【正文】 證，那么網(wǎng)絡(luò)管理員只 需要對其 配置認(rèn)證服務(wù)器 即可。例 如，可以選擇 RADIUS server1 來 實現(xiàn)認(rèn)證和授權(quán)， 而 RADIUS server2 則用來 實現(xiàn)計費。 NAS對于用戶來說是服務(wù)器，可對服務(wù)器來說則是客戶端。 如果認(rèn)證失敗 ，則流程到此結(jié)束 ； 10) 認(rèn)證通過 ， 則 用戶通過標(biāo)準(zhǔn)的 DHCP協(xié)議 （ 可以是 DHCP Relay， 通過所連的 接入設(shè)備 來獲取合法 的 IP地址 ； 11) 如果認(rèn)證通過 ， 接入設(shè)備 則 發(fā)起計費開始請求給 RADIUS用戶認(rèn)證服務(wù)器 ； 12) 用戶認(rèn)證服務(wù)器 會 回應(yīng)計費開始 的 請求報文 。 EAP數(shù)據(jù)包 是 在請求基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實現(xiàn) 6 者和驗證者之間的鏈路層上傳輸 數(shù)據(jù) ， 并通過驗證者與驗證服務(wù)器之間的IP/RADIUS的 連接 。 認(rèn)證服務(wù)器還 會 負(fù)責(zé)管理從認(rèn)證者 所 發(fā)來的記帳數(shù)據(jù) 。 該種設(shè)備有兩種類型的端口 ： 受控端口 （ controled Port） 和非受控端口 （ uncontrolled Port）。 認(rèn)證者 ： 認(rèn)證者一般 都是作 為交換機等接入設(shè)備 。 ： 請求者 ： 它是 連接到網(wǎng)絡(luò)和 請求其服務(wù)的設(shè)備 ， 通常是終端站 。 ： IEEE 標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商 都 在其設(shè)備 上 ，包括路由器、 交換機 和無線 AP 上都提供對該協(xié)議的支持。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實現(xiàn) 4 第二章 協(xié)議的介紹 基于以太網(wǎng)端口認(rèn)證的 的 優(yōu)勢 1． 二層協(xié)議 ， 不需要到達三層 ， 并且 對設(shè)備的整體性能要求不 是很 高 ， 可以有效的減少組 網(wǎng)成本 ； 2． 可 借用 EAP（ 擴展認(rèn)證協(xié)議 ）， 為其 提供良好的擴展性和適應(yīng)性 ， 并兼容傳統(tǒng) 的 PPP認(rèn)證架構(gòu) 體系 ； 3． “ 受控端口 ” 和 “ 非控端口 ” 的邏輯功能 ， 可 實現(xiàn)業(yè)務(wù)與認(rèn)證 的 分離 ， 由于 對用戶的認(rèn)證與控制 是 RADIUS和交換機利用不可控的邏輯端口 來 共同完成 的 ， 所以 業(yè)務(wù)報文直接承載著 正常的二層報文上通過可控端口進行交換 ， 而 其通過認(rèn)證后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包 ； 后臺認(rèn)證系統(tǒng)降低部署的成本 的使用 ， 并 且還 有豐富的業(yè)務(wù)支持 ； 使用 映射不同的用戶認(rèn)證等級到不同的 VLAN中 ； LAN都 具有安全的認(rèn)證接入功能 。它采用 RADIUS(遠程認(rèn)證撥號用戶服務(wù) )方法，并將其劃分為三個不同小組 :請求方、認(rèn)證方和授權(quán)服務(wù)器。但是隨著移動辦公 設(shè)備 及駐地網(wǎng)運營等應(yīng)用的大規(guī)模發(fā)展 下 ，服務(wù)提供者需要對用戶的接入進行控制和配置。 但存在的不足是 PPPOE撥號 認(rèn)證會 在包頭和用戶數(shù)據(jù)直接插入了 PPPOE和 PPP封裝 ， 這 對一些特殊業(yè)務(wù)和網(wǎng)絡(luò)利用率 都 有一定影響 。 