一种基于BRAS的校园网接入认证模式研究

摘要：随着高校校园网IPV6应用的启用，校园网网络带宽速率得到进一步提高，多媒体网络应用已经成为主流，校园网接入认证问题突显出来，这对于常用的三种接入控制协议PPPoE、L2TP和DHCP+WebPortal增加了许多变数。该文在分析比较上述三种协议部署利弊的基础上，提出了一种基于BRAS的校园网接入认证模式。该模式针对不同的用户及网络资源管理，及应用类型，采用不同的认证接入组合协议，并以某大学新老校区校园网接入认证模式为例，进行了较为详实的说明。该模式采用BRAS来完成校园网接入方式的认证，实现了用户的精细化和个性化管理和全网的可控接入，从而降低用户终端对校园网主干的影响，对IPV6应用有良好的支持作用。

关键词：校园网；PPPoE协议；L2TP协议；Web认证；BRAS

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）07-1509-04

1 BRAS在不同接入协议中部署上的特点

PPPoE协议在部署上的特点：

PPPoE是Point to Point Protocol over Ethernet的简称，广泛的应用于接入主机密集的网络中，如学生宿舍与住宅小区。PPPoE在网络中是一个二层协议，它将PPP协议承载在以太网上，利用廉价的以太网组建点对点的网络。PPPoE连接分为两个阶段，发现阶段和会话阶段，发现阶段是无状态的，采用广播的方式是获得PPPoE终结端（服务端设备）的以太网MAC地址，并建立一个唯一的PPPoESESSION-ID，发现阶段结束后，就进入标准的PPP会话阶段，从而实现PPPoE的连接。因此使用PPPoE协议时，BRAS 是宽带远程接入服务器 （Broadband Remote Access Server）的简称，BRAS设备必须位于用户子网中或同一个Vlan中，以确保二层以太网广播报文能够到达BRAS，如图1所示。[1]

L2TP协议在部署上的特点：

L2TP是Layer 2 Tunneling Protocol的简称，是一个可以跨越三层的协议的二层协议。即在三层上通过隧道的方式建立用户端与BRAS之间用的二层链路。与PPPoE不同，L2TP是通过指定接入服务端IP地址来进行连接，而PPPoE则采用以太网广播的方式来发现接入服务端，使用L2TP作为用户接入协议，则可以将BRAS设备可以部署在IP可达的网络中，服务于三层结构中的校园网用户，增加了接入网络的灵活性如图2所示。

采用L2TP进行接入，完全不需要对原有网络进行改造，只需要保证用户IP和BRAS设备路由可达即可。在L2TP链路之上，用户与BRAS之间建立了一个跨越三层的二层连接。

DHCP+Web Portal在部署上的特点：

Portal认证的基本过程是： 客户机首先通过DHCP协议通过BRAS分配到IP地址（客户端也可以使用静态IP地址），但是这时客户使用获取到的IP地址并不能访问上Internet，处于受限状态。客户端IP地址在认证通过前只能访问事先设定的一些IP地址，这些地址通常是DNS、Portal服务器的IP地址、自助服务区地址等。[2]当用户需要在浏览器地址栏访问一个可被当前系统DNS解析的域名或一个合法的IP地址，当BRAS收到一个合法的IP地址后会向客户端浏览器推送一个认证登录页面来触发认证，认证通过后，BRAS根据预设的接入控制策略来修改其访问控制表（ACL）使该用户IP可以访问INTERNET或规定的地址。在实际应用中客户端收到BRAS推送的认证页面后，可以浏览上面的内容，比如校园新闻、公告等校园信息、自助服务信息，同时用户还可以在网页上输入用户名和密码并提交给Portal Server，如果用户名和密码有效，Portal Server则通知BRAS修改该客户IP的ACL使其能访问预设的网络资源，并在客户浏览器上显示认证成功的信息。如图3所示。采用Portal认证的接入设备必须具备这种能力。

图3 WebPortal+DHCP在校园网中的部署

2 BRAS在不同认证方式上的优缺点

PPPoE接入的优点与缺点：

优点：采用PPPoE 协议部署时，支持的操作系统众多用户几乎零配置即可完成连接，PPP在汇聚层终结（BRAS设备）对网络的性能取决于BRAS的性能，但BRAS需要部署到网络的汇聚层，投资较大；PPPoE是电信运营商传统PSTN窄带拨号接入技术在以太网接入技术的延伸，即用带宽更大的以太网取代传统PSTN，和原有窄带网络用户接入认证体系一致。因此，采用 PPPoE可以不改变用户的上网习惯，减少用户的培训；可以在广播型的网络上实现接入用户与接入设备的端到端的连接，可以有效的进行用户隔离，从而防范病毒，如ARP攻击病毒，用户广播数据包对其他接入用户的影响；可以通过接入设备对每一个用户连接下发个性化的管理策略；对用户在线感知的较为灵敏，计费精度高。

