一種校園網的實現方法

2023-04-24 18:25:16 6

專利名稱：一種校園網的實現方法
技術領域：
本發明涉及通信網絡，尤其涉及一種校園網的實現方法。
背景技術：
根據2001年7月中國網際網路信息中心(CNNIC)的最新調查結果來看，我國目前的上網總人口已達2650萬，其中學生用戶佔了23％，是最大的用戶群。另據有關資料顯示，中國網民的普及率是1.2％，其中大學生群體中的普及率是93％，目前87％的學生上網在網吧，97％的學生用201校園卡打電話，龐大的學生用戶群和他們的上網需求是教育網，特別是校園網建設和發展的前提條件。隨著寬帶城域網的建設，校園業務也進一步向公眾網擴展，遠程教育成為一項極富發展潛力的寬帶業務。
目前，各大運營商已經將校園上網的解決方案作為其城域網建設的一個重要內容，如何解決好校園上網的問題，提供一個令運營商和用戶都滿意的解決方案已迫在眉睫。
校園上網有其特殊的需求，目前各大學已建成校區辦公網，各校園網經教育網訪問網際網路(Internet)，由於需經多次接轉，同時受出口帶寬的限制，導致用戶的需求無法滿足，浪費了大量寶貴的時間，導致了工作的低效率，同時用戶無法實現家庭辦公。隨著寬帶城域網的建設，學校的教師和學生都有通過寬帶方式上網的強烈需求，在原有網絡和業務的基礎上開展新型寬帶接入的方式是校園上網的現實需求。
校園網主要解決的問題是根據用戶的不同選擇，使之限制在校園網範圍內不計費訪問，或者通過寬帶城域網上網並進行計費。而判斷用戶不同選擇的依據一個是校園網與城域網採用不同的地址範圍，另一個是用戶是否經過認證。
如圖1所示為現有的校園網實施技術方案示意圖，當用戶需要訪問校園網和教育網的時候，採用WEB認證方式，第三層交換機(L3)通過入口伺服器(PORTAL SEVER)連接到AAA(Authentication、Authorization、Account，即驗證、授權、計費)認證伺服器，用戶開機直接通過動態主機配置協議伺服器(DHCP SERVER)獲取教育網統一的IP位址和相應設置，其中第三層交換機(L3)的埠地址作為用戶的預設網關，當校園網和教育網用戶間需要進行互訪時，如果用戶間是相同網段，那麼L3作為區域網交換機(Lan Switch)使用；如果是不同網段，那麼L3作為用戶的預設網關為用戶轉發互訪的報文。
當用戶需要訪問網際網路時，使用乙太網點對點傳輸協議(PPPoE，Point-to-Point Protocol over Ethernet)客戶端撥號，因為PPPoE在發起連接時是使用廣播的，L3將作為第二層交換機(L2)使用，將廣播包透傳到寬帶接入伺服器(BAS)上，BAS處理該撥號請求，並與用戶建立連接，之後，用戶的BAS作為優先級更高的預設網關(單播時)，所以上網際網路時，用戶通過PPPoE將報文送至BAS，由BAS對用戶進行計費。
當公網地址不足時，用戶採用PPPOE獲取私網IP位址，這樣就需要實現進行網絡地址轉換(NAT)，可在教育網出口和Internet入口架設NAT設備，提供地址轉換功能。此時PPP撥號地址池IP位址可以採用私網IP位址，動態主機配置協議(DHCP)採用公網IP位址。
利用現有技術，當用戶採用WEB認證方式的時候，L3作為Lanswitch並作為用戶預設路由，這樣即便是不同網段的用戶也可以通過L3進行互訪，用戶沒有隔離；當用戶盜用其他用戶的IP位址時，L3也無法檢測出來，還是當正常用戶進行處理，網絡安全性沒有保證；並且由於L3隻處理到網絡層，並不對用戶進行單獨的管理，同時已完成二層信息的終結，沒有將二層信息和用戶帳號進行綁定的可能，因而無法做到帳號和埠綁定，帳號防盜用問題沒有解決；而且，L3缺少豐富的接入權限控制，如果WEB用戶直接想訪問網際網路，那麼L3也會將報文轉發給BAS設備，這樣就容易讓BAS成為受攻擊的對象，導致BAS易受攻擊。而當用戶採用PPP認證方式的時候，PPP用戶的IP位址因為可以和校園網的其他用戶直接互訪，容易被盜用，這樣網絡的安全性是無法保證的。

