论文部分内容阅读
【摘 要】我们已经进入网络时代,如何既能够利用局域网技术简单、廉价的组网接点,同时又能够对用户或设备访问网络的合法性提供认证,即如何对宽带用户接入进行有效的管理,日益成为一个重要的问题。
【关键词】有线宽带 网络认证
一、引言
在宽带网络接入的实际工程中,用户的类型是千差万别的,用户接入规模大小不一,用户对网络业务的需求更是各不相同。为用户提供合理的、安全的、易于使用的网络认证技术不仅可以为用户提供满意的服务质量,同时也是提高网络信息安全的重要手段,更可以对网络用户进行有效的管理,规范网络的使用,促使我国宽带网络安全快速的发展。
二、常用的网络认证方式
1. PPPOE认证方式。PPPOE是一种运用窄带拨号认证技术的宽带网络认证方式。它最初被用于ADSL的认证,后来被应用于VDSL接入认证和LAN接入认证。
2. 802.1X认证方式。IEEE 802.1x是一个基于端口的网络访问控制标准草案。它开始是无线以太网遵循的一种应用协议,但是后来有线以太网络的引入有效解决了传统网络认证的问题。现如今,它可以验证802.11无线网络以及有线网络的访问权限,
三、有线宽带接入认证分析
由于裸光纤资源匮乏,某地联通公司的宽带IP城域网不能组建星形或者双星形的拓扑结构,因此以某地城区的三个区为基本单位按环形拓扑结构构建了基于IP的城域网。下面将针对每部分进行介绍。
1. 甲地区情况分析。某地联通公司在甲地区发展的用户最多,并且建网时间最早。现有骨干结点有5个,骨干带宽为千兆,用的是西门子、华为的千兆三层交换机,有7个运用西门子的VERTEX1124二层交换机的二级结点,并且几个二级节点定向链接到5个骨干结点,局内汇聚设备是华为的S8016。在还没有登上认证系统前,此地区全部专线用户的公网地址全是静态分部的,但是在宽带小区的用户地址通过该地区的骨干设备由DHCP协议动态分配的。
整个甲地区网工作在OSI模型的网络层,其工作的动态的路由协议OSPF。该协议用来确保数据的正常转发,同时也实现了整个甲地区的冗余保护。OSPF是一种链路状态路由协议。采用该协议的路由器彼此交换并保存整个网络的链路信息,进而掌控全网拓扑的结构,单独计算路由。现在OSPF第二版已经被大家普遍接受使用。
2. 乙地区情况分析。乙地区是某地联通公司拥有用户数最少,建立网络时间最迟,网络结点最少的地区。目前乙地区上有3个骨干带宽接近千兆骨干结点,4个局内汇聚设备是华为的S8016的二级结点,这些二级结点各自都用百兆光纤与3个骨干结点进行链接。没有登陆认证系统的时候,整个乙地区工作在OSI模型的网络层,其运行的路由协议OSPF,用来保证数据的准确流通,此刻也达到了冗余保护乙地区的目的。在整个实验区,静态分配网址,在宽带小区,由骨干设备根据DHCP协议动态分配用户的地址。
3. 丙地区情况分析。丙地区的情况与上面两个地区不尽相同,现在该地区有11个千兆骨干结点,其中有2台A8007交换机,9台A6048二层交换机;14个二级结点,其中1台华为S2043二层交换机,3台上海博达S2224二层交换机,10台西门子VERTEX 1124二层交换机;中央汇聚设备为A8007并连接到8016,在丙地区静态分配专线用户的地址,在宽带小区则是由S8016统一动态分配用户的地址。
四、认证方式的适应性分析
1. 若采用PPPOE认证方式,需要做如下准备工作
在甲地区与乙地区现存的城域网中,PPPOE认证方式工作在OSI网络模型的网络层(第三层)上。由于该认证协议不可以在网络当中拥有三层的网络设备,PPPOE认证方式所在的VLAN信息不能传到骨干结点交换机,因此要求修改两地区全部相关宽带认证的网络配置参数,目的是让PPPOE认证方式可以在OSI模型的二层上工作,这样方可将用户的PPPOE认证请求传到接入服务器。由此可知,需要大幅度修改原城域网中的甲地区与乙地区。然而,就目前情况而言,丙地区工作在OSI参考模型的数据链路层(第二层),所以不用更改就小区宽带认证系统正常工作。
