随着校园网络规模的不断扩大,业务类型的不断增加,智能化设备越来越普及等种种因素,校园业务认证则变得尤为重要。ADCampus(应用驱动校园网)只能满足校园网准入即准出的需求,而当校园网中出现准入未必准出的需求时则只能采用ADCampus+BRAS(应用接入服务器)的方式来实现。
图1 ADCampus组网图
图2 ADCampus准入准出认证流程图
如图2为用户准入准出认证过程,分三个阶段:
1. 用户准入认证,用户在ADCampus的Leaf上进行认证,认证服务器是EIA。认证方式可以是MAC认证,MAC Portal+认证,802.1X认证。
2. EIA同步用户上线信息到城市热点AAA,主要信息是用户名和IP地址,NAS IP(BRAS的源地址),Acct-Session-Id(在线接入会话ID)。在线用户的用户名和IP地址是一一对应的关系。
3. SR88X准出认证端口配置未知源IPoE认证,用户流量准出时触发IPoE认证。城市热点AAA作为准出认证服务器,同时提供计费功能。城市热点AAA在组网上只能与SR88X直连。
4. 城市热点有一个服务器BS,专门用于对城市热点AAA进行配置和存储用户数据。BS相当于一个城市热点设备的控制器,本身与EIA和SR88X没有交互,在组网上最好与城市热点AAA放在一块。
用户在准入侧下线,EIA会通知服务器BS同步下线。
图3 某技术学院ADCampus网络拓扑图
某技术学院ADCampus的网络拓扑如图3所示,对该拓扑图的网络规划说明如下:
1. 出口火墙创建6个虚墙;不同的虚墙内配置缺省路由至自己的公网出口;不同运营商出口路由器将各自的下联防火墙网段发布至自己的运营商网络中;出口防火墙配置10.0.0.0/8业务回程路由指向BRAS。
2. BRAS与防火墙三层互联,ACG和IPS作二层网桥。BRAS与防火墙间配置6条子接口通道,分别承载电信-教师,电信-学生,教育网,联通,移动,广电等流量。BRAS将各个用户组的流量重定向至不同子接口上,去往防火墙不同出口;BRAS与下联Spine运行OSPFv2和OSPFv3路由协议;BRAS强制下发IPv4、IPv6缺省路由给Spine。
3. Spine与BRAS运行OSPFv2和OSPFv3动态路由协议;Spine在ospfv2和ospfv3中重发布直连路由将业务网段发布给BRAS;Spine通过ospfv2和ospfv3收到缺省路由后注入BGP中;从而Spine通过BGP发布缺省路由给Leaf。
4. Leaf与Spine建立BGP邻居;Leaf通过BGP接收缺省路由并发布业务主机路由给Spine。
如下对业务开通认证流程进行详细的说明:
1. 城市热点拿到学生、教师账号的数据库;通过导入数据库在城市热点开户(包括用户名、密码、账号、用户组等信息)并推送给H3C EIA;在EIA上可以看到这些账户创建成功。
2. 使用自己的账号(比如教师-电信)在终端上认证;笔记本电脑插入网线后进行准入认证;MAC认证,MAC Portal +认证,802.1X认证均可以;首先通过mac认证后可以获取BYOD的IP地址段及福建电信的DNS;EIA放通DNS流量;用户打开任意网页,此时用户用福建电信DNS;通过BRAS将此DNS请求流量重定向至电信链路上;从而解析完成后用户打开的网页将被portal跳转至认证页面,如图4所示。
图4 用户认证页面
3. 输入用户名和密码后, 用户在EIA上线;EIA同步用户上线信息到城市热点AAA,主要信息是用户名和IP址,NAS IP,Acct-session-id。在线用户的用户名和IP地址是一一对应的关系。
4. 由于教师账号EIA上线成功,DHCPServer会发给教师组账号教师组的IP地址及DNS(大概需要半分钟获取新地址,由于BYOD的地址续约时间为1分钟,之前配置账号和密码大约使用半分钟);此时教师用户访问www.baidu.com时,由于已经获取了福建电信的DNS,此时依旧通过BRAS去福建电信DNS解析出www.baidu.com的目的IP地址;用户发起对www.baidu.com的访问经过BRAS触发BRAS的准出认证,此时BRAS会将用户的IP地址作为账号推送给城市热点发起认证;城市热点查找准入认证信息后将认证通过;之后此账号在BRAS上线,BRAS将放行此IP的访问流量。
5. 由于教师账号被分为“js”组,BRAS收到js组的流量将其重定向至电信链路上; 因此教师账号访问百度就可以从出口防火墙的电信出口出去; 账号的限速全部由城市热点下发带宽完成限速; 回程流量匹配路由回到教师终端上。
6. 用户在BRAS上线信息。
图5 用户在BRAS上线
1. BRAS关键配置如图6所示
interface Route-Aggregation3.8
qos apply policy redirect inbound ----------------重定向策略
qos apply policy dns-out outbound ----------------放通DNS策略
ip subscriber routed enable ipv4 ----------------接口开启IPv4三层IPOE认证
