專利名稱:一種校園網的實現(xiàn)方法
技術領域:
本發(fā)明涉及通信網絡,尤其涉及一種校園網的實現(xiàn)方法。
背景技術:
根據(jù)2001年7月中國互聯(lián)網絡信息中心(CNNIC)的最新調查結果來看,我國目前的上網總人口已達2650萬,其中學生用戶占了23%,是最大的用戶群。另據(jù)有關資料顯示,中國網民的普及率是1.2%,其中大學生群體中的普及率是93%,目前87%的學生上網在網吧,97%的學生用201校園卡打電話,龐大的學生用戶群和他們的上網需求是教育網,特別是校園網建設和發(fā)展的前提條件。隨著寬帶城域網的建設,校園業(yè)務也進一步向公眾網擴展,遠程教育成為一項極富發(fā)展?jié)摿Φ膶拵I(yè)務。
目前,各大運營商已經將校園上網的解決方案作為其城域網建設的一個重要內容,如何解決好校園上網的問題,提供一個令運營商和用戶都滿意的解決方案已迫在眉睫。
校園上網有其特殊的需求,目前各大學已建成校區(qū)辦公網,各校園網經教育網訪問因特網(Internet),由于需經多次接轉,同時受出口帶寬的限制,導致用戶的需求無法滿足,浪費了大量寶貴的時間,導致了工作的低效率,同時用戶無法實現(xiàn)家庭辦公。隨著寬帶城域網的建設,學校的教師和學生都有通過寬帶方式上網的強烈需求,在原有網絡和業(yè)務的基礎上開展新型寬帶接入的方式是校園上網的現(xiàn)實需求。
校園網主要解決的問題是根據(jù)用戶的不同選擇,使之限制在校園網范圍內不計費訪問,或者通過寬帶城域網上網并進行計費。而判斷用戶不同選擇的依據(jù)一個是校園網與城域網采用不同的地址范圍,另一個是用戶是否經過認證。
如圖1所示為現(xiàn)有的校園網實施技術方案示意圖,當用戶需要訪問校園網和教育網的時候,采用WEB認證方式,第三層交換機(L3)通過入口服務器(PORTAL SEVER)連接到AAA(Authentication、Authorization、Account,即驗證、授權、計費)認證服務器,用戶開機直接通過動態(tài)主機配置協(xié)議服務器(DHCP SERVER)獲取教育網統(tǒng)一的IP地址和相應設置,其中第三層交換機(L3)的端口地址作為用戶的缺省網關,當校園網和教育網用戶間需要進行互訪時,如果用戶間是相同網段,那么L3作為局域網交換機(Lan Switch)使用;如果是不同網段,那么L3作為用戶的缺省網關為用戶轉發(fā)互訪的報文。
當用戶需要訪問因特網時,使用以太網點對點傳輸協(xié)議(PPPoE,Point-to-Point Protocol over Ethernet)客戶端撥號,因為PPPoE在發(fā)起連接時是使用廣播的,L3將作為第二層交換機(L2)使用,將廣播包透傳到寬帶接入服務器(BAS)上,BAS處理該撥號請求,并與用戶建立連接,之后,用戶的BAS作為優(yōu)先級更高的缺省網關(單播時),所以上因特網時,用戶通過PPPoE將報文送至BAS,由BAS對用戶進行計費。
當公網地址不足時,用戶采用PPPOE獲取私網IP地址,這樣就需要實現(xiàn)進行網絡地址轉換(NAT),可在教育網出口和Internet入口架設NAT設備,提供地址轉換功能。此時PPP撥號地址池IP地址可以采用私網IP地址,動態(tài)主機配置協(xié)議(DHCP)采用公網IP地址。
利用現(xiàn)有技術,當用戶采用WEB認證方式的時候,L3作為Lanswitch并作為用戶缺省路由,這樣即便是不同網段的用戶也可以通過L3進行互訪,用戶沒有隔離;當用戶盜用其他用戶的IP地址時,L3也無法檢測出來,還是當正常用戶進行處理,網絡安全性沒有保證;并且由于L3只處理到網絡層,并不對用戶進行單獨的管理,同時已完成二層信息的終結,沒有將二層信息和用戶賬號進行綁定的可能,因而無法做到帳號和端口綁定,帳號防盜用問題沒有解決;而且,L3缺少豐富的接入權限控制,如果WEB用戶直接想訪問因特網,那么L3也會將報文轉發(fā)給BAS設備,這樣就容易讓BAS成為受攻擊的對象,導致BAS易受攻擊。而當用戶采用PPP認證方式的時候,PPP用戶的IP地址因為可以和校園網的其他用戶直接互訪,容易被盜用,這樣網絡的安全性是無法保證的。
