admin管理员组文章数量:1531525
2024年7月25日发(作者:)
H3C无线校园网一体化认证方案分析
目前大部分校园网都已经部署了完善的认证计费系统,建设无线校园网之后,
如何在保证用户使用方便性的前提下实现有线和无线用户采用同样的认证系统,
同样的用户数据?用户需要提供一体化认证方案来解决这些问题。
校园网认证的现状
多数高校的有线网络都是采用的收费策略是校园网和教育网包月,出
Internet和国际按照流量收费。这种情况下,有线网络的认证流程是:
A.用户插上网线系统自动检查用户的IP、MAC等绑定关系,或者客户端自动
启动802.1x认证,如果用户不欠费,用户可以正常获得IP,可以不受限制的访
问校园网和教育网;
B. 当用户有去往Internet或者国际的流量时,出口计费网关弹出认证页面,
用户输入正确的用户名后可以访问Internet和国际网段;
C. 整个过程只有在用户流量出Internet时才需要用户输入用户名和密码
进行确认,操作十分简洁。
图1 校园网中有线认证流程
无线校园网认证遇到的问题
当用户建设了无线校园网后,由于无线介质的开放性和终端的漫游特性,导
致无线无法向有线网络那样实现用户、IP、MAC、端口的绑定,因此在接入无线
网络时如果不对用户进行认证,就无法确定用户的身份,出现问题也就无法定位
到用户,因此和接入有线网络不同,用户接入无线网络时必须先进行认证,然后
用户才能访问网络资源,这样就存在如下问题:
A.无线网络能否和有线网络使用同样的用户名密码?
B. 增加了接入无线网络的认证后,用户是否仍然使用相同的一次认证流程?
一体化认证
1. 统一身份认证
有线和无线统一身份问题,分三种情况:
第一种情况:学校有专门的认证计费服务器,用户数据存储在认证服务器中。
这种情况下,无线系统和有线系统都通过标准的Radius协议和认证计费系统来
进行用户名密码的验证,由于二者采用相同的服务器和数据库,很容易实现有线
和无线统一用户名和密码;
第二种情况:学校使用专门的计费网关,用户数据存储计费网关的数据库中,
计费网关同时完成用户流量采集和用户认证计费工作。这种情况下,由于计费网
关没有和其他系统对接,因此无法确保计费网关采用的协议能够和无线系统能够
实现完全互通,这种情况下,需要计费网关和无线系统之间实现对接,有可能需
要双方修改软件才能完成。
第三种情况:学校已经推广一卡通系统,用户数据存储在一卡通系统中。这
种情况下,有线的计费网关和无线设备都需要和一卡通系统实现对接。由于大部
分一卡通系统都是基于LDAP协议(Lightweight Directory Access Protocol, 轻
型目录访问协议),在IBM、HP、Sun的相关平台上开发或者包装而成,因此需要
无线系统支持通过LDAP协议完成对用户的认证。目前只有部分厂家无线系统支
持使用LDAP协议进行用户接入认证,部署无线系统时需要确认。
总之,目前有线和无线实现统一身份认证并不是一件很困难的事情,根据用
户使用系统的不同,实现方法会有所不同,但整体来说,方法不外乎以上几种。
2. 统一认证流程
无线接入和有线接入能否实现相同的接入流程?目前大多数学校都没有实现
无线接入的一次认证,而是采用二次认证流程:
A. 用户连接到无线网络后获取用户名和密码,但此时用户不能访问任何网
络资源,用户输入任何URL都会被重定向到认证页面,提示用户输入用户名密码;
B. 用户输入正确的用户名密码后可以访问校园网和教育网的资源;
版权声明:本文标题:H3C无线校园网一体化认证方案分析 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1721857882a901449.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论