中南民族大学:打造无边界校园网接入认证—中国教育和科研计算机网CERNET

  • 时间:
  • 浏览:9
  • 来源:山西农业大学教务处_四川大学就业信息网_曲师大教务处湖北文正
阅读模式 中国教育网络 高杰欣

  两台ME60-X3作为全网的有线和无线的统一认证网关,物理结构上是串接在网络中的,相对于旧认证网关而言,在整个改造过程中ME60更像旁挂在网络中。每个ME60通过Virtual port-channel双万兆链路与Nexus7000核心交换相连,对于核心交换而言是看见两个ME60设备。ME60之间进行集群方式连接和配置,分别启用相同IP的loopback地址作为用户使用的LNS地址,将该LNS的默认路由等值指向两个ME60各自实际的LNS地址,实现所有认证拨入请求均衡的连接到两个ME60,任一ME60因故停止能够确保ME60集群内的会话接管和用户体验。

  用户在校园网内任一接入层连接网络,首先获取一个10段虚地址,该虚地址在有线网络上不用认证可直接访问校园网资源和所有校园应用,在无线网络上则需通过IPoE认证。拨入L2TP认证,可以使用操作系统自带的VPN连接客户端(Windows、Linux、Macos均有),认证后所有请求均从ME60上发起;还可使用专用的免安装客户端,该客户端确保园区内网络路由从认证前获取的地址发起,而不走隧道,兼顾网络灵活与效率。两种认证方式均获取IPv4和IPv6双栈地址,其中IPv4是获取另一个10段虚地址,IPv6获取实地址。认证成功后,用户访问互联网通过ME60发起连接,IPv6的互联网请求通过核心交换直接送出,IPv4的互联网请求通过两个NPE送出。拨入IPoE认证,允许选择无感知方式,当第一次认证成功后,下次使用同一个移动终端则无须再认证,每个IPoE的会话状态只存在于一个ME60设备,若一个ME60因故停止,无感知认证则可在用户未察觉情况下再次完成验证并继续上网,未勾选无感知认证的用户则需重新验证。

  NPE在边界网络中是两个独立的设备,实现网络地址转换和智能选路等功能,通过认证的IPv4上网请求走任一NPE都会做NAT,因此数据包不管从哪一个NPE出去,都会从同一个NPE回来,实现源进源出,平时由两个NPE分担全部的出口流量负载,任一NPE若因故停止,也能无缝地由另一台完全接管。

  用户在接入校际互联的其他高校连接校园网,不管是无线还是有线,也会先获取所在高校分配的10段虚IP,该IP由各高校事先所约定好,每校连续且不重复的8个B地址段,从这8个B的10段虚地址无需过各自的边界即可直接互联互通。对有线的校际漫游接入,等同于在更大的校园网拨本校的LNS;对无线的校际漫游接入,则只需在他校发布SSID,通过SSID上联到自校的无线控制器并获取IP。有线和无线的校际漫游认证均是将用户和流量引入了自校的网络,不会占用其他学校的边界出口流量,不存在用户信息的跨库认证,也就不用担心各自学校用户隐私的泄漏或数据不一致,有线用户通过L2TP的所有上网信息通过隧道传回也不存在被监听的问题。

  用户在公众互联网若担心上下行数据传输安全,或需要使用只有校园网才能访问的资源,则可用操作系统自带客户端拨L2TP进入校园网,这一操作无异于SSL VPN或其他VPN接入校园网。在NPE上映射3条线路的3个实IP给LNS,利用NPE的智能DNS解析功能将3个IP对应为一个域名,从公众网进行校园网认证,使用该LNS域名进行连接,会自动匹配相应的运营商线路,以获取最佳的线路体验,验证成功后,所有的网络访问流量将通过隧道传入校园网,从校园网出口完成所有网络访问,最后再从隧道传回给用户。虽然这种方式因L2TP隧道损耗了网络访问体验,但对办公安全、特殊资源访问却能非常便捷的兼顾。

   平滑的改造实施

  网络的改造难免会影响用户的使用,大多会选择午夜进行停机割接,对技术人员的实施压力是很大的,尤其对于割接后可能出现的各种问题,更是牵一发而动全身,往往还面临回退的窘境。

  基于ME60部署的认证系统,与旧的认证是独立的两套环境,在部署过程中无须切断原有系统,并且相互间不发生影响,对技术人员压力减小许多。新认证在部署初期,就完成与统一身份认证系统的集成,实现每个教师、学生都有唯一账号开通,教师继续沿用只认证不收费策略,学生的余额信息则从旧认证系统读取,做到与旧认证系统一致,且允许两套认证系统并行。过渡期结束后,旧认证系统不再接受充值,只允许在新认证系统充值,直至旧认证系统用户越来越少而最终停用,整个认证系统的上线、测试、小范围转换、全部转换等各环节都可在正常工作时间进行,更容易观察问题,更少地影响用户,更弹性地过渡过程,使改造的实施得以平滑完成。

猜你喜欢