發明內容
本發明所要解決的技術問題是克服現有的校園網中用戶沒有隔離，網絡安全性差等缺點，提供一種合理地解決用戶隔離及網絡安全問題的校園網的實現方法，不但簡化校園網的網絡管理，而且可有效地進行訪問校園網、教育網及Internet的計費和權限管理。
本發明為解決上述技術問題所採用的技術方案為這種校園網的實現方法，包括以下步驟A、將校園網內部劃分為若干個子網絡，並根據需要對各子網絡採用網絡業務供應商(NSP)伺服器進行管理；B、校園網的各子網絡通過寬帶接入伺服器(BAS)連接到網際網路和教育網的網際網路業務供應商(ISP)伺服器或NSP伺服器，並通過BAS與認證伺服器(AAA)相連對用戶訪問不同的ISP/NSP對應的網絡進行認證。
校園網的各子網絡可由BAS分別通過多個不同的ISP/NSP伺服器上接入網際網路或教育網。
用戶可以採用WEB方式或乙太網點對點傳輸協議(PPPoE)方式認證，AAA伺服器在認證通過後，將遠程認證撥號用戶服務(Radius)協議中的應用規範(PORFILE)屬性下發到BAS設備，通知BAS該用戶的權限和相應的費率，BAS設備根據PORFILE屬性具體指定的權限、費率信息，允許用戶訪問相應的網絡並相應地進行計費。
當用戶採用WEB認證時，其步驟如下1)用戶開機通過動態主機配置協議(DHCP)伺服器申請到教育網的IP位址；2)訪問入口伺服器(Portal Server)的訪問入口(Portal)頁面，並根據該頁面提供的到各個ISP/NSP的認證頁面的超文本傳輸協議(HTTP)連接，訪問網絡對應的ISP/NSP的認證頁面，在認證頁面的認證框中輸入該網絡分配的用戶名或卡號和口令；3)Portal Server的認證頁面的後臺程序自動將輸入的用戶名或卡號加上網絡對應ISP/NSP的後綴送給AAA伺服器進行認證；4)AAA認證通過後通過Portal Server通知BAS設備該用戶的權限和相應的費率。
當用戶通過認證時，Portal Server通過Portal協議下載一個後臺程序到用戶的計算機上執行，通知用戶已經可以上網了。
當用戶又想通過其它的ISP/NSP訪問相應的網絡時，先使PORTALSERVER從當前網絡對應的ISP/NSP離開，然後PORTAL Server通知BAS設備清除該用戶對應的上網權限，此後，用戶重新訪問PORTAL頁面選擇符合自己上網要求的ISP/NSP，重新進行WEB認證。
當用戶採用PPPoE方式認證時，撥號時在輸入的用戶名或卡號後加上網絡對應ISP/NSP的後綴，並輸入口令，AAA認證通過後直接通知BAS設備該用戶的權限和相應的費率。
可根據需要在教育網的出口和網際網路入口處架設網絡地址轉換(NAT)設備，對公網地址和私網地址進行轉換。
AAA伺服器可在進行認證時，綁定用戶的介質訪問控制(MAC)地址和虛擬區域網(VLAN)，並將該信息下發到BAS設備中，由BAS設備對用戶的報文進行檢查，以防止用戶盜用IP位址。
