【導(dǎo)讀】現(xiàn)場(chǎng)支持.........

　　

【正文】 準(zhǔn)確的識(shí)別。這是網(wǎng)絡(luò)安全的需要，同時(shí)也是做到準(zhǔn)確計(jì)費(fèi)的需要。但是如何 進(jìn)行用戶身份確認(rèn)呢？這就需要通過(guò)認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)。目前認(rèn)證技術(shù)有許多，如 WEB 認(rèn)證， 認(rèn)證， PPPOE 認(rèn)證。這些認(rèn)證技術(shù)各有千秋， PPPOE 技術(shù)被廣泛的應(yīng)用在寬帶小區(qū)， WEB 認(rèn)證被應(yīng)用在一些信息系統(tǒng)內(nèi)，而 認(rèn)證被應(yīng)用在廣大的校園內(nèi)。這是因?yàn)? 認(rèn)證具最 15 大的特點(diǎn)是簡(jiǎn)單，無(wú)需特殊的設(shè)備支持，同時(shí)支持任何網(wǎng)絡(luò)應(yīng)用。正是這一點(diǎn)打動(dòng)許多學(xué)校老師的心。本方案將以 認(rèn)證用戶身份確認(rèn)技術(shù)。 2) 全方位的用戶管理方案 用戶的管理隨著網(wǎng)絡(luò)的擴(kuò)大逐步顯得更加的重要，從目前的校園網(wǎng)的建設(shè)來(lái)看，不同的 學(xué)校有著不同的網(wǎng)絡(luò)的管理方式，如： MAC 綁定、 IP地址的綁定、卡號(hào)密碼的綁定等，不同方式各有千秋。在 定西市 英才高級(jí)中學(xué) 信息平臺(tái)的網(wǎng)絡(luò)認(rèn)證管理方面，其我們用戶建議采用 MAC 地址＋端口的綁定技術(shù)來(lái)作為整個(gè)校園網(wǎng)管理的主要方式，華三 S5600 匯聚層交換機(jī)支持多種綁定技術(shù)，同樣支持 MAC地址＋端口的綁定方式，這樣對(duì)于用戶可以直接做到端到端的綁定方式。 校園網(wǎng)用戶管理認(rèn)證方案概述 認(rèn)證管理方案是一個(gè)整體的方案在園區(qū)網(wǎng)內(nèi)實(shí)施相應(yīng)的管理措施。而且從校園網(wǎng)實(shí)際使用情況看，學(xué)生宿舍區(qū)的網(wǎng)絡(luò)建設(shè)中認(rèn)證管理是最為突出 的問(wèn)題，考慮到學(xué)生的技術(shù)水平較高、學(xué)校內(nèi)喜歡攻擊網(wǎng)絡(luò)的學(xué)生較多，在實(shí)際的建網(wǎng)過(guò)程當(dāng)中應(yīng)當(dāng)充分考慮到這些因素可能會(huì)帶來(lái)的相關(guān)問(wèn)題，在組網(wǎng)建設(shè)過(guò)程當(dāng)中避免。綜合考慮，華三公司在實(shí)際的在建網(wǎng)的過(guò)程當(dāng)中遵循了以下幾點(diǎn)要求： 1) 認(rèn)證交換機(jī)。 本次方案所采用的所有交換機(jī)都支持 認(rèn)證?？紤]認(rèn)證的效率，本次認(rèn)證主要由接入層 S3100 交換機(jī)來(lái)完成。并能夠提供強(qiáng)大的業(yè)務(wù)功能。 2) 網(wǎng)管平臺(tái)。 網(wǎng)管軟件對(duì)于用戶來(lái)說(shuō)是維護(hù)網(wǎng)絡(luò)的重要工具，華三公司 Quidview 網(wǎng)管平臺(tái)可以為用戶提供強(qiáng)大的維護(hù)功能，同時(shí)可以對(duì)所管理的接入層交換機(jī) 進(jìn)行批量配置，避免用戶繁瑣的工作，同時(shí) Quidview可以對(duì)端口流量進(jìn)行設(shè)置閥值告警，發(fā)現(xiàn)用戶端口流量較大（如：病毒攻擊），可以通過(guò)網(wǎng)管將端口關(guān)閉避免大量垃圾報(bào)文，維護(hù)網(wǎng)絡(luò)安全 。 