發(fā)明內容
本發(fā)明所要解決的技術問題是克服現(xiàn)有的校園網中用戶沒有隔離,網絡安全性差等缺點,提供一種合理地解決用戶隔離及網絡安全問題的校園網的實現(xiàn)方法,不但簡化校園網的網絡管理,而且可有效地進行訪問校園網、教育網及Internet的計費和權限管理。
本發(fā)明為解決上述技術問題所采用的技術方案為這種校園網的實現(xiàn)方法,包括以下步驟A、將校園網內部劃分為若干個子網絡,并根據(jù)需要對各子網絡采用網絡業(yè)務供應商(NSP)服務器進行管理;B、校園網的各子網絡通過寬帶接入服務器(BAS)連接到因特網和教育網的因特網業(yè)務供應商(ISP)服務器或NSP服務器,并通過BAS與認證服務器(AAA)相連對用戶訪問不同的ISP/NSP對應的網絡進行認證。
校園網的各子網絡可由BAS分別通過多個不同的ISP/NSP服務器上接入因特網或教育網。
用戶可以采用WEB方式或以太網點對點傳輸協(xié)議(PPPoE)方式認證,AAA服務器在認證通過后,將遠程認證撥號用戶服務(Radius)協(xié)議中的應用規(guī)范(PORFILE)屬性下發(fā)到BAS設備,通知BAS該用戶的權限和相應的費率,BAS設備根據(jù)PORFILE屬性具體指定的權限、費率信息,允許用戶訪問相應的網絡并相應地進行計費。
當用戶采用WEB認證時,其步驟如下1)用戶開機通過動態(tài)主機配置協(xié)議(DHCP)服務器申請到教育網的IP地址;2)訪問入口服務器(Portal Server)的訪問入口(Portal)頁面,并根據(jù)該頁面提供的到各個ISP/NSP的認證頁面的超文本傳輸協(xié)議(HTTP)連接,訪問網絡對應的ISP/NSP的認證頁面,在認證頁面的認證框中輸入該網絡分配的用戶名或卡號和口令;3)Portal Server的認證頁面的后臺程序自動將輸入的用戶名或卡號加上網絡對應ISP/NSP的后綴送給AAA服務器進行認證;4)AAA認證通過后通過Portal Server通知BAS設備該用戶的權限和相應的費率。
當用戶通過認證時,Portal Server通過Portal協(xié)議下載一個后臺程序到用戶的計算機上執(zhí)行,通知用戶已經可以上網了。
當用戶又想通過其它的ISP/NSP訪問相應的網絡時,先使PORTALSERVER從當前網絡對應的ISP/NSP離開,然后PORTAL Server通知BAS設備清除該用戶對應的上網權限,此后,用戶重新訪問PORTAL頁面選擇符合自己上網要求的ISP/NSP,重新進行WEB認證。
當用戶采用PPPoE方式認證時,撥號時在輸入的用戶名或卡號后加上網絡對應ISP/NSP的后綴,并輸入口令,AAA認證通過后直接通知BAS設備該用戶的權限和相應的費率。
可根據(jù)需要在教育網的出口和因特網入口處架設網絡地址轉換(NAT)設備,對公網地址和私網地址進行轉換。
AAA服務器可在進行認證時,綁定用戶的介質訪問控制(MAC)地址和虛擬局域網(VLAN),并將該信息下發(fā)到BAS設備中,由BAS設備對用戶的報文進行檢查,以防止用戶盜用IP地址。
本發(fā)明的有益效果為本發(fā)明通過使用BAS取代L3的位置,完成兩個設備的功能,并采用多ISP/NSP解決方案,可以將教育網和校園網內部劃分成多個不同級別的子網絡進行管理,簡化了校園網的網絡結構,便于集中管理。通過對用戶權限進行獨立管理,從本質上實現(xiàn)了用戶的隔離,避免了可能存在管理混亂的因素和可能存在的安全問題,而且能夠更加有效地保證以及管理校園網和教育網敏感資源的安全,通過有效地限制用戶缺省可以訪問的網絡資源,克服了校園網組網結構復雜、分布面積可能很大給管理上帶來的種種問題。