校園網(wǎng)校內(nèi)的開放和訪問 只在用戶訪問校外資源時進行認(rèn)證 ， 一般在校園網(wǎng)出口處安裝認(rèn)證網(wǎng)關(guān)設(shè)備 。 現(xiàn)代 高校校園網(wǎng)經(jīng)過多年的發(fā)展 ， 已經(jīng) 逐漸形成了許多 有效的身份認(rèn)證技術(shù)和 管理 系統(tǒng) 技術(shù) 。經(jīng)過多年的發(fā)展，大多數(shù)高校的校園網(wǎng)都已經(jīng)規(guī)?；簧傩@網(wǎng)已延伸到學(xué)生宿舍或正在向?qū)W生宿舍延伸。 Radius server。 通過 驗證，使用了 基于 的 AAA 認(rèn)證模式設(shè)計 的 高校校園網(wǎng) ， 在 實施真實 、 安全和可信的網(wǎng)絡(luò)接入和計費方式 都有不少的優(yōu)點 ， 而且 有效解決了高校校園網(wǎng)在網(wǎng)絡(luò)上接入認(rèn)證和安全 、 維護管理方面等遇到的系列 問題 。 畢 業(yè) 論 文 基于 高校校園網(wǎng) AAA認(rèn)證設(shè)計與實現(xiàn) 姓 名： 學(xué) 號： 指導(dǎo)老師： 系 名： 專 業(yè)： 計算機網(wǎng)絡(luò)技術(shù) 班 級： 二 0 一 年 月 日 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實現(xiàn) ii 摘 要 隨著 計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 ， 并成為信息技術(shù)的重要支柱 。在 分析了高校校園網(wǎng)的入網(wǎng)認(rèn)證 、管理和安全方面等所面臨的系列問題 ， 對比了現(xiàn)有的各種不同的認(rèn)證方式 ，闡述了 在高校校園網(wǎng)入網(wǎng)認(rèn)證方面具有的獨特優(yōu)勢 。. 。 而且高校校園網(wǎng)是高校信息化建設(shè)的基礎(chǔ)，只有在一個安全可靠、性能良好和管理完善的校園網(wǎng)絡(luò)，才能使高校的信息化建設(shè)順利進行。 這種狀況表現(xiàn) 有 ： 1) 校園網(wǎng)必須 要求實現(xiàn)實名 制 入網(wǎng) ， 防止 他人 盜用 ， 禁止發(fā)生各種帶有惡意操作的行為 ； 2) 校園網(wǎng)應(yīng)該 要求能夠有效地防止 用戶對其它入網(wǎng) 用戶 、 網(wǎng)絡(luò)設(shè)備進行非法操作 和欺騙攻擊 ， 如 arp攻擊和廣播風(fēng)暴 ； 3) 校園網(wǎng)應(yīng)該 要求能夠有效地防止 某些 非 法授權(quán) ，以防 他人 使用次 身份或二次代理現(xiàn)象 ； 4) 校園網(wǎng)應(yīng)該 要求 入網(wǎng) 認(rèn)證本身對 現(xiàn)有的 網(wǎng)絡(luò)帶寬 有較小的占用率 ， 而 內(nèi)網(wǎng)用戶 應(yīng)該 不受限制地 使用網(wǎng)絡(luò) ； 5) 校園 網(wǎng)要 能夠?qū)崿F(xiàn)有線無線的一體化 入網(wǎng) 認(rèn)證 方式 ； 6) 校園網(wǎng)的 業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)的 必須分開管理 。 主要是受制于學(xué)校的設(shè)備缺陷，其更新速度慢 、 設(shè)備參數(shù)較低 、 會使大量的 IP地址出現(xiàn)盜用現(xiàn)象 ，如 arp攻擊猖獗 、 廣播風(fēng)暴明顯 ，這樣就會 給用戶和管理者帶來諸多 的不便 。 使用 PPPOE撥 號認(rèn)證訪問 由于 PPPOE采用 的是 動態(tài)分配 IP地址 上網(wǎng)形 式 ， 所以 用戶撥號后無需手動配置 IP地址 、 網(wǎng)關(guān) 、 域名等 ， 它們都 是自動生成 ， 便 不 會存 在 有 用戶自行更改 IP地址的問題 ， 這樣 對用戶管理 比較 方便 。 有線 LAN在 早期的 企業(yè)網(wǎng)中的 應(yīng)用環(huán)境下 ， 安全隱患 并不明顯 。