業(yè)務(wù)認(rèn)證、授權(quán)管理描述 考慮到 定西市 英才高級(jí)中學(xué) 信息平臺(tái)為軍事院校，考慮到其的特殊性，在業(yè)務(wù)接入的前采用 CAMS 系統(tǒng)對(duì)用戶進(jìn)行用戶名和密碼的認(rèn)證，同時(shí)對(duì)客戶端進(jìn)行控制。對(duì)于沒(méi)有合法用戶的終端，不讓他們接入網(wǎng)絡(luò)。 16 認(rèn)證選擇設(shè)計(jì)－ 認(rèn)證管理是接入層交換機(jī)和認(rèn)證軟件平臺(tái)重要的特性，本次我們建議采用 的認(rèn)證方式作為接入認(rèn)證的方式。 協(xié)議是 IEEE 在 通過(guò)的正式標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的起草者包括Microsoft， Cisco， Extreme， Nortel 等； 定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（ port based work access control），該協(xié)議適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，其中端口既可以是物理端口，也可以是邏輯端口。華三公司的網(wǎng)絡(luò)設(shè)備對(duì) 做了擴(kuò)充，使其可以基于 MAC 地址進(jìn)行網(wǎng)絡(luò)接入控制。 IEEE 的體系結(jié)構(gòu)中包括三個(gè)部分： (1) Supplicant System用戶接入設(shè)備 (2) Authenticator System接入控制單元 (3) Authentication Sever System認(rèn)證服務(wù)器 接入層 LANSWITCH 設(shè)備需要實(shí)現(xiàn) 的認(rèn)證系統(tǒng)部分 Authenticator；用戶接入設(shè)備 (PC)需要有 的客戶端軟件；認(rèn)證服務(wù)器可以是 的服務(wù)器，也可以是傳統(tǒng)的 Radius 服務(wù)器； L A NS u p p l i c a n t P A EP A EA u t h e n t i c a t o rS e r v i c e b yA u t h e n t i c a t o r授權(quán)/ 非授權(quán)A u t h e n t i c a t i o n S r v通斷開關(guān) 傳輸介質(zhì)為點(diǎn)對(duì)點(diǎn)以太網(wǎng)（即 PC 直接通過(guò)網(wǎng)線連接 到 LSW 的端口），如果是共享式以太網(wǎng)，則需要采用加密的方式（ MD5）傳遞認(rèn)證信息。 概念解釋： PAE，即 port access entity 之縮寫，意為端口接入實(shí)體 Supplicant PAE：發(fā)起接入請(qǐng)求的 PAE，指一般 PC Authenticator PAE：駐留在接入設(shè)備上的驗(yàn)證模塊 PAE 17 受控端口是 系統(tǒng)的核心概念 (1) Authenticator 內(nèi)部有受控端口（ Controlled Port）和非受控端口（ Uncontrolled Port）。 (2) 非受控端口始終處于雙向連通狀 態(tài)，主要用來(lái)傳遞 EAPOL 協(xié)議幀，可保證 Supplicant 始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。 (3) 受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。輸入受控應(yīng)用在集中桌面管理的應(yīng)用場(chǎng)合 ,例如管理員即使在客戶端關(guān)機(jī)的情況下也能將通過(guò)受控端口向用戶計(jì)算機(jī)發(fā)送遠(yuǎn)程開機(jī)命令。 (4) 華三公司的 VRP 平臺(tái)的 子系統(tǒng)擴(kuò)展了多種受控端口類型 ,以支持復(fù)雜的應(yīng)用環(huán)境。 的認(rèn)證模式：端口認(rèn)證模式： ForceAuthorized：常開模式。端口一直維持授權(quán)狀態(tài)，設(shè)備端不主動(dòng)發(fā)起認(rèn)證； ForceUnauthorized：常關(guān)模式。端口一直維持非授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的認(rèn)證請(qǐng)求； Auto：協(xié)議控制模式。設(shè)置端口初始狀態(tài)為非授權(quán)狀態(tài)，使端口僅允許 EAPOL報(bào)文收發(fā)，如果認(rèn)證流程通過(guò)，端口切換到授權(quán)狀態(tài)； VRP的 子系統(tǒng)允許一個(gè)物理端口下有多個(gè)受控端口，在一個(gè)物理端口下的所有受控端口只能配置成相同的端口認(rèn)證模式，這種限制是為了方便管理員配置。 協(xié)議定義了一種基于 port 的認(rèn)證方法，在協(xié)議中允許允許一 個(gè)物理端口下有多個(gè)受控端口，應(yīng)該是為了便于實(shí)現(xiàn)對(duì) 的擴(kuò)充，如在物理端口下開發(fā)基于 MAC 地址的認(rèn)證，每個(gè) MAC 地址將有一個(gè)動(dòng)態(tài)的邏輯端口，邏輯端口的狀態(tài)是受控的。也可以開發(fā)基于 VLAN 的認(rèn)證，等等。 端口類型： (1) 邏輯端口 (默認(rèn) )：一個(gè)邏輯端口對(duì)應(yīng)一個(gè)物理端口，對(duì)應(yīng)一個(gè)Authenticator PAE 狀態(tài)機(jī)實(shí)體。這種端口類型的 認(rèn)證與 PPPoE 和 WEB認(rèn)證方式相比，有缺陷，無(wú)法靈活地應(yīng)用到運(yùn)營(yíng)商的寬帶城域網(wǎng) (可參考華三技術(shù)報(bào)上的 認(rèn)證技術(shù) 一文 )。 18 (2) 邏輯端口 ＋源 MAC： 這種類型的受控端口為每一個(gè)客戶端創(chuàng)建一個(gè)Authenticator PAE 狀態(tài)機(jī)實(shí)體。每個(gè)物理端口上受控端口的個(gè)數(shù)是有限制的 (可配置 )，當(dāng)有客戶端發(fā)送 EAPOLStart 請(qǐng)求認(rèn)證報(bào)文時(shí)提取客戶端源 MAC 地址，做為受控端口的標(biāo)識(shí)?？蛻舳俗N時(shí)對(duì)應(yīng)的受控端口資源被釋放。 (3) 邏輯端口＋ VLANID+源 MAC： 這種擴(kuò)展的受控端口類型 ,主要是配合S3100+LANSWITCH 方式組網(wǎng) ,S3100 上實(shí)現(xiàn)的 受控端口類型，邏輯端口+VLANID 可以定位到下層 LANSWITCH 的物理和邏 輯端口，源 MAC地址可以區(qū)分到客戶端。 華三公司網(wǎng)絡(luò)產(chǎn)品支持以下的基本認(rèn)證方式： 本地認(rèn)證：接入設(shè)備根據(jù)用戶名在本設(shè)備的數(shù)據(jù)庫(kù)查找，若存在相同的用戶名和密碼則驗(yàn)證通過(guò) ,否則驗(yàn)證失敗。 Radius認(rèn)證：接入設(shè)備通過(guò) Radius報(bào)文與 Radius服務(wù)器交互報(bào)文，由 Radius服務(wù)器完成對(duì)用戶身份合法性的驗(yàn)證。 PAP 認(rèn)證： Password Authentication Protocol，用戶以明文的形式把用戶名和他的密碼傳遞給接入設(shè)備的驗(yàn)證方式。 