利用本發(fā)明,可將用戶的賬號、VLAN和MAC綁定,從而從根本上杜絕了用戶的地址盜用問題,提高了網絡的安全性,而且對用戶計費進行獨立管理,增加了計費策略的靈活性,進一步降低了網絡運營的成本。
在本發(fā)明技術方案下,WEB認證方式的優(yōu)勢更為突出,通過WEB認證用戶可以在不釋放IP地址的情況下,在PORTAL SERVER上動態(tài)選擇自己的上網權限,從而確定自己可以訪問的網上資源,所以可以做到“用戶一次申請地址,隨意網上行”,并且可以享受不同的優(yōu)惠政策。這樣,統(tǒng)一進行地址管理,同時各個ISP/NSP又可以獨立管理,實現(xiàn)了網絡拓撲和業(yè)務管理的分離,增強了網絡的可擴展性。
圖1為現(xiàn)有的校園網實施技術方案示意圖;圖2為本發(fā)明校園網實施技術方案示意圖。
具體實施例方式
下面根據(jù)附圖和實施例對本發(fā)明作進一步詳細說明ISP(Internet Service Proxy)即因特網業(yè)務供應商,NSP(NetworkService Provider)即網絡業(yè)務供應商,本發(fā)明中只有需要對用戶訪問進行認證和計費的資源才屬于ISP/NSP的范疇,如校園網內部的收費服務器、各種本地收費服務器、Internet接入ISP等,并且將每一個獨立認證和計費的資源就作為一個獨立的ISP/NSP。
如圖2所示為本發(fā)明校園網實施技術方案示意圖,通過多ISP/NSP來實現(xiàn),本實施例技術方案運用的前提為用戶訪問Internet網絡收費,同時存在多個Internet業(yè)務的運營商,每個運營商都是一個獨立ISP(如ISP1和ISP2);用戶訪問教育網和校園內的網絡不收費,分別將其視為一個獨立的NSP,教育網為NSP1,將校園網按不同的區(qū)域劃分為不同的子網絡,區(qū)域可以是邏輯上具有相同特征的幾個網段,物理上可能是集中也可能是分布的,這里將宿舍區(qū)分為一個子網絡,辦公區(qū)與教學區(qū)分為一個子網絡,對辦公區(qū)與教學區(qū)子網絡采用NSP服務器(NSP2)進行管理。
本發(fā)明通過使用寬帶接入服務器(BAS)取代現(xiàn)有方案中L3的位置,由BAS完成兩個設備的功能,將校園網的各子網絡通過寬帶接入服務器(BAS)直接連接到ISP1、ISP2和NSP1,BAS還與認證服務器(AAA)相連,對用戶訪問不同的ISP/NSP對應的網絡進行認證。
用戶可以采用WEB認證方式和PPP認證方式1、采用WEB認證方式WEB認證通過訪問入口服務器(Portal Server)連接到AAA服務器進行,訪問入口(Portal)業(yè)務是ISP/NSP提供給用戶的一種新型業(yè)務,它使用戶在上網時,可以通過標準的WWW瀏覽器(如Internet Explorer或Netscape NaVigator)Portal Server來靈活的選擇適合用戶自己的業(yè)務,包括ISP/NSP選擇、業(yè)務類型選擇、帶寬選擇、QOS保證等級選擇等等,通過Portal頁面還可開展用戶費用自助查詢、廣告、充值卡充值等業(yè)務。Portal Server是提供Portal業(yè)務的服務器,由一個標準的WebServer和后臺控制程序組成。
WEB認證方式主要是針對辦公用戶而言,用戶開機通過動態(tài)主機配置協(xié)議(DHCP)服務器申請到教育網的IP地址,首先訪問PORTALServer的PORTAL頁面;此時PORTAL頁面提供了到各個ISP/NSP的認證頁面的超文本傳輸協(xié)議(HTTP)連接,例如如果用戶需要訪問校園網的辦公區(qū)的網絡就點擊校園網的辦公區(qū)對應的連接,那么用戶就可以訪問該網絡對應的NSP2的認證頁面并在認證框中輸入該網絡分配的用戶名或卡號和口令。