需要一或者二台宽带接入服务器,我们选择华为M5200F。由于该产品支持最大并发在线用户数为2000户,可以满足目前某地联通公司的小区宽带用户规模。同时该产品可以提供PPPOE、802.1X、WEB等多种接入认证方式、安全管理机制、地址管理功能,管理维护功能、用户管理功能等,完全可以满足我们的实际需求,而且这个产品价格适中,运行稳定,产品成熟,适合于电信运营使用。从接入服务器要终结大量的PPP会话方面考虑,接入服务器一定要保证有足够的带宽。
2. 若采用802.l X认证方式,准备工作如下
若采用分布式认证的网络结构,则要求下面的交换机要支持802.1X认证,虽然分布式认证结构不会产生将来的网络障碍,但如果将原来所有的交换机全部换为支持802.Ix认证的交换机,那么会耗费大量的人力与财力,这与现实不符。若采用集中式认证的网络结构,那么也需要购买一或者几台接入服务器,同时非常重要的是后台的服务器要作重新的开发用来支持802.1x认证所需要的EAP扩展认证协议。
五、結论
综合上述分析,理论原则上是WEB认证较为合理,因为这种方式无论从投入的本金方面,还是改动复杂性和使用便利性方面来讲都是合理的。由于经常有用户异常下线的情况,我们应该用小实验来确定其影响程度;退而求其次我们应该选择PPPOE认证方式,因为它有良好的标准,稳定的工作性能。最后我们应该才选择IEEE802.1x认证方式,由于它与用第二种方式投入的本金相近,但是必须研制新的后台服务器,以此来支持EAP扩展认证协议。当然,考虑本金的问题,无论采用何种方式,我们明智的选择应该是集中式认证。
参考文献:
[1] 宽带接入认证研究及商用试验 [D], 王飞2004
[2] 基于动态口令身份认证系统的设计与实现[J]《办公自动化(综合版)》,史晓影2007年
【关键词】有线宽带 网络认证
一、引言
在宽带网络接入的实际工程中,用户的类型是千差万别的,用户接入规模大小不一,用户对网络业务的需求更是各不相同。为用户提供合理的、安全的、易于使用的网络认证技术不仅可以为用户提供满意的服务质量,同时也是提高网络信息安全的重要手段,更可以对网络用户进行有效的管理,规范网络的使用,促使我国宽带网络安全快速的发展。
二、常用的网络认证方式
1. PPPOE认证方式。PPPOE是一种运用窄带拨号认证技术的宽带网络认证方式。它最初被用于ADSL的认证,后来被应用于VDSL接入认证和LAN接入认证。
2. 802.1X认证方式。IEEE 802.1x是一个基于端口的网络访问控制标准草案。它开始是无线以太网遵循的一种应用协议,但是后来有线以太网络的引入有效解决了传统网络认证的问题。现如今,它可以验证802.11无线网络以及有线网络的访问权限,
三、有线宽带接入认证分析
由于裸光纤资源匮乏,某地联通公司的宽带IP城域网不能组建星形或者双星形的拓扑结构,因此以某地城区的三个区为基本单位按环形拓扑结构构建了基于IP的城域网。下面将针对每部分进行介绍。
1. 甲地区情况分析。某地联通公司在甲地区发展的用户最多,并且建网时间最早。现有骨干结点有5个,骨干带宽为千兆,用的是西门子、华为的千兆三层交换机,有7个运用西门子的VERTEX1124二层交换机的二级结点,并且几个二级节点定向链接到5个骨干结点,局内汇聚设备是华为的S8016。在还没有登上认证系统前,此地区全部专线用户的公网地址全是静态分部的,但是在宽带小区的用户地址通过该地区的骨干设备由DHCP协议动态分配的。