ip subscriber initiator unclassified-ip enable----------------触发未知源IPOE
ip subscriber unclassified-ip domain drcom-----------------IPOE接入域drcom
图6 BRAS关键配置
2. BRAS与radius交互信息
图7 BRAS与radius交互信息
BRAS使用用户IP作为三层IPOE认证的用户名发送给radius。
*Oct 2 16:04:37:053 2019 BRAS-SR88 RADIUS/7/PACKET: -MDC=1-Slot=1;
Sent a RADIUS packet
Server IP : 10.104.5.26
NAS-IP : 10.104.5.36
VPN instance : --(public)
Server port : 1812
Type : Authentication request
Length : 263
Packet ID : 157
*Oct 2 16:04:37:053 2019 BRAS-SR88 RADIUS/7/PACKET: -MDC=1-Slot=1;
User-Name="10.110.134.231"
NAS-Identifier="BRAS-SR88"
NAS-Port-Id="slot=0;subslot=0;port=3;vlanid=8;"
NAS-Port=12296
NAS-Port-Type=Ethernet
H3c-Authentication-Type=2
Acct-Session-Id="0000000820191002160437001354bd08116496"
H3c-Ip-Host-Addr="10.110.134.231 00:00:00:00:00:00"
Framed-IP-Address=10.110.134.231
Framed-Protocol=PPP
User-Password=******
Service-Type=Framed-User
H3c-Auth-Type=IPoE
NAS-IP-Address=10.104.5.36
H3c-Product-Id="H3C"
H3c-Nas-Startup-Timestamp=1293840074
图8 BRAS认证过程-1
BRAS收到radius授权报文,用户组为“js”通过用户组信息将不同的用户流量转发至不同的出接口。
*Oct 2 16:04:37:054 2019 BRAS-SR88 RADIUS/7/PACKET: -MDC=1-Slot=1;
Received a RADIUS packet
Server IP : 10.104.5.26
NAS-IP : 10.104.5.36
VPN instance : --(public)
Server port : 1812
Type : Authentication accept
Length : 179
Packet ID : 157
*Oct 2 16:04:37:054 2019 BRAS-SR88 RADIUS/7/PACKET: -MDC=1-Slot=1;
Reply-Message="Welcome to Drcom System:436561930"
Session-Timeout=172800000
Acct-Interim-Interval=210
Service-Type=Framed-User
Framed-Protocol=PPP
H3c-Input-Peak-Rate=4294967295
H3c-Input-Average-Rate=4294967295
H3c-Output-Peak-Rate=4294967295
H3c-Output-Average-Rate=4294967295
H3c-Remanent-Volume=4294967295
H3C-Ita-Policy="policy_4"
Framed-IP-Address=255.255.255.254
Filter-Id="2M"
H3c-User-Group="js"
Filter-Id="2M"
图9 BRAS认证过程-2
ADCampus+BRAS认证方案的优势有如下4点:
1. 实现准入不一定准出的需求:即使账号欠费,校方依旧允许此账号访问校内资源,但是禁止访问公网;
2. 业务会话管理:在BRAS上所有用户都会IPOE上线,所有业务会话管理,便于故障排查维护;
3. 实现不同用户组多出口选路:出口BRAS的作用为不同的用户组实现不同的选路;
4. 限速由服务器直接下发:每个用户的速率值由城市热点认证服务器直接下发,限速准确,网络结构简单。
ADCampus已经广泛应用到了校园中,理论与实践的结合让网络更加灵活为人所用,今后ADCampus的发展将会更加智能化,一体化,高效化。而ADCampus与BRAS的结合认证方案将适应今后校园更加灵活多变的需求。