缺点：由于PPPoE是将个PPP数据包封装在以太网的帧内实现PPP在以太网传输，因此增加了网络流量，耗费客户端的CPU资源。因此对需要高带宽的多媒体应用非常不利。PPPoE认证与接入需要高性能的BRAS设备，认证完成后，业务数据流也必须经过BRAS设备，容易造成单点瓶颈和故障。但在实际应用中，这些降低的开销非常小。考察网络上实测得到的数据报文，报文长度基本符合高斯分布，绝大部分长度在200～500字节之间，而PPPoE和PPP封装的总长度一般为9个字节，对效率的影响在2%～5%之间。实际上，PPP还可以选择进行Van Jacobson报文首部压缩，可以减小TCP首部和IP首部的长度，最终带来的结果是PPP/PPPoE报文的传输效率完全可以不输与一般的以太网报文；对于封装开销来说，随着接入服务器硬件的发展和网络处理器封装转发机制的引入，很多接入服务器上，所有的封装解封装都是利用硬件完成，对系统的性能基本没有影响。实际上，对于一台以网络处理器和硬件转发为核心的接入服务器来说，网络的瓶颈已经不在设备本身，而在传输链路上；对于报文分片问题，可以通过对应用服务器进行设置来解决。网络中出现的长包基本上都是流媒体服务器为了提高传输效率而发出的，对于这类报文，我们可以通过对流媒体服务器进行配置，设置服务器的分片长度，使得报文长度即使加上封装后其总长度也不超过以太网的MTU（1500）就可以避免分片。

L2TP接入的优点与缺点：

优点：采用L2TP 协议部署对原有网络几乎不做任何改动，采用L2TP接入方式，用户在使用校园网时不需要做任何事情，当需要访问校园网外的网络资源时，则使用L2TP连接到BRAS 设备上，通过用户认证后在校园网上建立一个与BRAS的虚拟连接并分配到一个可以访问外网的IP地址。

缺点：L2TP 承载在UDP 协议之上，而UDP本身是无连接的不可靠传输协议，容易受到网络中的病毒、线路质量的影响，例如ARP欺骗类的蠕虫病毒，就会对L2TP 隧道产生很大的影响，当用户子网中发生ARP 欺骗时，就会导致用户的L2TP 隧道断开，连接中断。因此L2TP 隧道的健壮性相对较弱，存在服务健壮性相对较弱、用户配置步骤较多的问题。

WebPortal接入的优点与缺点：

优点：采用DHCP+WebPortal方式时，不需要安装任何客户端软件，降低了网络维护工作量，可穿越二、三层混合网络，用户使用门槛低，用户只要会使用浏览器就可完成网络的接入与认证。

缺点：WEB承载在7层协议上，对于设备的要求较高，建网成本高；系统对用户在线感知灵敏度低，不容易检测用户离线，基于时间的计费较难实现；易用性不够好，用户在访问网络前，必须通过浏览器进行触发接入认证；IP地址在用户终端开机时由DHCP分配，并不需要用户认证，如果用户不上网，则会造成地址的浪费，而且接入与认证跨了网络的7层，当出现故障时难以准确定位。对用户的管理、安全特性较弱；认证前后业务流和数据流无法区分。

3 一种基于BRAS的校园网接入认证模式

BRAS主要完成两方面功能，一是网络承载功能：负责终结用户的PPPoE、L2TP连接、推送WebPortal接入认证页面、汇聚用户的流量功能；二是控制实现功能：与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能，有效地完成用户的个个性化接入，如QOS、接入带宽和访问控制等。BRAS可以使用设备内部的用户管理功能实现用户的接入与认证管理，也可采用设备外部Radius服务器作为用户认证方式，这样就可以非常方便地使用校园网原有的用户数据库（如LDAP），也可以对接统一身份认证系统，对于用户数多，个性化要求高的将采用后一种方式。

Radius 服务器除了完成用户认证工作外，还可以利用Radius自定义字段来定义用户的个性化属性，如接入带宽、QOS、访问控制等。BRAS根据Radius服务器返回的用户带宽属性，为不同的用户分配不同的带宽，还可以通过用户自定义属性来限制用户的TCP/UDP连接的数量，这样就可以较好地控制用户的P2P 流量，而不需要完全禁止P2P应用，实现网络资源的合理使用。[1]BRAS可通过定义domain（用户域）来区分不同使用范围内的用户服务或不同的接入认证方式。用户在接入时使用user@domain作为用户名进行接入认证，其中user是认证系统中的用户名，domain 是用来区分不同的接入与认证类型（PPPoE、L2TP、WebPort），实现灵活的用户管理策略。[3]例如将三种认证方式划分成三个domain，PPPoE接入的为ppp，WebPortal接入的为web，L2TP为vpdn等，当然同一种接入方式也可以划分为多个domain，不同的domain对应不同的网络访问策略，如带宽、路由、计费策略等。

