• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于BRAS架構(gòu)下校園無線網(wǎng)絡(luò)漫游的一次認(rèn)證

    2017-05-06 23:06:23馬迎張丹東趙志輝
    中國教育信息化 2017年3期

    馬迎++張丹東++趙志輝

    摘 要:校園網(wǎng)用戶在多個(gè)孤立無線網(wǎng)絡(luò)中漫游時(shí),需要不斷地進(jìn)行再次認(rèn)證,大大降低了用戶的上網(wǎng)體驗(yàn),這是很多高校面臨的問題。本文提出基于IPOE模式下,保持用戶的IP地址不變,實(shí)現(xiàn)全無線網(wǎng)內(nèi)一次認(rèn)證的模式,提高用戶的上網(wǎng)體驗(yàn)。

    關(guān)鍵詞:無線網(wǎng)漫游認(rèn)證;IPOE;一次認(rèn)證

    中圖分類號:TP393.1 文獻(xiàn)標(biāo)志碼:A 文章編號:1673-8454(2017)05-0045-03

    近幾年,各高校正在逐步進(jìn)行高密度、大規(guī)模校園無線網(wǎng)絡(luò)基礎(chǔ)建設(shè),滿足用戶隨時(shí)、隨地自由無線上網(wǎng)的使用需求。在多個(gè)不同品牌的無線網(wǎng)中漫游的頻繁再次認(rèn)證是很多高校都面臨的困擾。

    一、我校園無線網(wǎng)絡(luò)現(xiàn)況

    1.我校園無線網(wǎng)絡(luò)拓?fù)?/p>

    校園無線網(wǎng)絡(luò)承載全校無線用戶的上網(wǎng)需求,受客觀條件限制,我校無線網(wǎng)絡(luò)經(jīng)多次建設(shè)完成,無線設(shè)備品牌多樣,相互獨(dú)立的無線控制器四臺,服務(wù)于全校各個(gè)不同的區(qū)域。在無線網(wǎng)絡(luò)建設(shè)完成初期,無線用戶在一日內(nèi),反復(fù)跨越不同區(qū)域、不同無線控制器管理的無線網(wǎng)絡(luò)進(jìn)行訪問時(shí),會(huì)面臨不斷重新認(rèn)證的困擾,極大地降低了用戶使用網(wǎng)絡(luò)的體驗(yàn),這也是很多院校面臨的問題。因此,我們考慮訪問校園無線網(wǎng)絡(luò)一次認(rèn)證的實(shí)現(xiàn)方式。

    我校的四張無線網(wǎng)絡(luò)設(shè)備與核心路由器連接。(見圖1)傳統(tǒng)方式是:不同的無線控制器下無線用戶的vlan不同,分配的用戶地址段也不相同,無線用戶每次穿越不同無線網(wǎng)絡(luò)時(shí),都重新獲得一個(gè)新的IP地址,新IP地址通過網(wǎng)關(guān)認(rèn)證系統(tǒng)訪問外網(wǎng)時(shí)需要重新認(rèn)證,出現(xiàn)了用戶每日反復(fù)認(rèn)證的現(xiàn)象。

