江苏大学在去年3月份就下定决心,要进一步扩大校园网的覆盖范围,要给全教师生创造一个一流的上网环境,使全体师生能方便自如地上网学习、交流信息、查询资料。随后,江苏大学决定全面启动教师宿舍楼、学生宿舍楼宽带信息化项目。为了给教师和学生提供一个高质量的网络,学校决定把教师宿舍楼、学生宿舍楼宽带网建设成一个安全可靠、可运营、可治理的网络。为了避免滥用网络给学校和社会带来不必要的损失和危害,学校要求该子网要有认证、计费的功能。为此,学校决定采用业界最新流行的802.1x认证计费系统。
由于此项目涉及到数栋教师、学生宿舍楼,信息点达到数千个,整个网络十分复杂,要对数千个信息点进行治理、监控,涉及到网络治理、认证、计费、安全、网络故障查找等方面的复杂应用。江苏大学经过严格筛选、测试,最后选定了港湾公司所提供的802.1x认证计费系统及其解决方案。港湾网络所提供的安全认证计费系统解决方案,网管功能强、认证效率高、计费方式灵活多样、整网能无阻塞转发应用数据流、使用端口环回测试技术快速诊断网络故障。
802.1x协议起源于无线局域网,去年11月份正式成为IEEE标准。港湾公司在802.1x的研究和应用方面一直处于业界领先的位置。自去年年底到现在,港湾公司的802.1x认证系统已经成功规模服务于各大运营商:有10万端口的802.1x认证系统规模服务宁波网通信息港,在通化电信、河北电信、湖南铁通、山西联通等地都得到了大规模应用;同时,在教育、电力、能源、政府等行业都得到了规模商业化的应用,已经规模服务于伊犁市政府网、南通师范学院校园网、浙江大学校园网、南阳油田专网等。
802.1x认证是一项可在以太网上实现认证计费功能的新技术,它不同于传统的PPPoE、Web认证,认证流和业务流不分离。802.1x认证基于逻辑端口把认证流和业务流进行分离。认证系统的端口分成两个逻辑端口:受控端口和不受控端口。不受控端口只能传送认证的协议报文,而不管此时受控端口的状态是已认证状态还是未认证状态;受控端口传送业务报文。假如用户通过认证,则受控端口的状态为已认证状态,可以传送业务报文。假如用户未通过认证,则受控端口的状态为未认证状态,不能传送业务报文;它的认证计费方式就是通过认证前后打开/关闭受控端口来实现对用户接入的控制,从而实现对用户的物理端口的认证和控制。
802.1x认证的突出优点就是实现简单、认证效率高、安全可靠;无需多业务网管设备,就能保证IP网络的无缝相连;同时,消除了网络认证计费瓶颈和单点故障,解决了采用多业务网关时,不便于视频业务开展的难题;在二层网络上实现用户认证,大大降低了整个网络的建网成本。
为了提供功能更加完善的802.1x认证计费系统,港湾网络充分考虑到高校教师、学生宿舍网末端接入的复杂性、网络安全的难控性,采用双层认证解决方案,在汇聚层、接入层均采用分布式认证,在接入交换机上就做认证,网络安全效果极佳,从而提高了认证效率;同时,减轻了上层交换机的负担。考虑到学生还处于网络的探索阶段,对网络尤其感爱好,存在着对网络的无意攻击。因此,在汇聚层交换机上也采用分布式认证,这样就给校园网上了双保险。此外,还可以通过MAC地址绑定、IP地址绑定、VLAN、ACL访问控制等多种网络安全手段,使整个校园网变得更加安全。该套计费系统可以支持计流量、计时长、预付费、实时扣费、卡业务、固定业务等多种计费策略,支持多种优惠政策,支持大客户、集团客户的资费和优惠,满足了学校对认证计费系统的要求。
教师宿舍楼、学生宿舍楼宽带接入项目自网络投入运营以来,网络运行稳定。利用802.1x认证方式,实现了对教师、学生用户网络的安全访问控制和多种方式的计费手段。江苏大学网络中心主任认为:港湾公司提供的802.1x认证计费系统,在运行过程中,稳定可靠,认证效果好;计费方式灵活多样,计费不丢单,并实现了大量的视频业务的开展,满足了学校对多媒体教学的需求。