集群环境下认证报文研究.docVIP

集群环境下认证报文研究 　　摘要：本文结合学校校园网建设实际，分析、研究了集群环境下802.1x在校园网认证中的数据报文流形式，给出了认证上网报文流的全过程。 　　关键词：集群；802.1x协议；认证报文流 　　中图分类号：TP393 文献标识码：A文章编号：1009-3044(2007)18-31601-03 　　Authentication Datagram Protocol Research in Cluster 　　YANG Yong,CHENG Gang,ZOU Chun-An,ZHOU Jian-guo 　　(Huazhong university of Science and Technology,Wuhan 430074,China) 　　Abstract：According to the construction practice of campus network, In the cluster,This paper research and Analyze Authenticating datagram Protocol stream for 802.1x on our campus network. Introducing all process about the logon network data protocol of Authenticating. 　　Key words：cluster；802.1x protocol； Authenticating datagram Protocol stream 　　 　　1 引言 　　 　　伴随着网络技术的飞速发展，网络文化的迅速普及，网络资源的日益丰富，校园网上网???模和有效的网络带宽使用与管理已显现得越来越重要，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样化的需求。在这种环境背景下，一种新的宽带认证方式――IEEE 802.1x协议便应运而生了。 　　华中科技大学校园网在全国高校校园网中率先实施大规模认证上网系统，成功地在校园学生宿舍网内实现了集群认证系统和大规模802.1x认证实名制上网方式，先后对校园内的80多栋学生宿舍完成了近50000个联网信息点部署，网络几乎覆盖了全校的所有学生宿舍，如此大规模的网络建设和网络覆盖率，对集群系统、802.1x协议、网络二层接入设备、校园网络带宽、网络QoS都是一次严峻的考验。 　　采用认证上网的初衷是为了实现安全、稳定、有序、可控、可管理、实名制上网，有效、合理地利用日益紧缺的网络带宽资源，集群运行环境有效地解决了认证系统的上述要求。 　　 　　2 典型的宽带上网认证方式 　　 　　目前，在认证上网方面，普遍采用以下几种认证解决方案：PPPOA +ADSL+RADIUS，PPPOE+RADIUS，WEB+RADIUS，NetFlow+RADIUS，802.1X+RADIUS等。PPPOA +ADSL+RADIUS为小容量宽带业务接入；PPPOE+RADIUS，WEB +RADIUS由于需要采用设置在网络汇聚层的用户接入服务设备BAS(BroadBand Access Server)而产生网络瓶颈，给大规模网络接入带来阻碍；NetFlow+RADIUS需要配合交换机硬件速率限制的功能，并在相应的记费系统中体现，才能真正实现多层次的计费、控制方案； 　　802.1x认证是IEEE 802协议集的局域网接入控制协议，是基于端口的访问控制协议（Port based network access control protocol）。 其体系结构是一种C/S构架，每个上网用户需要安装一个上网客户端，客户端系统通常为一个客户端软件，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持基于以太网的扩展认证协议EAPOL（Extensible Authentication Protocol Over LAN）。 　　802.1x协议的体系结构由三个重要的部分组成：认证系统、认证服务器、认证客户端。 　　2.1 典型的802.1x网络拓扑结构 　　典型的802.1x网络拓扑结构如图1所示。 　　在实际组网过程中，也可以将透传EAP报文和端口控制放在汇聚层网络设备来进行，前提是汇聚层网络设备必须支持802.1x协议。 　　图1 　　2.2 宽带认证上网集群解决方案： 　　华中科技大学采用双机集群认证系统+磁盘阵列的解决方案，其特点在于解决单机认证系统可能出现的认证服务器单点故障。集群中的每台服务器中都安装了认证系统和数据库管理系统，数据库放在磁盘阵列中，集群服务器之间分别处理不同的认证处理进程，一旦集群中