 使用 映射不同的用戶認(rèn)證等級到不同的 VLAN中 ； LAN都 具有安全的認(rèn)證接入功能 。它采用 RADIUS(遠(yuǎn)程認(rèn)證撥號用戶服務(wù) )方法，并將其劃分為三個(gè)不同小組 :請求方、認(rèn)證方和授權(quán)服務(wù)器。但是隨著移動辦公 設(shè)備 及駐地網(wǎng)運(yùn)營等應(yīng)用的大規(guī)模發(fā)展 下 ，服務(wù)提供者需要對用戶的接入進(jìn)行控制和配置。 但存在的不足是 PPPOE撥號 認(rèn)證會 在包頭和用戶數(shù)據(jù)直接插入了 PPPOE和 PPP封裝 ， 這 對一些特殊業(yè)務(wù)和網(wǎng)絡(luò)利用率 都 有一定影響 。 校園網(wǎng)校內(nèi)的開放和訪問 只在用戶訪問校外資源時(shí)進(jìn)行認(rèn)證 ， 一般在校園網(wǎng)出口處安裝認(rèn)證網(wǎng)關(guān)設(shè)備 。 現(xiàn)代 高校校園網(wǎng)經(jīng)過多年的發(fā)展 ， 已經(jīng) 逐漸形成了許多 有效的身份認(rèn)證技術(shù)和 管理 系統(tǒng) 技術(shù) 。經(jīng)過多年的發(fā)展，大多數(shù)高校的校園網(wǎng)都已經(jīng)規(guī)?；簧傩@網(wǎng)已延伸到學(xué)生宿舍或正在向?qū)W生宿舍延伸。 Radius server。 通過 驗(yàn)證，使用了 基于 的 AAA 認(rèn)證模式設(shè)計(jì) 的 高校校園網(wǎng) ， 在 實(shí)施真實(shí) 、 安全和可信的網(wǎng)絡(luò)接入和計(jì)費(fèi)方式 都有不少的優(yōu)點(diǎn) ， 而且 有效解決了高校校園網(wǎng)在網(wǎng)絡(luò)上接入認(rèn)證和安全 、 維護(hù)管理方面等遇到的系列 問題 。 畢 業(yè) 論 文 基于 高校校園網(wǎng) AAA認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 姓 名： 學(xué) 號： 指導(dǎo)老師： 系 名： 專 業(yè)： 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班 級： 二 0 一 年 月 日 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) ii 摘 要 隨著 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 ， 并成為信息技術(shù)的重要支柱 。在 分析了高校校園網(wǎng)的入網(wǎng)認(rèn)證 、管理和安全方面等所面臨的系列問題 ， 對比了現(xiàn)有的各種不同的認(rèn)證方式 ，闡述了 在高校校園網(wǎng)入網(wǎng)認(rèn)證方面具有的獨(dú)特優(yōu)勢 。. 。 而且高校校園網(wǎng)是高校信息化建設(shè)的基礎(chǔ)，只有在一個(gè)安全可靠、性能良好和管理完善的校園網(wǎng)絡(luò)，才能使高校的信息化建設(shè)順利進(jìn)行。 這種狀況表現(xiàn) 有 ： 1) 校園網(wǎng)必須 要求實(shí)現(xiàn)實(shí)名 制 入網(wǎng) ， 防止 他人 盜用 ， 禁止發(fā)生各種帶有惡意操作的行為 ； 2) 校園網(wǎng)應(yīng)該 要求能夠有效地防止 用戶對其它入網(wǎng) 用戶 、 網(wǎng)絡(luò)設(shè)備進(jìn)行非法操作 和欺騙攻擊 ， 如 arp攻擊和廣播風(fēng)暴 ； 3) 校園網(wǎng)應(yīng)該 要求能夠有效地防止 某些 非 法授權(quán) ，以防 他人 使用次 身份或二次代理現(xiàn)象 ； 4) 校園網(wǎng)應(yīng)該 要求 入網(wǎng) 認(rèn)證本身對 現(xiàn)有的 網(wǎng)絡(luò)帶寬 有較小的占用率 ， 而 內(nèi)網(wǎng)用戶 應(yīng)該 不受限制地 使用網(wǎng)絡(luò) ； 5) 校園 網(wǎng)要 能夠?qū)崿F(xiàn)有線無線的一體化 入網(wǎng) 認(rèn)證 方式 ； 6) 校園網(wǎng)的 業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)的 必須分開管理 。 主要是受制于學(xué)校的設(shè)備缺陷，其更新速度慢 、 設(shè)備參數(shù)較低 、 會使大量的 IP地址出現(xiàn)盜用現(xiàn)象 ，如 arp攻擊猖獗 、 廣播風(fēng)暴明顯 ，這樣就會 給用戶和管理者帶來諸多 的不便 。 