該流程被稱為“端口級別的鑒權(quán)”。 IEEE 提供自動用戶身份識別，集中進行 鑒權(quán)、密鑰管理和 LAN連接配置。 ：在二層 的 網(wǎng)絡(luò)上實現(xiàn)用戶認(rèn)證，結(jié)合 了 MAC 地址 、端口號 、賬戶、 VLAN 和密碼等； 便成了 安全性 較高的 綁定技術(shù)，在無線 局 域網(wǎng)網(wǎng)絡(luò)環(huán)境中 的 結(jié)合 EAP－ TLS， EAP－ TTLS,可以實現(xiàn)對 WEP 證書密鑰的動態(tài)分配，克服 了 無線局域網(wǎng) 在 接入中 存在 的安全漏洞。 ：控制流和業(yè)務(wù)流 的 完全分離，易于多業(yè)務(wù)跨平臺實現(xiàn) 與運 營，少量 的 改造傳統(tǒng)包月制等單一收費制網(wǎng)絡(luò)即可升級成運營級網(wǎng)絡(luò)了， 而且網(wǎng)絡(luò)的運營成本也有 所 降低。 懇請者 所使用的軟件必須是 符合 IEEE 的標(biāo)準(zhǔn) 軟件 。 因此 ， 設(shè)備 扮演 著兩種角色，一是 的認(rèn)證者的角色 ， 二是 扮演 著 RADIUS Client角色 。 認(rèn)證服務(wù)器 會保存用戶的 用戶名 和 密碼 ， 以及相應(yīng)的授權(quán)信息 ， 一臺服務(wù)器 還 可以對多臺認(rèn)證者提供認(rèn)證服務(wù) ， 這樣就可以實現(xiàn)對 多用戶的集中管理 。 各種驗證服務(wù)都可以通過這種協(xié)議運行 ， 包括用戶名 ／ 口令 、 Kerberos、 數(shù)字證書 和 一次性口令等服務(wù) 。 如果成功 ， 則 攜帶協(xié)商參數(shù) ， 以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán) 。 AAA一般采用的模式是客戶機 /服務(wù)器結(jié)構(gòu)，客戶端是運行于 NAS（ Network Access Server 網(wǎng)絡(luò)接入服務(wù)器） 上 ， 服務(wù)器上則能集中管理用戶信息。 圖 的 AAA 基本組網(wǎng)結(jié)構(gòu)中有兩臺服務(wù)器，用戶可以根據(jù)實際組網(wǎng)需求來決定認(rèn)證、授權(quán)、計費功能 是分別由通過哪個 的服務(wù)器來實現(xiàn)。 當(dāng)然，用戶可以只使用 AAA 提供的一種或兩種安全服務(wù)。 AAA可以通過多種協(xié)議來實現(xiàn)，目前設(shè)備支持基于 RADIUS協(xié)議 來實現(xiàn) AAA，在實際應(yīng)用中，最常使用 RADIUS協(xié)議 AAA的優(yōu)點 ? 靈活易控 ? 標(biāo)準(zhǔn)化的認(rèn)證方 式 ? 多重備用系統(tǒng) AAA認(rèn)證 ? 對 enablef 進行認(rèn)證：用戶從用戶狀態(tài)轉(zhuǎn)入到特權(quán)狀態(tài)時， 網(wǎng)絡(luò)設(shè)備需要的一種安全論證方法 。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實現(xiàn) 10 第四章 RADIUS 協(xié)議 什么是 RADIUS協(xié)議 圖 radius的認(rèn)證過程 RADIUS： Remote Authentication Dial In User Service，遠程用戶撥號認(rèn)證系統(tǒng)由 RFC2865， RFC2866 定義，是目前應(yīng)用最廣泛的 AAA 協(xié)議 。它 都 通過認(rèn)證授權(quán)來提供接入服務(wù)，通過計費來收集、記錄用戶對網(wǎng)絡(luò)資源的使用。 1987 年， Merit 在美國 NSF（國家科學(xué)基金會）的招標(biāo)中勝出，贏得了 NSF（即 Inter 前身）的運營合同。很快， RADIUS 成為事實上的網(wǎng)絡(luò)接入標(biāo)準(zhǔn)，幾乎 同時 所有的網(wǎng)絡(luò)接入服務(wù)器廠商均實現(xiàn)了該協(xié)議 運行 。