    2.我校無線網(wǎng)采用IPOE模式

    傳統(tǒng)DHCP只是解決了用戶接入網(wǎng)絡(luò)的基本需求,即用戶終端接入網(wǎng)絡(luò)后,獲取到IP地址、網(wǎng)關(guān)以及DNS信息后滿足用戶上網(wǎng)的需求。一些網(wǎng)絡(luò)廠商借鑒了傳統(tǒng)PPPOE的用戶管理方式,在寬帶接入路由器(BRAS)設(shè)備上對DHCP及其擴(kuò)展option做出了一些改進(jìn),主要包括:為一個(gè)用戶終端分配了IP地址以后,BRAS設(shè)備會(huì)根據(jù)該DHCP binding信息生成一個(gè)全局唯一的邏輯通道,BRAS設(shè)備根據(jù)該邏輯通道對該用戶的接入狀態(tài)進(jìn)行標(biāo)識,根據(jù)用戶身份的不同為該邏輯通道加載不同的ACL和帶寬策略,從而實(shí)現(xiàn)用戶差異化的權(quán)限和帶寬控制。通過在BRAS設(shè)備上的這些改進(jìn),實(shí)現(xiàn)了類似傳統(tǒng)PPPOE的完善的用戶接入管理功能,但同時(shí)在某些方面還具有一些PPPOE不具備的優(yōu)勢,例如終端不需要安裝撥號客戶端、組播的實(shí)現(xiàn)上更靈活,所以為了與PPPoE進(jìn)行區(qū)分,業(yè)界將這樣的用戶接入管理方式命名為IPOE。

    我校自2013年起全校無線網(wǎng)用戶采用不開啟AAA認(rèn)證的DHCP Relay的IPOE模式,主要采用IPOE模式對每個(gè)終端管理。由BRAS統(tǒng)一下發(fā)DHCP Server地址、用戶vlan、網(wǎng)關(guān),并由DHCP Server統(tǒng)一下發(fā)用戶IP地址。(見圖2)

    IPOE模式的優(yōu)點(diǎn):

    (1)不需要客戶端。所有支持IP協(xié)議的設(shè)備都支持IPOE系統(tǒng),不需要安裝第三方撥號軟件,可以廣泛支持各種手持設(shè)備、移動(dòng)設(shè)備、視頻設(shè)備等。

    (2)BRAS核心設(shè)備能力強(qiáng)大、功能豐富,提供集中的業(yè)務(wù)控制和管理,如IPv4/IPv6的地址分配、用戶帶寬管理、DDos防護(hù)等。

    (3)在BRAS上有效管理單個(gè)用戶。針對每個(gè)接入用戶生成DEMUX動(dòng)態(tài)接口;在用戶的DEMUX接口上可以加載固定的統(tǒng)一策略,有效管理每個(gè)終端上下帶寬。

    (4)可實(shí)現(xiàn)用戶隔離和病毒感染的阻斷。

    (5)可防止用戶私設(shè)IP地址;非BRAS下發(fā)的IP地址用戶不能上網(wǎng)。

    二、我校園無線漫游一次認(rèn)證方式的實(shí)現(xiàn)

    為了簡化準(zhǔn)入認(rèn)證管理,我校采用了準(zhǔn)出認(rèn)證模式——web網(wǎng)關(guān)統(tǒng)一認(rèn)證模式。用戶認(rèn)證后,用戶賬號與IP地址關(guān)聯(lián),在認(rèn)證系統(tǒng)中通過對IP地址的管理來實(shí)現(xiàn)用戶賬號管理。用戶在web登錄界面輸入賬號信息,認(rèn)證系統(tǒng)獲得用戶賬號和IP地址的對應(yīng)關(guān)系信息,對IP地址進(jìn)行放行或阻止的操作。傳統(tǒng)方式無線用戶漫游需要重復(fù)認(rèn)證的原因在于用戶的IP地址改變了,為此我們嘗試無線網(wǎng)用戶漫游在不同無線網(wǎng)時(shí),保證終端的IP地址不變,以實(shí)現(xiàn)無需再次認(rèn)證。

    為此規(guī)劃全校無線網(wǎng)用戶在同一vlan中、同一網(wǎng)關(guān),由同一個(gè)地址池下發(fā)地址,以此來實(shí)現(xiàn)在各個(gè)無線網(wǎng)漫游時(shí)終端攜帶地址不變。有兩種實(shí)現(xiàn)方式:

    (1)各無線網(wǎng)匯聚到同一臺匯聚交換機(jī),此匯聚交換機(jī)上聯(lián)連接到BRAS設(shè)備的一個(gè)接口。由BRAS 的DHCP Server統(tǒng)一進(jìn)行地址下發(fā),用戶漫游在不同的無線網(wǎng)絡(luò)時(shí),BRAS感知的是同一接口下MAC地址不變,不進(jìn)行地址的重新分配,可以實(shí)現(xiàn)用戶終端的IP地址不變。通??梢栽跓o線網(wǎng)絡(luò)流量不足夠大的時(shí)候采用。缺點(diǎn)是容易出現(xiàn)單臺設(shè)備故障。

    (2)各無線網(wǎng)匯聚到各自獨(dú)立的匯聚交換機(jī),各個(gè)匯聚交換機(jī)分別上聯(lián)連接BRAS設(shè)備的各個(gè)接口。如果是BRAS 的DHCP Server下發(fā)用戶地址,用戶在無線網(wǎng)中漫游時(shí)會(huì)從BRAS不同的接口接入,即使是相同的MAC地址,BRAS也會(huì)認(rèn)為是不同用戶,重新進(jìn)行IP地址分配。因此,需要采用獨(dú)立DHCP Sever,在BRAS上采用DHCP Relay方式下發(fā)地址,可以實(shí)現(xiàn)用戶的IP地址不變。

    三、保障同一vlan下用戶間的安全性

    眾所周知,vlan劃分可以有效抑制廣播包,上萬個(gè)無線用戶在同一vlan中,如果不能做很好的數(shù)據(jù)隔離,廣播風(fēng)暴問題將會(huì)使全無線網(wǎng)用戶癱瘓。為此我們采用如下方式進(jìn)行用戶間隔離,確保網(wǎng)絡(luò)穩(wěn)定:

    (1)在各無線控制器上設(shè)置“用戶隔離”,限制同一控制器下的無線終端的互訪,無線終端只能與核心設(shè)備的接口MAC地址之間進(jìn)行二層數(shù)據(jù)傳輸,用戶相互之間不能相互通信。

    命令:user-isolation vlan 970 enable user-isolation vlan 970 permit-mac b0a8-6e7d-9fc0 //只允許用戶與網(wǎng)關(guān)(網(wǎng)關(guān)MAC:b0a8-6e7d-9fc0)之間的數(shù)據(jù)交互。

    (2)無線網(wǎng)絡(luò)采用IPOE模式,在BRAS開啟Demux的配置,相當(dāng)于每個(gè)用戶擁有一個(gè)vlan:

    配置每用戶生成一個(gè)demux接口:

    命令:set dynamic-profiles wlan-test-2015 predefined-variable-defaults input-filter wlan-up-yidong //設(shè)置入方向流量的策略

    set dynamic-profiles wlan-test-2015 predefined-variable-defaults output-filter wlan-down-yidong //設(shè)置出方向流量的策略

    set dynamic-profiles wlan-test-2015 interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address preferred-source-address 10.48.0.1 // 設(shè)置網(wǎng)關(guān)地址

    (3)在BRAS上設(shè)置開啟DDOS攻擊防御機(jī)制,做了ARP數(shù)據(jù)數(shù)量限制,抑制非法ARP報(bào)文。命令:

    set system ddos-protection protocols arp aggregate flow-level-bandwidth logical-interface 1000 //邏輯接口下ARP報(bào)文帶寬不超過1000kb

    (4)在BRAS設(shè)備上限制每個(gè)終端的上下行帶寬。命令:

    set firewall family inet filter wlan-down-yidong interface-specific

    set firewall family inet filter wlan-down-yidong term 1 then policer 30m //用戶下行帶寬執(zhí)行“30m”策略

    set firewall family inet filter wlan-up-yidong interface-specific

    set firewall family inet filter wlan-up-yidong term 1 then policer 15m //用戶上行帶寬執(zhí)行“15m”策略

    set firewall policer 30m if-exceeding bandwidth-limit 30m //用戶帶寬30M;

    set firewall policer 30m if-exceeding burst-size-limit 10m //用戶緩沖區(qū)帶寬10M;