使用 PPPOE撥 號認(rèn)證訪問 由于 PPPOE采用 的是 動態(tài)分配 IP地址 上網(wǎng)形 式 ， 所以 用戶撥號后無需手動配置 IP地址 、 網(wǎng)關(guān) 、 域名等 ， 它們都 是自動生成 ， 便 不 會存 在 有 用戶自行更改 IP地址的問題 ， 這樣 對用戶管理 比較 方便 。 有線 LAN在 早期的 企業(yè)網(wǎng)中的 應(yīng)用環(huán)境下 ， 安全隱患 并不明顯 。該流程被稱為“端口級別的鑒權(quán)”。 IEEE 提供自動用戶身份識別，集中進(jìn)行 鑒權(quán)、密鑰管理和 LAN連接配置。 ：在二層 的 網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合 了 MAC 地址 、端口號 、賬戶、 VLAN 和密碼等； 便成了 安全性 較高的 綁定技術(shù)，在無線 局 域網(wǎng)網(wǎng)絡(luò)環(huán)境中 的 結(jié)合 EAP－ TLS， EAP－ TTLS,可以實(shí)現(xiàn)對 WEP 證書密鑰的動態(tài)分配，克服 了 無線局域網(wǎng) 在 接入中 存在 的安全漏洞。 ：控制流和業(yè)務(wù)流 的 完全分離，易于多業(yè)務(wù)跨平臺實(shí)現(xiàn) 與運(yùn) 營，少量 的 改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級成運(yùn)營級網(wǎng)絡(luò)了， 而且網(wǎng)絡(luò)的運(yùn)營成本也有 所 降低。 懇請者 所使用的軟件必須是 符合 IEEE 的標(biāo)準(zhǔn) 軟件 。 因此 ， 設(shè)備 扮演 著兩種角色，一是 的認(rèn)證者的角色 ， 二是 扮演 著 RADIUS Client角色 。 認(rèn)證服務(wù)器 會保存用戶的 用戶名 和 密碼 ， 以及相應(yīng)的授權(quán)信息 ， 一臺服務(wù)器 還 可以對多臺認(rèn)證者提供認(rèn)證服務(wù) ， 這樣就可以實(shí)現(xiàn)對 多用戶的集中管理 。 各種驗(yàn)證服務(wù)都可以通過這種協(xié)議運(yùn)行 ， 包括用戶名 ／ 口令 、 Kerberos、 數(shù)字證書 和 一次性口令等服務(wù) 。 如果成功 ， 則 攜帶協(xié)商參數(shù) ， 以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán) 。 AAA一般采用的模式是客戶機(jī) /服務(wù)器結(jié)構(gòu)，客戶端是運(yùn)行于 NAS（ Network Access Server 網(wǎng)絡(luò)接入服務(wù)器） 上 ， 服務(wù)器上則能集中管理用戶信息。 圖 的 AAA 基本組網(wǎng)結(jié)構(gòu)中有兩臺服務(wù)器，用戶可以根據(jù)實(shí)際組網(wǎng)需求來決定認(rèn)證、授權(quán)、計(jì)費(fèi)功能 是分別由通過哪個(gè) 的服務(wù)器來實(shí)現(xiàn)。 當(dāng)然，用戶可以只使用 AAA 提供的一種或兩種安全服務(wù)。 AAA可以通過多種協(xié)議來實(shí)現(xiàn)，目前設(shè)備支持基于 RADIUS協(xié)議 來實(shí)現(xiàn) AAA，在實(shí)際應(yīng)用中，最常使用 RADIUS協(xié)議 AAA的優(yōu)點(diǎn) ? 靈活易控 ? 標(biāo)準(zhǔn)化的認(rèn)證方 式 ? 多重備用系統(tǒng) AAA認(rèn)證 ? 對 enablef 進(jìn)行認(rèn)證：用戶從用戶狀態(tài)轉(zhuǎn)入到特權(quán)狀態(tài)時(shí)， 網(wǎng)絡(luò)設(shè)備需要的一種安全論證方法 。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 10 第四章 RADIUS 協(xié)議 什么是 RADIUS協(xié)議 圖 radius的認(rèn)證過程 RADIUS： Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)由 RFC2865， RFC2866 定義，是目前應(yīng)用最廣泛的 AAA 協(xié)議 。它 都 通過認(rèn)證授權(quán)來提供接入服務(wù)，通過計(jì)費(fèi)來收集、記錄用戶對網(wǎng)絡(luò)資源的使用。 