CHAP 認(rèn)證： Challenge Handshake Authentication Protocol，當(dāng)用戶請(qǐng)求上網(wǎng)時(shí)，接入設(shè)備生成一個(gè) 16字節(jié)的隨機(jī)碼給用戶，同時(shí)還有一個(gè) ID 號(hào)及接入設(shè)備的 host name?？蛻舳说玫竭@個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對(duì)傳來(lái)的各域進(jìn)行加密，生成一個(gè) response 傳給接入設(shè)備，接入設(shè)備根據(jù)用戶名在本端或Radius 服務(wù)器查找，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來(lái)的 16 字節(jié)的隨機(jī)碼進(jìn)行加密，將 其結(jié)果與 Response 作比較，若相同表明驗(yàn)證通過(guò)，否則驗(yàn)證失敗。 CHAP 認(rèn)證時(shí)，密碼經(jīng)過(guò)了 MD5 算法加密處理，防止報(bào)文被截獲。 定西市 英才高級(jí)中學(xué) 信息平臺(tái) 的認(rèn)證過(guò)程 19 首先 定西市 英才高級(jí)中學(xué) 信息平臺(tái)的端口模式采用網(wǎng)關(guān)模式，首先上網(wǎng)終端通過(guò) 的客戶端收入用戶名、密碼后客戶端發(fā)起 EAP 報(bào)文至 server（ S7500 上），在 S7500 上終結(jié) EAP 報(bào)文，然后從 S3100 再次發(fā)起 Raduis 報(bào)文至認(rèn)證服務(wù)器 Raduis Sver，由 Raduis Server 來(lái)驗(yàn)證用戶名、 密碼是否匹配，在認(rèn)證通過(guò)以后由認(rèn)證服務(wù)器下發(fā) Raduis 報(bào)文至 S3100 通知該用戶認(rèn)證通過(guò)，S5600 再將相對(duì)應(yīng)的端口打開，允許學(xué)習(xí) MAC 地址，允許用戶上網(wǎng)。 的認(rèn)證方式最為主要的三點(diǎn)是： 的客戶端的功能。 ； 。華三公司自主開發(fā)的 客戶端以及認(rèn)證服務(wù)器，在實(shí)際的應(yīng)用中配合華三的接入層交換機(jī) S3100 最終完成 的認(rèn)證。 CAMS 對(duì)用戶上網(wǎng)認(rèn)證的管理 用戶需求分析 定西市 英才高 級(jí)中學(xué) 信息平臺(tái)校園網(wǎng)的管理基本上分為以下幾個(gè)方面： 1) 用戶信息的搜集 用戶信息的搜集是網(wǎng)絡(luò)開通前網(wǎng)管人員的首要任務(wù)，此時(shí)需要搜集的信息可能包含有：學(xué)生的學(xué)號(hào)、用戶主機(jī)的 MAC 地址、用戶接入的端口、分給用戶的IP 地址、用戶的性別、用戶的宿舍號(hào)、用戶的學(xué)院、或是我們需要用戶提供的相關(guān)特性。此過(guò)程可能是用戶工作量最大的一個(gè)過(guò)程。 20 2) 學(xué)生用戶的開戶 開戶的過(guò)程是網(wǎng)絡(luò)人員的針對(duì)用戶的需求進(jìn)行開戶，用戶把錢交給網(wǎng)絡(luò)中心為用戶提供開戶業(yè)務(wù)，提供給用戶網(wǎng)絡(luò)資源。 3) 網(wǎng)絡(luò)安全控制 該過(guò)程是網(wǎng)管人員對(duì)上網(wǎng)用戶進(jìn)行實(shí)時(shí)檢測(cè)的過(guò)程，網(wǎng)管 人員要確保網(wǎng)絡(luò)的安全，要對(duì)用戶上網(wǎng)的動(dòng)作進(jìn)行監(jiān)控，并有效的防止網(wǎng)絡(luò)當(dāng)中存在的各種非法操作用戶。 ?? 總之，整個(gè)網(wǎng)絡(luò)的開通、運(yùn)行、維護(hù)是一個(gè)持續(xù)、巨大工作量的過(guò)程，網(wǎng)管人員是這些任務(wù)的承擔(dān)者。 