整个甲地区网工作在OSI模型的网络层,其工作的动态的路由协议OSPF。该协议用来确保数据的正常转发,同时也实现了整个甲地区的冗余保护。OSPF是一种链路状态路由协议。采用该协议的路由器彼此交换并保存整个网络的链路信息,进而掌控全网拓扑的结构,单独计算路由。现在OSPF第二版已经被大家普遍接受使用。
2. 乙地区情况分析。乙地区是某地联通公司拥有用户数最少,建立网络时间最迟,网络结点最少的地区。目前乙地区上有3个骨干带宽接近千兆骨干结点,4个局内汇聚设备是华为的S8016的二级结点,这些二级结点各自都用百兆光纤与3个骨干结点进行链接。没有登陆认证系统的时候,整个乙地区工作在OSI模型的网络层,其运行的路由协议OSPF,用来保证数据的准确流通,此刻也达到了冗余保护乙地区的目的。在整个实验区,静态分配网址,在宽带小区,由骨干设备根据DHCP协议动态分配用户的地址。
3. 丙地区情况分析。丙地区的情况与上面两个地区不尽相同,现在该地区有11个千兆骨干结点,其中有2台A8007交换机,9台A6048二层交换机;14个二级结点,其中1台华为S2043二层交换机,3台上海博达S2224二层交换机,10台西门子VERTEX 1124二层交换机;中央汇聚设备为A8007并连接到8016,在丙地区静态分配专线用户的地址,在宽带小区则是由S8016统一动态分配用户的地址。
四、认证方式的适应性分析
1. 若采用PPPOE认证方式,需要做如下准备工作
在甲地区与乙地区现存的城域网中,PPPOE认证方式工作在OSI网络模型的网络层(第三层)上。由于该认证协议不可以在网络当中拥有三层的网络设备,PPPOE认证方式所在的VLAN信息不能传到骨干结点交换机,因此要求修改两地区全部相关宽带认证的网络配置参数,目的是让PPPOE认证方式可以在OSI模型的二层上工作,这样方可将用户的PPPOE认证请求传到接入服务器。由此可知,需要大幅度修改原城域网中的甲地区与乙地区。然而,就目前情况而言,丙地区工作在OSI参考模型的数据链路层(第二层),所以不用更改就小区宽带认证系统正常工作。
需要一或者二台宽带接入服务器,我们选择华为M5200F。由于该产品支持最大并发在线用户数为2000户,可以满足目前某地联通公司的小区宽带用户规模。同时该产品可以提供PPPOE、802.1X、WEB等多种接入认证方式、安全管理机制、地址管理功能,管理维护功能、用户管理功能等,完全可以满足我们的实际需求,而且这个产品价格适中,运行稳定,产品成熟,适合于电信运营使用。从接入服务器要终结大量的PPP会话方面考虑,接入服务器一定要保证有足够的带宽。
2. 若采用802.l X认证方式,准备工作如下
若采用分布式认证的网络结构,则要求下面的交换机要支持802.1X认证,虽然分布式认证结构不会产生将来的网络障碍,但如果将原来所有的交换机全部换为支持802.Ix认证的交换机,那么会耗费大量的人力与财力,这与现实不符。若采用集中式认证的网络结构,那么也需要购买一或者几台接入服务器,同时非常重要的是后台的服务器要作重新的开发用来支持802.1x认证所需要的EAP扩展认证协议。
五、結论
综合上述分析,理论原则上是WEB认证较为合理,因为这种方式无论从投入的本金方面,还是改动复杂性和使用便利性方面来讲都是合理的。由于经常有用户异常下线的情况,我们应该用小实验来确定其影响程度;退而求其次我们应该选择PPPOE认证方式,因为它有良好的标准,稳定的工作性能。最后我们应该才选择IEEE802.1x认证方式,由于它与用第二种方式投入的本金相近,但是必须研制新的后台服务器,以此来支持EAP扩展认证协议。当然,考虑本金的问题,无论采用何种方式,我们明智的选择应该是集中式认证。
参考文献:
[1] 宽带接入认证研究及商用试验 [D], 王飞2004
[2] 基于动态口令身份认证系统的设计与实现[J]《办公自动化(综合版)》,史晓影2007年