一种基于BRAS校园网接入认证模式研究.docVIP

一种基于BRAS校园网接入认证模式研究 　　摘要：随着高校校园网IPV6应用的启用，校园网网络带宽速率得到进一步提高，多媒体网络应用已经成为主流，校园网接入认证问题突显出来，这对于常用的三种接入控制协议PPPoE、L2TP和DHCP+WebPortal增加了许多变数。该文在分析比较上述三种协议部署利弊的基础上，提出了一种基于BRAS的校园网接入认证模式。该模式针对不同的用户及网络资源管理，及应用类型，采用不同的认证接入组合协议，并以某大学新老校区校园网接入认证模式为例，进行了较为详实的说明。该模式采用BRAS来完成校园网接入方式的认证，实现了用户的精细化和个性化管理和全网的可控接入，从而降低用户终端对校园网主干的影响，对IPV6应用有良好的支持作用。 　　关键词：校园网；PPPoE协议；L2TP协议；Web认证；BRAS 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）07-1509-04 　　1 BRAS在不同接入协议中部署上的特点 　　PPPoE协议在部署上的特点： 　　PPPoE是Point to Point Protocol over Ethernet的简称，广泛的应用于接入主机密集的网络中，如学生宿舍与住宅小区。PPPoE在网络中是一个二层协议，它将PPP协议承载在以太网上，利用廉价的以太网组建点对点的网络。PPPoE连接分为两个阶段，发现阶段和会话阶段，发现阶段是无状态的，采用广播的方式是获得PPPoE终结端（服务端设备）的以太网MAC地址，并建立一个唯一的PPPoESESSION-ID，发现阶段结束后，就进入标准的PPP会话阶段，从而实现PPPoE的连接。因此使用PPPoE协议时，BRAS 是宽带远程接入服务器 （Broadband Remote Access Server）的简称，BRAS设备必须位于用户子网中或同一个Vlan中，以确保二层以太网广播报文能够到达BRAS，如图1所示。[1] 　　L2TP协议在部署上的特点： 　　L2TP是Layer 2 Tunneling Protocol的简称，是一个可以跨越三层的协议的二层协议。即在三层上通过隧道的方式建立用户端与BRAS之间用的二层链路。与PPPoE不同，L2TP是通过指定接入服务端IP地址来进行连接，而PPPoE则采用以太网广播的方式来发现接入服务端，使用L2TP作为用户接入协议，则可以将BRAS设备可以部署在IP可达的网络中，服务于三层结构中的校园网用户，增加了接入网络的灵活性如图2所示。 　　采用L2TP进行接入，完全不需要对原有网络进行改造，只需要保证用户IP和BRAS设备路由可达即可。在L2TP链路之上，用户与BRAS之间建立了一个跨越三层的二层连接。 　　DHCP+Web Portal在部署上的特点： 　　Portal认证的基本过程是： 客户机首先通过DHCP协议通过BRAS分配到IP地址（客户端也可以使用静态IP地址），但是这时客户使用获取到的IP地址并不能访问上Internet，处于受限状态。客户端IP地址在认证通过前只能访问事先设定的一些IP地址，这些地址通常是DNS、Portal服务器的IP地址、自助服务区地址等。[2]当用户需要在浏览器地址栏访问一个可被当前系统DNS解析的域名或一个合法的IP地址，当BRAS收到一个合法的IP地址后会向客户端浏览器推送一个认证登录页面来触发认证，认证通过后，BRAS根据预设的接入控制策略来修改其访问控制表（ACL）使该用户IP可以访问INTERNET或规定的地址。在实际应用中客户端收到BRAS推送的认证页面后，可以浏览上面的内容，比如校园新闻、公告等校园信息、自助服务信息，同时用户还可以在网页上输入用户名和密码并提交给Portal Server，如果用户名和密码有效，Portal Server则通知BRAS修改该客户IP的ACL使其能访问预设的网络资源，并在客户浏览器上显示认证成功的信息。如图3所示。采用Portal认证的接入设备必须具备这种能力。 　　 　　图3 WebPortal+DHCP在校园网中的部署 　　2 BRAS在不同认证方式上的优缺点 　　PPPoE接入的优点与缺点： 　　优点：采用PPPoE 协议部署时，支持的操作系统众多用户几乎零配置即可完成连接，PPP在汇聚层终结（BRAS设备）对网络的性能取决于BRAS的性能，但BRAS需要部署到网络的汇聚层，投资较大；PPPoE是电信运营商传统PSTN窄带拨号接入技术在以太网接入技术的延伸，即用带宽更大的以太网取代传统PSTN，和原有窄带网络用户接入认证体系一致。因此，采用 PPPoE可以不改变用户的上网习惯，减少用户的培训；可以在广播型的网络上实现接入用户与接入设备的端到端的连接，可以有效的进行用户隔离