本發明的有益效果為本發明通過使用BAS取代L3的位置，完成兩個設備的功能，並採用多ISP/NSP解決方案，可以將教育網和校園網內部劃分成多個不同級別的子網絡進行管理，簡化了校園網的網絡結構，便於集中管理。通過對用戶權限進行獨立管理，從本質上實現了用戶的隔離，避免了可能存在管理混亂的因素和可能存在的安全問題，而且能夠更加有效地保證以及管理校園網和教育網敏感資源的安全，通過有效地限制用戶預設可以訪問的網絡資源，克服了校園網組網結構複雜、分布面積可能很大給管理上帶來的種種問題。
利用本發明，可將用戶的帳號、VLAN和MAC綁定，從而從根本上杜絕了用戶的地址盜用問題，提高了網絡的安全性，而且對用戶計費進行獨立管理，增加了計費策略的靈活性，進一步降低了網絡運營的成本。
在本發明技術方案下，WEB認證方式的優勢更為突出，通過WEB認證用戶可以在不釋放IP位址的情況下，在PORTAL SERVER上動態選擇自己的上網權限，從而確定自己可以訪問的網上資源，所以可以做到「用戶一次申請地址，隨意網上行」，並且可以享受不同的優惠政策。這樣，統一進行地址管理，同時各個ISP/NSP又可以獨立管理，實現了網絡拓撲和業務管理的分離，增強了網絡的可擴展性。


圖1為現有的校園網實施技術方案示意圖；圖2為本發明校園網實施技術方案示意圖。
具體實施例方式
下面根據附圖和實施例對本發明作進一步詳細說明ISP(Internet Service Proxy)即網際網路業務供應商，NSP(NetworkService Provider)即網絡業務供應商，本發明中只有需要對用戶訪問進行認證和計費的資源才屬於ISP/NSP的範疇，如校園網內部的收費伺服器、各種本地收費伺服器、Internet接入ISP等，並且將每一個獨立認證和計費的資源就作為一個獨立的ISP/NSP。
如圖2所示為本發明校園網實施技術方案示意圖，通過多ISP/NSP來實現，本實施例技術方案運用的前提為用戶訪問Internet網絡收費，同時存在多個Internet業務的運營商，每個運營商都是一個獨立ISP(如ISP1和ISP2)；用戶訪問教育網和校園內的網絡不收費，分別將其視為一個獨立的NSP，教育網為NSP1，將校園網按不同的區域劃分為不同的子網絡，區域可以是邏輯上具有相同特徵的幾個網段，物理上可能是集中也可能是分布的，這裡將宿舍區分為一個子網絡，辦公區與教學區分為一個子網絡，對辦公區與教學區子網絡採用NSP伺服器(NSP2)進行管理。
本發明通過使用寬帶接入伺服器(BAS)取代現有方案中L3的位置，由BAS完成兩個設備的功能，將校園網的各子網絡通過寬帶接入伺服器(BAS)直接連接到ISP1、ISP2和NSP1，BAS還與認證伺服器(AAA)相連，對用戶訪問不同的ISP/NSP對應的網絡進行認證。
用戶可以採用WEB認證方式和PPP認證方式1、採用WEB認證方式WEB認證通過訪問入口伺服器(Portal Server)連接到AAA伺服器進行，訪問入口(Portal)業務是ISP/NSP提供給用戶的一種新型業務，它使用戶在上網時，可以通過標準的WWW瀏覽器(如Internet Explorer或Netscape NaVigator)Portal Server來靈活的選擇適合用戶自己的業務，包括ISP/NSP選擇、業務類型選擇、帶寬選擇、QOS保證等級選擇等等，通過Portal頁面還可開展用戶費用自助查詢、廣告、充值卡充值等業務。Portal Server是提供Portal業務的伺服器，由一個標準的WebServer和後臺控制程序組成。
WEB認證方式主要是針對辦公用戶而言，用戶開機通過動態主機配置協議(DHCP)伺服器申請到教育網的IP位址，首先訪問PORTALServer的PORTAL頁面；此時PORTAL頁面提供了到各個ISP/NSP的認證頁面的超文本傳輸協議(HTTP)連接，例如如果用戶需要訪問校園網的辦公區的網絡就點擊校園網的辦公區對應的連接，那麼用戶就可以訪問該網絡對應的NSP2的認證頁面並在認證框中輸入該網絡分配的用戶名或卡號和口令。