1987 年， Merit 在美國 NSF（國家科學(xué)基金會）的招標(biāo)中勝出，贏得了 NSF（即 Inter 前身）的運(yùn)營合同。很快， RADIUS 成為事實(shí)上的網(wǎng)絡(luò)接入標(biāo)準(zhǔn)，幾乎 同時(shí) 所有的網(wǎng)絡(luò)接入服務(wù)器廠商均實(shí)現(xiàn)了該協(xié)議 運(yùn)行 。簡單地說，代理就是一臺服務(wù)器，可以作為其他 RADIUS 服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā) RADIUS 的 認(rèn)證和計(jì)費(fèi)數(shù)據(jù)包。 RADIUS協(xié)議還規(guī)定了重傳機(jī)制。 RADIUS的 基本消息交互流程 RADIUS 服務(wù)器對用戶的認(rèn)證過 程通常需要利用 NAS 等設(shè)備的代理認(rèn)證功能， RADIUS 客戶端和 RADIUS 服務(wù)器之間 是 通過共享密鑰認(rèn)證相互間交互的消息，用戶 的 密碼采用 了 密文方式在網(wǎng)絡(luò)上傳輸， 這樣便 增強(qiáng)了安全性。 4. RADIUS 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入 /拒絕用戶。 RADIUS服務(wù)器通常要維護(hù)三個(gè)數(shù)據(jù)庫，如圖 圖 RADIUS服務(wù)器的組成 ? “ Users” :用于存儲用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置信息）。 不同廠家交換機(jī) 的 是 不一樣 的 ， 這樣便 給全校實(shí)施 帶來 了 困難 。 在 完成畢業(yè) 設(shè)計(jì)期間 讓 我 學(xué)到了很多實(shí)際應(yīng)用的知識。整個(gè) 認(rèn)證方式 基本做到量體設(shè)計(jì)，并且對以后 在進(jìn)行上網(wǎng)認(rèn)證的再 擴(kuò)展也有較強(qiáng)的擴(kuò)展性。 但經(jīng)過與老師和同學(xué)的交流，讓我清楚明白的解決了問題。 同時(shí)在完成畢業(yè)設(shè)計(jì)過后，使我再次對交換機(jī)與路由器的配置深有感觸，相信我會越走越遠(yuǎn)。t charge you more than 35% of your pensation if you win the case. If you are thinking about signing up for a damagesbased agreement, you should make sure you39。s Premier League match at Chelsea on Sunday. I am going to be at the match tomorrow and I have asked to meet Yaya Toure, he told BBC Sport. For me it39。s actions. CSKA said they were surprised and disappointed by Toure39?？傆X得自己自己似乎應(yīng)該去做點(diǎn)什么，或者寫點(diǎn)什么。t really grow up, it seems is not so important。 Originally, this world, can produce a chemical reaction to an event, in addition to resolutely, have to do, and time. 原來，這個(gè)世界上，對某個(gè)事件能產(chǎn)生化學(xué)反應(yīng)的，除了非做不可的堅(jiān)決，還有， 時(shí)間。也曾經(jīng)好像已經(jīng)下定了決心去做某件事，但 更多的時(shí)候是最后又打起了退堂鼓。 Those were broken into various shapes of stationery。突然想到那件藍(lán)格子襯衫；那些被折成各種各樣形狀的信紙；那段從街角深巷伊始的友誼；還有那場還沒有開始就宣告了終結(jié)的邂逅計(jì)劃 …… 那些年那些天的非做不可，終于和青春一樣，都將在我們的人生中謝幕。t. Baumgartner still will free fall at a speed that would cause you and me to pass out, and no parachute is guaranteed to work higher than 25,000 feet (7,620 meters). cause there