CAMS 解決方案 下面我們?cè)賮?lái)看一下 CAMS 是如何解決用戶的相關(guān)問(wèn)題。 ? 用戶相關(guān)信息的搜集 CAMS 的“用戶預(yù)注冊(cè)”解決網(wǎng)管人員搜集用戶信息中遇到的問(wèn)題，傳統(tǒng)的方式是通過(guò)網(wǎng)管人員的信息錄入來(lái)搜集客戶的信息，這種方式使得網(wǎng)管人員的工作量劇增。舉例來(lái)說(shuō)，一個(gè) 5000 用戶的開戶工作，我們假設(shè) 1 個(gè)用戶的錄入工 作需要 2分鐘（包括檢查用戶提供的信息是否正確） ,5000 用戶需要的工作量就是5000 2＝ 10000 分鐘，共計(jì) 166 小時(shí)，按照一天 8 小時(shí)工作時(shí)間計(jì)算，共需要21天，這樣的工作量對(duì)網(wǎng)管人員來(lái)說(shuō)是不可忍受的， CAMS 支持用戶預(yù)注冊(cè)功能，所有的用戶名密碼等信息都由用戶自己輸入，而且用戶如果我們還需要部分信息還可以進(jìn)行定制。 用戶預(yù)注冊(cè)： 21 用戶預(yù)注冊(cè)可以幫助用戶在開戶前的相關(guān)信息的搜集，用戶可以通過(guò)固定的網(wǎng)上申請(qǐng)用戶名、密碼等相關(guān)信息，而且網(wǎng)管人員需要搜集的信息可以在“用戶附加信息”中進(jìn)行自行定義，定義的方式 也是可選的，可以是下拉菜單方式的、也可以是輸入的，為了避免用戶輸錯(cuò)，可規(guī)定輸入文檔的格式，詳見(jiàn)“用戶附加信息”。我們可以在用戶預(yù)注冊(cè)的時(shí)候要求用戶輸入我們要搜集的相關(guān) MAC、工號(hào)、單位等信息。 用戶附加信息： 用戶附加信息是為了給網(wǎng)管人員自助定義用戶信息的工具，每個(gè)網(wǎng)管人員標(biāo)識(shí)用戶的方法、種類可能各不相同，用戶附加信息如下所示： 網(wǎng)管人員可以在用戶附加信息選項(xiàng)中靈活定義需要用戶輸入的信息，同時(shí)可以選擇這些字段是否在用戶預(yù)注冊(cè)時(shí)必須輸入。這樣用戶信息的搜集就由網(wǎng)管人員主動(dòng)搜集變?yōu)橛脩糁鲃?dòng)上報(bào)，網(wǎng)管人 員需要作的更多的是用戶開戶時(shí)信息的確認(rèn)。 ? 開戶過(guò)程 我們剛才講了用戶通過(guò)預(yù)注冊(cè)的功能可以實(shí)現(xiàn)在網(wǎng)上進(jìn)行預(yù)注冊(cè)，那接下來(lái)應(yīng)該做些什么呢？接下來(lái)網(wǎng)管人員要在 CAMS 上先定義用戶群的服務(wù)（即：計(jì)費(fèi)策略及管理策略），如：用戶群體 A，采用包月的方式；用戶群體 B 采用按時(shí)長(zhǎng)收費(fèi)的方式；用戶群體 C ??。 服務(wù)策略的配置： 服務(wù)的配置當(dāng)中含有多種的策略，包括：計(jì)費(fèi)策略、綁定策略、安全策略等等。如圖所示： 22 在服務(wù)策略中，我們可以講用戶的 IP、 MAC、交換機(jī)端口、 VALN、賬號(hào)等多種元素進(jìn)行綁定，也可以選擇性的進(jìn)行綁定；計(jì) 費(fèi)策略中我們可以規(guī)定按時(shí)長(zhǎng)收費(fèi)還是包月收費(fèi)；同時(shí) CAMS 也是配置是否對(duì)客戶端的 Proxy 檢測(cè)啟用安全策略，對(duì)于 Proxy 的防止同樣也是多種方式的；同時(shí) CAMS 可以實(shí)現(xiàn)用戶的獲取 IP地址方式的定義。 ? 網(wǎng)絡(luò)安全控制 CAMS 除了可以大大減少用戶的工作量以外，還可以給用戶提供強(qiáng)大的安全管理措施。 元素的綁定技術(shù)。 CAMS 可以實(shí)現(xiàn)通過(guò) AAA 服務(wù)器的 IP、 MAC、