此後PORTAL Server的認證頁面的後臺程序自動將用戶名加上校園網的辦公區的網絡對應NSP2的後綴送給AAA伺服器進行認證(例如，用戶輸入的用戶名為user，加上後綴後為user@nsp2)；AAA伺服器在認證通過後，通過PORTAL Server將用戶自己的權限、費率等通過遠程認證撥號用戶服務(Radius)協議中的應用規範(PORFILE)屬性下發到BAS設備上，Profile是用來描述滿足一定規則的一組訪問控制列表(ACL)，以確定某種業務的特徵。
這樣，BAS設備就可以根據PORFILE屬性具體指定的權限、費率等信息，允許用戶訪問校園網辦公區的網絡，因為宿舍區的網絡未列入ISP/NSP管理中，所以該網絡的訪問是可以不受限的，其他資源例如Internet、教育網都不允許訪問；同時PORTAL SERVER通過PORTAL協議下載一個後臺程序到用戶的計算機上執行，就會在用戶計算機上打開一個計時窗口，讓用戶知道自己已經可以上網了。
當用戶又想訪問Internet的時候，先點擊計時窗口中的斷開連接按鈕，通知PORTAL SERVER用戶要從校園網的辦公區網絡對應的NSP(NSP2)離開；然後PORTAL Server自動通知BAS設備清除該用戶對應上網權限並由AAA設備進行相應處理；此後，用戶重新訪問PORTAL頁面選擇符合自己上網的要求的Internet服務提供商(ISP1或ISP2)，點擊對應的連接，進入認證頁面輸入用戶名或卡號和口令，通過和上面類似的處理流程，BAS設備知道用戶上網的權限、費率等；用戶在計時窗口彈出後，就可以訪問Internet並根據指定費率進行計費。如需要進行NAT轉換，可在教育網的出口和Internet架設NAT設備，提供地址轉換功能。
本發明通過PORFILE屬性對用戶權限、費率等信息進行統一描述，PORTAL SERVER只要下發PORFILE名稱，BAS即會解析該字符串，並針對用戶下發相關的策略，並且存在二義性，即PORTAL SERVER可為多個BAS提供服務，而PORFILE對應的策略可能是不一樣的，這樣提高了運營的靈活性。
為了防止用戶盜用其他用戶的IP位址，AAA可以在認證的時候綁定用戶的介質訪問控制(MAC)地址和虛擬區域網(VLAN)並將該信息下發到BAS設備中，由BAS設備對用戶的報文進行檢查，以便防止用戶盜用IP位址。
2、採用PPP認證方式該方案主要是針對學生或宿舍用戶而言，撥號時需要輸入完整的用戶名或卡號和口令，即在用戶名或卡號後加上網絡對應ISP/NSP的後綴，例如user@nsp2，原理基本和WEB認證一樣，AAA伺服器認證後直接通知BAS設備該用戶的權限和相應的費率等。
如果用戶要更換ISP，那麼就需要下線，重現進行上述操作即可。如需要進行NAT轉換，可在教育網的出口和Internet架設NAT設備，提供地址轉換功能。同樣，AAA也可以在認證的時候綁定用戶的介質訪問控制(MAC)地址和虛擬區域網(VLAN)，防止用戶盜用IP位址。
權利要求
1.一種校園網的實現方法，包括以下步驟A、將校園網內部劃分為若干個子網絡，並根據需要對各子網絡採用網絡業務供應商(NSP)伺服器進行管理；B、校園網的各子網絡通過寬帶接入伺服器(BAS)連接到網際網路和教育網的網際網路業務供應商(ISP)伺服器或NSP伺服器，並通過BAS與認證伺服器(AAA)相連對用戶訪問不同的ISP/NSP對應的網絡進行認證。