此后PORTAL Server的認證頁面的后臺程序自動將用戶名加上校園網的辦公區(qū)的網絡對應NSP2的后綴送給AAA服務器進行認證(例如,用戶輸入的用戶名為user,加上后綴后為user@nsp2);AAA服務器在認證通過后,通過PORTAL Server將用戶自己的權限、費率等通過遠程認證撥號用戶服務(Radius)協(xié)議中的應用規(guī)范(PORFILE)屬性下發(fā)到BAS設備上,Profile是用來描述滿足一定規(guī)則的一組訪問控制列表(ACL),以確定某種業(yè)務的特征。
這樣,BAS設備就可以根據(jù)PORFILE屬性具體指定的權限、費率等信息,允許用戶訪問校園網辦公區(qū)的網絡,因為宿舍區(qū)的網絡未列入ISP/NSP管理中,所以該網絡的訪問是可以不受限的,其他資源例如Internet、教育網都不允許訪問;同時PORTAL SERVER通過PORTAL協(xié)議下載一個后臺程序到用戶的計算機上執(zhí)行,就會在用戶計算機上打開一個計時窗口,讓用戶知道自己已經可以上網了。
當用戶又想訪問Internet的時候,先點擊計時窗口中的斷開連接按鈕,通知PORTAL SERVER用戶要從校園網的辦公區(qū)網絡對應的NSP(NSP2)離開;然后PORTAL Server自動通知BAS設備清除該用戶對應上網權限并由AAA設備進行相應處理;此后,用戶重新訪問PORTAL頁面選擇符合自己上網的要求的Internet服務提供商(ISP1或ISP2),點擊對應的連接,進入認證頁面輸入用戶名或卡號和口令,通過和上面類似的處理流程,BAS設備知道用戶上網的權限、費率等;用戶在計時窗口彈出后,就可以訪問Internet并根據(jù)指定費率進行計費。如需要進行NAT轉換,可在教育網的出口和Internet架設NAT設備,提供地址轉換功能。
本發(fā)明通過PORFILE屬性對用戶權限、費率等信息進行統(tǒng)一描述,PORTAL SERVER只要下發(fā)PORFILE名稱,BAS即會解析該字符串,并針對用戶下發(fā)相關的策略,并且存在二義性,即PORTAL SERVER可為多個BAS提供服務,而PORFILE對應的策略可能是不一樣的,這樣提高了運營的靈活性。
為了防止用戶盜用其他用戶的IP地址,AAA可以在認證的時候綁定用戶的介質訪問控制(MAC)地址和虛擬局域網(VLAN)并將該信息下發(fā)到BAS設備中,由BAS設備對用戶的報文進行檢查,以便防止用戶盜用IP地址。
2、采用PPP認證方式該方案主要是針對學生或宿舍用戶而言,撥號時需要輸入完整的用戶名或卡號和口令,即在用戶名或卡號后加上網絡對應ISP/NSP的后綴,例如user@nsp2,原理基本和WEB認證一樣,AAA服務器認證后直接通知BAS設備該用戶的權限和相應的費率等。
如果用戶要更換ISP,那么就需要下線,重現(xiàn)進行上述操作即可。如需要進行NAT轉換,可在教育網的出口和Internet架設NAT設備,提供地址轉換功能。同樣,AAA也可以在認證的時候綁定用戶的介質訪問控制(MAC)地址和虛擬局域網(VLAN),防止用戶盜用IP地址。
權利要求
1.一種校園網的實現(xiàn)方法,包括以下步驟A、將校園網內部劃分為若干個子網絡,并根據(jù)需要對各子網絡采用網絡業(yè)務供應商(NSP)服務器進行管理;B、校園網的各子網絡通過寬帶接入服務器(BAS)連接到因特網和教育網的因特網業(yè)務供應商(ISP)服務器或NSP服務器,并通過BAS與認證服務器(AAA)相連對用戶訪問不同的ISP/NSP對應的網絡進行認證。
2.根據(jù)權利要求1所述的校園網的實現(xiàn)方法,其特征在于校園網的各子網絡可由BAS分別通過多個不同的ISP/NSP服務器上接入因特網或教育網。