BRAS拥有强大接入功能和丰富的管理特性，应用在校园网中较传统方式有了很多的优越性。可以在Radius和LDAP的基础之上自行开发适合自己的用户认证系统和管理系统，也可在此基础上实现网络使用的计费管理是校园网资源得到有效的利用。不过在校园网中部署BRAS设备，仍然有一些问题需要解决。用户使用PPPoE、L2TP或WebPortal连接到BRAS后，这样所有数据都会通过这个新连接发送。这导致所有校内数据都会使用新连接，这将使校内外的访问受到BRAS策略的控制，这就需要BRAS设备有强大的负载能力和可靠性。

根据三种接入方式的特点，根据在校园不同接入区域来选择接入认证模式。笔者把大学校园网络接入区域分为三种类型：公共教学区和办公区、学生宿舍区、公共机房和实验室。公共教学区和办公区有如下特点：接入计算机的密度低应用相对单一和固定，这一区域的用户主要为教师和行政工作人员，用户数量相对较少，采用WebPortal作为接入认证方式不会造成IP地址的浪费，其用户界面友好不需要进行用户培训，容易开展IP组播应用；根据笔者在多个学校的调研学生宿舍区有如下的特点：计算机的密度高，应用复杂，容易爆发广播型病毒和攻击，大部分学校的学生宿舍都实行收费运营因此计费精度要求高，学生宿舍采用PPPoE方式接入具有以下优势：节约IP地址，由于PPPoE接入的用户互相隔离由此可以有效的阻止有病毒的用户计算机对其他用户的传染和攻击，用户接入管控粒度细和用户状态变化反应灵敏（上线、下线和异常掉线）适合收费运营；公共机房和实验室计算机数量众多而却自成一个相对独立的子网，而且访问内部资源的概率较大，笔者所在学校的各学院的实验室子网都按统一规划的保留地址作为实验室子网地址，因而采用L2TP方式接入，这种接入认证方式不影响原有网络的架构和使用，只有需要访问校园网或INTERNET时才需要进行L2TP拨号认证，连接认证成功后分配校园网的IP地址到该计算机，使校园网与实验室网有清晰的管理边界，实验室内部的数据流不会跑到校园主干网上，这样既节约了校园网的IP地址又减少了主干网的带宽占用。实验室接入如图4所示。

图4 实验室L2TP接入

例如，某大学新校区占地面积4000亩，距离校本部40余公里。一期建筑面积62多万平方米，40多栋建筑，约4.3万个信息点，网络接入端口约2万个，服务用户数1.5万人。第一期工程方案是在校本部和新校区各部署一台BRAS设备，采用统一的Radius服务器和WebPortal服务器分区域实现用户的认证接入与用户管理，网络核心层采用三台电信级多业务路由器构成环状结构，其中两台部署在新校区一台在校本部，核心设备之间通过10G以太网连接。随着新校区的学生人数的增加，将会在第二期工程中在新校区增加一台BRAS从而实现负责分担和互为备份的网络架构，将会对网络性能和可靠性有较大的提升，如图5所示。

图5 某大学新老校区网络

4 结束语

采用BRAS是用来完成各种宽带接入方式的宽带网络用户的接入、认证、计费、控制、管理的网络设备，是宽带网络可运营、可管理的基石。某大学的校园网采用以多业务路由器为核心、BRAS为接入设备，三种接入认证技术灵活应，用户认证计费Radius + LDAP的方式，实现用户的精细化和个性化管理和全网的可控接入，有效将接入层与核心层隔离，用户与用户之间的隔离，降低用户终端对校园网主干的影响，对IPV6也有良好的支持。某大学新校区网络与2010年9月投入使用至今运行稳定，用户体验良好。

参考文献：

[1] 陶桦. B-RAS在校园网中的应用[J].中国教育网络，2008（Z1）.2-3.

[2] 周承毅.何大可. 主流宽带认证技术分析[J].网络安全技术与应用，2006（7）.

[3] 肖天庆，任翔.新一代国际互联网协议IPv6与IPv4的比较研究[J].红河学院学报，2010 （2）.

[4] A Method for Transmitting PPP Over Ethernet （PPPoE）[EB/OL].http：// /rfc/rfc2516.txt.

[5] Layer Two Tunneling Protocol "L2TP"[EB/OL].http：///rfc/rfc2661.txt.