2.根據權利要求1所述的校園網的實現方法，其特徵在於校園網的各子網絡可由BAS分別通過多個不同的ISP/NSP伺服器上接入網際網路或教育網。
3.根據權利要求1或2所述的校園網的實現方法，其特徵在於用戶可以採用WEB方式或乙太網點對點傳輸協議(PPPoE)方式認證，AAA伺服器在認證通過後，將遠程認證撥號用戶服務(Radius)協議中的應用規範(PORFILE)屬性下發到BAS設備，通知BAS該用戶的權限和相應的費率，BAS設備根據PORFILE屬性具體指定的權限、費率信息，允許用戶訪問相應的網絡並相應地進行計費。
4.根據權利要求3所述的校園網的實現方法，其特徵在於當用戶採用WEB認證時，其步驟如下1)用戶開機通過動態主機配置協議(DHCP)伺服器申請到教育網的IP位址；2)訪問入口伺服器(Portal Server)的訪問入口(Portal)頁面，並根據該頁面提供的到各個ISP/NSP的認證頁面的超文本傳輸協議(HTTP)連接，訪問網絡對應的ISP/NSP的認證頁面，在認證頁面的認證框中輸入該網絡分配的用戶名或卡號和口令；3)Portal Server的認證頁面的後臺程序自動將輸入的用戶名或卡號加上網絡對應ISP/NSP的後綴送給AAA伺服器進行認證；4)AAA認證通過後通過Portal Server通知BAS設備該用戶的權限和相應的費率。
5.根據權利要求4所述的校園網的實現方法，其特徵在於當用戶通過認證時，Portal Server通過Portal協議下載一個後臺程序到用戶的計算機上執行，通知用戶已經可以上網了。
6.根據權利要求5所述的校園網的實現方法，其特徵在於當用戶又想通過其它的ISP/NSP訪問相應的網絡時，先使PORTAL SERVER從當前網絡對應的ISP/NSP離開，然後PORTAL Server通知BAS設備清除該用戶對應的上網權限，此後，用戶重新訪問PORTAL頁面選擇符合自己上網要求的ISP/NSP，重新進行WEB認證。
7.根據權利要求3所述的校園網的實現方法，其特徵在於當用戶採用PPPoE方式認證時，撥號時在輸入的用戶名或卡號後加上網絡對應ISP/NSP的後綴，並輸入口令，AAA認證通過後直接通知BAS設備該用戶的權限和相應的費率。
8.根據權利要求3所述的校園網的實現方法，其特徵在於可根據需要在教育網的出口和網際網路入口處架設網絡地址轉換(NAT)設備，對公網地址和私網地址進行轉換。
9.根據權利要求3所述的校園網的實現方法，其特徵在於AAA伺服器可在進行認證時，綁定用戶的介質訪問控制(MAC)地址和虛擬區域網(VLAN)，並將該信息下發到BAS設備中，由BAS設備對用戶的報文進行檢查，以防止用戶盜用IP位址。
全文摘要
一種校園網的實現方法，將校園網內部劃分為若干個子網絡，並根據需要對各子網絡採用ISP/NSP伺服器進行管理，各子網絡通過BAS連接到網際網路和教育網的ISP/NSP伺服器，並通過BAS與AAA相連對用戶訪問不同的ISP/NSP對應的網絡進行認證。用戶可以採用WEB或PPPoE認證，認證通過後，將Radius協議中的PORFILE屬性下發到BAS設備，BAS設備根據PORFILE屬性指定的權限、費率信息，允許用戶訪問相應的網絡並相應地進行計費。本發明提供一種合理地解決用戶隔離及網絡安全問題的校園網的實現方法，不但簡化了校園網的網絡管理，而且可有效地進行網絡的計費和權限管理。
文檔編號H04L9/32GK1571383SQ0317839
公開日2005年1月26日 申請日期2003年7月19日 優先權日2003年7月19日
發明者杜文華, 楊霞輝, 歐陽偉龍, 程榮 申請人:華為技術有限公司