3.根據(jù)權利要求1或2所述的校園網的實現(xiàn)方法,其特征在于用戶可以采用WEB方式或以太網點對點傳輸協(xié)議(PPPoE)方式認證,AAA服務器在認證通過后,將遠程認證撥號用戶服務(Radius)協(xié)議中的應用規(guī)范(PORFILE)屬性下發(fā)到BAS設備,通知BAS該用戶的權限和相應的費率,BAS設備根據(jù)PORFILE屬性具體指定的權限、費率信息,允許用戶訪問相應的網絡并相應地進行計費。
4.根據(jù)權利要求3所述的校園網的實現(xiàn)方法,其特征在于當用戶采用WEB認證時,其步驟如下1)用戶開機通過動態(tài)主機配置協(xié)議(DHCP)服務器申請到教育網的IP地址;2)訪問入口服務器(Portal Server)的訪問入口(Portal)頁面,并根據(jù)該頁面提供的到各個ISP/NSP的認證頁面的超文本傳輸協(xié)議(HTTP)連接,訪問網絡對應的ISP/NSP的認證頁面,在認證頁面的認證框中輸入該網絡分配的用戶名或卡號和口令;3)Portal Server的認證頁面的后臺程序自動將輸入的用戶名或卡號加上網絡對應ISP/NSP的后綴送給AAA服務器進行認證;4)AAA認證通過后通過Portal Server通知BAS設備該用戶的權限和相應的費率。
5.根據(jù)權利要求4所述的校園網的實現(xiàn)方法,其特征在于當用戶通過認證時,Portal Server通過Portal協(xié)議下載一個后臺程序到用戶的計算機上執(zhí)行,通知用戶已經可以上網了。
6.根據(jù)權利要求5所述的校園網的實現(xiàn)方法,其特征在于當用戶又想通過其它的ISP/NSP訪問相應的網絡時,先使PORTAL SERVER從當前網絡對應的ISP/NSP離開,然后PORTAL Server通知BAS設備清除該用戶對應的上網權限,此后,用戶重新訪問PORTAL頁面選擇符合自己上網要求的ISP/NSP,重新進行WEB認證。
7.根據(jù)權利要求3所述的校園網的實現(xiàn)方法,其特征在于當用戶采用PPPoE方式認證時,撥號時在輸入的用戶名或卡號后加上網絡對應ISP/NSP的后綴,并輸入口令,AAA認證通過后直接通知BAS設備該用戶的權限和相應的費率。
8.根據(jù)權利要求3所述的校園網的實現(xiàn)方法,其特征在于可根據(jù)需要在教育網的出口和因特網入口處架設網絡地址轉換(NAT)設備,對公網地址和私網地址進行轉換。
9.根據(jù)權利要求3所述的校園網的實現(xiàn)方法,其特征在于AAA服務器可在進行認證時,綁定用戶的介質訪問控制(MAC)地址和虛擬局域網(VLAN),并將該信息下發(fā)到BAS設備中,由BAS設備對用戶的報文進行檢查,以防止用戶盜用IP地址。
全文摘要
一種校園網的實現(xiàn)方法,將校園網內部劃分為若干個子網絡,并根據(jù)需要對各子網絡采用ISP/NSP服務器進行管理,各子網絡通過BAS連接到因特網和教育網的ISP/NSP服務器,并通過BAS與AAA相連對用戶訪問不同的ISP/NSP對應的網絡進行認證。用戶可以采用WEB或PPPoE認證,認證通過后,將Radius協(xié)議中的PORFILE屬性下發(fā)到BAS設備,BAS設備根據(jù)PORFILE屬性指定的權限、費率信息,允許用戶訪問相應的網絡并相應地進行計費。本發(fā)明提供一種合理地解決用戶隔離及網絡安全問題的校園網的實現(xiàn)方法,不但簡化了校園網的網絡管理,而且可有效地進行網絡的計費和權限管理。
文檔編號H04L9/32GK1571383SQ0317839
公開日2005年1月26日 申請日期2003年7月19日 優(yōu)先權日2003年7月19日
發(fā)明者杜文華, 楊霞輝, 歐陽偉龍, 程榮 申請人:華為技術有限公司