簡單地說，代理就是一臺服務(wù)器，可以作為其他 RADIUS 服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā) RADIUS 的 認(rèn)證和計費數(shù)據(jù)包。 RADIUS協(xié)議還規(guī)定了重傳機制。 RADIUS的 基本消息交互流程 RADIUS 服務(wù)器對用戶的認(rèn)證過 程通常需要利用 NAS 等設(shè)備的代理認(rèn)證功能， RADIUS 客戶端和 RADIUS 服務(wù)器之間 是 通過共享密鑰認(rèn)證相互間交互的消息，用戶 的 密碼采用 了 密文方式在網(wǎng)絡(luò)上傳輸， 這樣便 增強了安全性。 4. RADIUS 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入 /拒絕用戶。 RADIUS服務(wù)器通常要維護三個數(shù)據(jù)庫，如圖 圖 RADIUS服務(wù)器的組成 ? “ Users” :用于存儲用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置信息）。 不同廠家交換機 的 是 不一樣 的 ， 這樣便 給全校實施 帶來 了 困難 。 在 完成畢業(yè) 設(shè)計期間 讓 我 學(xué)到了很多實際應(yīng)用的知識。整個 認(rèn)證方式 基本做到量體設(shè)計，并且對以后 在進行上網(wǎng)認(rèn)證的再 擴展也有較強的擴展性。 但經(jīng)過與老師和同學(xué)的交流，讓我清楚明白的解決了問題。 同時在完成畢業(yè)設(shè)計過后，使我再次對交換機與路由器的配置深有感觸，相信我會越走越遠。t charge you more than 35% of your pensation if you win the case. If you are thinking about signing up for a damagesbased agreement, you should make sure you39。s Premier League match at Chelsea on Sunday. I am going to be at the match tomorrow and I have asked to meet Yaya Toure, he told BBC Sport. For me it39。s actions. CSKA said they were surprised and disappointed by Toure39?？傆X得自己自己似乎應(yīng)該去做點什么，或者寫點什么。t really grow up, it seems is not so important。 Originally, this world, can produce a chemical reaction to an event, in addition to resolutely, have to do, and time. 原來，這個世界上，對某個事件能產(chǎn)生化學(xué)反應(yīng)的，除了非做不可的堅決，還有， 時間。也曾經(jīng)好像已經(jīng)下定了決心去做某件事，但 更多的時候是最后又打起了退堂鼓。 Those were broken into various shapes of stationery。突然想到那件藍格子襯衫；那些被折成各種各樣形狀的信紙；那段從街角深巷伊始的友誼；還有那場還沒有開始就宣告了終結(jié)的邂逅計劃 …… 那些年那些天的非做不可，終于和青春一樣，都將在我們的人生中謝幕。t. Baumgartner still will free fall at a speed that would cause you and me to pass out, and no parachute is guaranteed to work higher than 25,000 feet (7,620 meters). cause there