基于BRAS架构下校园无线网络漫游的一次认证.docVIP

基于BRAS架构下校园无线网络漫游的一次认证 　　摘 要：校园网用户在多个孤立无线网络中漫游时，需要不断地进行再次认证，大大降低了用户的上网体验，这是很多高校面临的问题。本文提出基于IPOE模式下，保持用户的IP地址不变，实现全无线网内一次认证的模式，提高用户的上网体验。 　　关键词：无线网漫游认证；IPOE；一次认证 　　中图分类号：TP393.1 文献标志码：A 文章编号：1673-8454（2017）05-0045-03 　　近几年，各高校正在逐步进行高密度、大规模校园无线网络基础建设，满足用户随时、随地自由无线上网的使用需求。在多个不同品牌的无线网中漫游的频繁再次认证是很多高校都面临的困扰。 　　一、我校园无线网络现况 　　1.我校园无线网络拓扑 　　校园无线网络承载全校无线用户的上网需求，受客观条件限制，我校无线网络经多次建设完成，无线设备品牌多样，相互独立的无线控制器四台，服务于全校各个不同的区域。在无线网络建设完成初期，无线用户在一日内，反复跨越不同区域、不同无线控制器管理的无线网络进行访问时，会面临不断重新认证的困扰，极大地降低了用户使用网络的体验，这也是很多院校面临的问题。因此，我们考虑访问校园无线网络一次认证的实现方式。 　　我校的四张无线网络设备与核心路由器连接。（见图1）传统方式是：不同的无线控制器下无线用户的vlan不同，分配的用户地址段也不相同，无线用户每次穿越不同无线网络时，都重新获得一个新的IP地址，新IP地址通过网关认证系统访问外网时需要重新认证，出现了用户每日反复认证的现象。 　　2.我校无线网采用IPOE模式 　　传统DHCP只是解决了用户接入网络的基本需求，即用户终端接入网络后，获取到IP地址、网关以及DNS信息后满足用户上网的需求。一些网络厂商借鉴了传统PPPOE的用户管理方式，在宽带接入路由器（BRAS）设备上对DHCP及其扩展option做出了一些改进，主要包括：为一个用户终端分配了IP地址以后，BRAS设备会根据该DHCP binding信息生成一个全局唯一的逻辑通道，BRAS设备根据该逻辑通道对该用户的接入状态进行标识，根据用户身份的不同为该逻辑通道加载不同的ACL和带宽策略，从而实现用户差异化的权限和带宽控制。通过在BRAS设备上的这些改进，实现了类似传统PPPOE的完善的用户接入管理功能，但同时在某些方面还具有一些PPPOE不具备的优势，例如终端不需要安装拨号客户端、组播的实现上更灵活，所以为了与PPPoE进行区分，业界将这样的用户接入管理方式命名为IPOE。 　　我校自2013年起全校无线网用户采用不开启AAA认证的DHCP Relay的IPOE模式，主要采用IPOE模式对每个终端管理。由BRAS统一下发DHCP Server地址、用户vlan、网关，并由DHCP Server统一下发用户IP地址。（见图2） 　　IPOE模式的优点： 　　（1）不需要客户端。所有支持IP协议的设备都支持IPOE系统，不需要安装第三方拨号软件，可以广泛支持各种手持设备、移动设备、视频设备等。 　　（2）BRAS核心设备能力强大、功能丰富，提供集中的业务控制和管理，如IPv4/IPv6的地址分配、用户带宽管理、DDos防护等。 　　（3）在BRAS上有效管理单个用户。针对每个接入用户生成DEMUX动态接口；在用户的DEMUX接口上可以加载固定的统一策略，有效管理每个终端上下带宽。 　　（4）可实现用户隔离和病毒感染的阻断。 　　（5）可防止用户私设IP地址；非BRAS下发的IP地址用户不能上网。 　　二、我校园无线漫游一次认证方式的实现 　　为了简化准入认证管理，我校采用了准出认证模式――web网关统一认证模式。用户认证后，用户账号与IP地址关联，在认证系统中通过对IP地址的管理来实现用户账号管理。用户在web登录界面输入账号信息，认证系统获得用户账号和IP地址的对应关系信息，对IP地址?M行放行或阻止的操作。传统方式无线用户漫游需要重复认证的原因在于用户的IP地址改变了，为此我们尝试无线网用户漫游在不同无线网时，保证终端的IP地址不变，以实现无需再次认证。 　　为此规划全校无线网用户在同一vlan中、同一网关，由同一个地址池下发地址，以此来实现在各个无线网漫游时终端携带地址不变。有两种实现方式： 　　（1）各无线网汇聚到同一台汇聚交换机，此汇聚交换机上联连接到BRAS设备的一个接口。由BRAS 的DHCP Server统一进行地址下发，用户漫游在不同的无线网络时，BRAS感知的是同一接口下MAC地址不变，不进行地址的重新分配，可以实现用户终端的IP地址不变。通常可以在无线网络流量不足够大的时候采用。缺点是容易出现单台设备故障。 　　（2）各无线网