近年来,校园网宽带网络接入、信息平台共享、远程教育等园区网络应用日益丰富,数字化校园网建设的理念不断深入人心,对于如何建立可以运营,可管理,计费策略灵活便利的校园网络,各种解决方案和产品形态在淘尽
黄沙后,逐渐显露出各自的优劣。尤其伴随着校园网应用需求的丰富,校园网络规模的不断扩大,用户数目的不断增多,网络设备品牌数目、协议标准的增多,构健一套全面管理,可灵活升级,具有高度兼容性,可扩容性的解决方案受到更多的青睐。
天津师范大学新区是与2006年初期开始考虑校园网管理计费设备的选择,初期网络建设的时候,由于考虑到校园网用户行为的不规范对于网络的冲击,校方采用了802.1X协议的锐捷交换机构建园区网。因此在后期选购认证计费管理设备的时候,选择一套能够与交换机协议兼容,能够方面实现高安全性的二次认证方案的产品就成为校方考虑的一个重点。
二次认证方案是针对校园网应用非常有效的一种认证管理手段,结合交换机本身的802.1X管理到端口的特性,会实现有效高安全性的内网管理。同时结合认证计费设备,对于出内网到外网的用户进行二次认证,从而保证内外网流量的区分,便于内网用户的控制和分别计费。但是此方案的重点在于以下3点:
第一点, 方案的提供商必须有足够的交换机厂商的配合经验。由于交换机和网关认证系统厂商在产品初创时遵从了不同的私有协议。因此,是否能够支持公有的协议,私有协议是否可以被识别,是否有设备对接的经验,对于二次认证的方案实施来讲非常关键。
第二点, 交换机认证系统和网关认证计费系统是否采用同一套数据库,是否采用同一套认证客户端。由于二次认证解决方案的核心是结合1x和认证系统的优势,同时保留一套客户端,二次认证的方便性,这样既能保证安全性,又能保证两套系统后台的数据实时同步。所以对于交换机和认证计费系统分别用一套客户端进行认证的解决方案,在牺牲了登陆方便性的同时,最大的隐患在于两套数据库实现同步的难度非常大,极易造成数据丢失,而关键的计费数据一旦数据丢失后果不堪设想。
第三点,提供商是否有足够的成功案例。二次认证的方案涉及到协议配合,设备配合的问题,而很多方案具体实施过程、维护过程中才能暴露出来的问题必须有一个量的积累才能使方案本身成熟度达到一定的规模,匆忙推出没有实际成功案例的方案一般会使方案在后期的实施过程中和维护过程中问题重重,而且完全没有成功经验可以借鉴。
安腾公司(www.amtium.com)是国内最早提出二次认证解决方案的专业计费产品提供商,在radius协议标准化方面,成功客户经验和方案的完整性、标准性、灵活性方面都具备很高的指标参数,也成为最早进入校方选择范畴的方案提供商。由于校方对于计费认证产品的重视,最终安腾公司和另外一家国内计费知名厂商进行了共同测试,校方希望通过在实际网络运行中掌握两种方案的优势和不足。测试从3个方面进行:
1、测试学校计费策略的执行情况。策略一,包括4G/20元,4G以上5元/G,不足1G按照1G计流量,其中4G为外网流量(国内),内网流量不计。策略二,50元包月,国内不限流量,国外限制2G流量,超过2G国外不可访问。这两种策略主要是为了测试产品在计费方面的准确性,实时性和灵活性。
2、防BT效果。
3、测试一套用户名密码,实现一次登陆同时进行基于交换端口的认证和基于网关的认证,以达到对内网和外网的有效区分及管理,避免IP地址冲突。
通过以上三个方面的测试,安腾公司的网关认证计费解决方案配合交换机端口认证的二次认证解决方案在计费策略,防BT效果,二次认证方面均表现出卓越的品质,最终获得校方的认可。以下为安腾公司提供的二次认证解决方案的拓扑图。
本方案有如下的特性:
用户访问内网进行802.1x认证,访问外网再通过BAS认证。
本方案采用802.1x交换机和BAS串连的方式,既可以利用802.1x认证对用户控制能力强的优点,又能充分利用BAS控制灵活、功能丰富的特点,实现网络安全和计费方式的完美结合。
共用一套计费中心,一套帐号系统。
共用一个客户端,可以完成二次认证。
使用客户端进行认证,可以控制用户使用代理、P2P下载工具。
利用安腾网关认证计费系统结合802.1X交换机可以实现二次认证,混合认证的解决方案,校方可以根据实际的情况来选择不同的认证方式和管理方式,为高效率,高安全性,可扩展,可升级的数字化校园网搭建成熟的运营平台。
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073