北京科技大学在IPv4网全网单点一次登录认证计费的基础上,登录IPv6网无需二次认证,实现了IPv4、IPv6一体化认证计费,有效地推动了IPv6在该校教学及科研中的应用,提高了校园网运行效率及管理水平。
身份认证及计费系统的演进
北京科技大学第一代互联网经过近16年的发展,校园网出口流量经过百兆、千兆的演进,目前正在向万兆迈进;用户数量也有较大规模的增长;就应用而言,也从最初的以服务“科研”为主演进到服务“教学”、“科研”及“师生生活及娱乐”等各个方面。与此同时,第二代互联网自建成六年以来,流量、用户及应用也稳步增长。因而校园网管理较为复杂,“身份认证及计费”系统已经成为校园网稳定安全运行体系的一个不可或缺的重要组成部分。
当前校园网采用的认证方式,主要有Web PORTAL、客户端、802.1x、PPPoE等,这些认证方式各有优缺点,如802.1x可以做接入层的准入控制,但做流量计费则有一定难度;而PPPoE能有效防止ARP病毒,但PPPoE无法穿透三层设备,因此不太适合校园网组网应用。北京科技大学根据自身的网络特点采用的是Web PORTAL认证方式,其特点为灵活易用,无需在用户终端安装客户端程序。高校的计费方式主要有计时长、计流量及包月等模式,我们采用的是计流量与包月组合的方式。
北京科技大学校园网始建于1998年,2001年开始在IPv4网上采用某认证计费系统。2007年校园网升级为第二代万兆以太网,同时把认证计费系统提到重要地位,实现了包括宿舍区及办公区在内的全网统一身份认证。目前注册用户达到二万八千多人,IPv4并发用户数峰值达到8000多人,IPv6并发用户数峰值达到3000人左右,高峰时2000兆IPv6出口接近饱和,网络规模、用户数量及流量均达到了一定水平。
针对这样的情况,北京科技大学在IPv4网全网单点一次登录认证计费的基础上,登录IPv6网络无需二次认证,实现了IPv4、IPv6一体化认证计费,有效地推动了IPv6在我校教学及科研中的应用,提高了校园网运行效率及管理水平。
IPv4单点一次登录认证计费
目前北京科技大学IPv4出口有CERNET及中国网通两个出口,两个出口接入出口路由器,Dr.COM 2133计费网关嵌入到出口路由器与核心交换机之间,对全网上网用户进行身份认证、授权及计费,图1为北京科技大学IPv4网络拓扑。
图1北京科技大学IPv4网络拓扑
认证计费系统主要由四大部分组成:认证计费网关;用户管理及计费软件;客户端(可选);应用接口API。认证计费网关为实时控制执行单元,主要完成数据包转发控制、计费数据采集、访问日志采集等。用户管理及计费软件又可以分为几个模块:用户开户管理、计费策略配置、统计报表、系统配置、访问日志、用户自服务等。客户端则负责发起认证、实施主机防代理检测,并将来自后端的信息呈现给终端用户。API为认证计费系统与校园网其它系统的接口,北京科技大学已经完成认证计费系统与一卡通系统以及数字化校园统一身份认证系统的联动。
IPv4、IPv6一体化认证计费
北京科技大学于2007年将校园网升级为二代万兆网,逻辑上同时支持IPv4及IPv6接入,访问IPv4及IPv6资源则分别走不同的出口链路。随着IPv6流量的逐渐增大,学校在IPv6链路也部署了认证计费网关,IPv6网关采用双千兆链路接入,单台设备实现4Gbps吞吐量。
为了加强用户及网络管理水平,提高师生上网体验,鼓励在教学与科研中使用第二代IPv6网络,北京科技大学采用了IPv4、IPv6一体化认证计费。一次登录具体流程为:当用户访问IPv4资源时,IPv4网关认证通过后,将账号信息同步到IPv6网关,之后用户再访问IPv6资源时,无需二次登录即可访问。先访问IPv6资源时同步原理相同。
目前 IPv4、IPv6一体化认证计费系统第一阶段已经实施完毕,可实现基于IPv6的认证、带宽控制及流量查询等功能。
图2 IPv6流量统计查询
认证计费系统应用经验分享
认证计费系统建设首要考虑的是技术问题,同时,它与所有上网用户的体验及利益密切相关,因此必须作管理方面的思考,下面是北京科技大学在应用中获得的一些经验心得:
1.重点关注网关的“高性能”及“高稳定”性
由于认证计费网关部署于校园网与互联网之间,因此“高性能”及“高稳定”性成为首要考虑因素。目前北京科技大学IPv6网关下行峰值流量达到1.8Gbps,认证计费系统仍能运行稳定。
2.方便用户、提高效率
IPv4与IPv6一体化登录认证功能大大方便了校园网用户IPv4和IPv6网络,针对纯IPv4和双栈(IPv4和IPv6)用户都可一次登录计费系统即可,使用户上网更加轻松快捷。
3.实现IPv6网络带宽控制
IPv6计费网关与IPv4计费网关一样,能对IPv6用户无论是整体还是个人都可以进行带宽控制。这样可以根据教学、科研和个人上网进行不同的带宽控制策略。
4.提高IPv6网络管理水平
IPv6认证计费系统使我们清晰掌握校园网用户对IPv6网络的使用情况,为我们提高IPv6网络管理水平提供了科学依据。
5.身份认证及计费系统与学校“一卡通”和“数字化校园”联动
北京科技大学“一卡通”用户可以在圈存机上实现对校园网帐户的开户、续费和强制修改密码等功能。“数字化校园”门户网站已实现了与校园网认证计费系统的统一认证,即登录门户网站后该用户的校园网认证计费帐户也通过了认证。
随着校园网络流量、应用、用户的进一步发展,身份认证及计费系统在整个校园网安全及运行体系中的作用将会越来越大。北京科技大学采用的IPv4、IPv6一体化认证计费系统,提高了用户上网体验,促进了下一代网络在该校科研中的应用,也带来了精细化校园网运行管理新模式。
(作者单位为北京科技大学网络信息中心)
文章来源:《中国教育网络》杂志2010年8月刊
原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/basis/application/20100811468.html