    set firewall policer 30m then discard

    set firewall policer 15m if-exceeding bandwidth-limit 15m //用戶帶寬15M;

    set firewall policer 15m if-exceeding burst-size-limit 5m //用戶緩沖區(qū)帶寬5M;

    set firewall policer 15m then discard

    (5)在接入交換機(jī)的接口上做下聯(lián)端口之間數(shù)據(jù)的隔離。

    am isolate Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11

    (6)在無線控制器上進(jìn)行“丟棄廣播和未知名多播”的設(shè)置。減少控制器上的無線設(shè)備的異常廣播包。

    四、在DHCP 服務(wù)器上實(shí)現(xiàn)“固定”IP地址分配

    我校采用了定制的DHCP服務(wù)器實(shí)現(xiàn)全校上萬無線用戶地址分配的功能。(見圖3)用戶連接到網(wǎng)絡(luò),首先進(jìn)行獲取IP請求,BRAS 將用戶的地址請求 DHCP relay到DHCP Server上,DHCP Server在IP地址歷史租約表中查找是否有此MAC地址的記錄,若有此MAC地址,且其對應(yīng)的IP地址可以分配,則將此IP地址分配給請求的用戶。當(dāng)無線用戶從一個(gè)無線網(wǎng)漫游到另一個(gè)無線網(wǎng)時(shí),用戶所在vlan不變,網(wǎng)關(guān)不變,用戶再次做DHCP請求,DHCP 服務(wù)器在租約表中查到此MAC地址與IP地址對應(yīng)的關(guān)系,用戶實(shí)現(xiàn)了續(xù)租此IP地址。

    通過定制的DHCP服務(wù)器下發(fā)地址,同一臺設(shè)備獲得的IP極少有改變。無線用戶獲得的IP地址不變,漫游在各無線網(wǎng)絡(luò)中,認(rèn)證系統(tǒng)依然保持“放行”狀態(tài),無需再次認(rèn)證,實(shí)現(xiàn)了用戶一次認(rèn)證的跨網(wǎng)漫游的自由訪問,如圖4所示。用戶只要有一次外網(wǎng)訪問的行為,(獲得了用戶賬號與IP地址的對應(yīng)信息)基本就可以定位用戶,實(shí)現(xiàn)了準(zhǔn)出認(rèn)證方式用戶內(nèi)網(wǎng)訪問定位的問題。對于網(wǎng)關(guān)式認(rèn)證服務(wù)器,終端IP地址認(rèn)證后,用戶即可以外網(wǎng)訪問。

    五、結(jié)束語

    中國人民大學(xué)充分利用BRAS設(shè)備集中管理用戶和安全策略的優(yōu)勢,采用IPOE模式+“MAC相同,IP地址不變”的模式結(jié)構(gòu)已經(jīng)穩(wěn)定、高效地運(yùn)行近2年時(shí)間,在此期間無線網(wǎng)絡(luò)沒有發(fā)生過廣播風(fēng)暴等網(wǎng)絡(luò)事件,解決了用戶在多個(gè)獨(dú)立的無線網(wǎng)絡(luò)中漫游時(shí)的反復(fù)認(rèn)證問題,大大增強(qiáng)了用戶使用網(wǎng)絡(luò)的體驗(yàn)。同時(shí)對運(yùn)維來說,配置更簡單、清晰,極大地提高了運(yùn)維效率。

    (編輯:王天鵬)

    徐州市| 肥城市| 比如县| 宾川县| 射阳县| 页游| 图片| 温州市| 玉溪市| 平利县| 西乌| 辉南县| 遂溪县| 睢宁县| 桃园县| 吉安市| 怀化市| 白沙| 蕉岭县| 凤翔县| 金塔县| 汉源县| 罗田县| 盈江县| 辽源市| 新和县| 孝昌县| 城步| 阜南县| 嘉祥县| 七台河市| 紫金县| 安义县| 汾西县| 遵义县| 永泰县| 永和县| 德安县| 金秀| 安庆市| 武山县|