分析QinQ与Portal认证技术在校园网的应用

2017-03-09◆马煜

网络安全技术与应用 2017年6期

关键词：公网校园网报文

◆马煜

◆马煜

（陕西中医药大学陕西 712046）

本文在分析QinQ技术与Portal认证技术的基础上，针对校园网络构建现状，通过对校园网汇聚层设备的技术应用实施，针对网内不同的用户及业务类型进行了端口隔离与访问认证，有效地避免了可能出现的网络安全隐患，完善了校园网络管理与控制技术。

QinQ技术；Portal认证技术；校园网

0 引言

在互联网飞速发展的今天，校园网络与其线上应用规模不断扩大，庞大的校园网用户群体在控制与管理层面需要采用新的技术与方法。ARP攻击与广播域风暴泛滥是校园网内常见的网络问题，尽管通过VLAN划分可以有效遏制该问题引起的影响，但信息化校园建设的业务应用扩展所需的VLAN数早已超过传统VLAN技术下的可用数量，为了满足接入网上承载具有不同QoS需求的业务，采用一种新型的VLAN管理技术已是迫在眉睫，同时结合现有的Portal认证技术去解决现阶段校园网络管理技术中的难题。

1 QinQ与Portal认证技术简介

1.1 QinQ技术

QinQ技术是将私网VLAN Tag封装在公网VLAN Tag中，网络数据报文携带双层Tag穿越信息服务商的骨干网络中，从而为用户提供一种二层VPN隧道[1]。QinQ协议是在IEEE 802.1Q技术的基础上创建而成，因为在骨干网络传输中的数据帧有双层802.1Q Tag标记，所以被称为QinQ协议。支持QinQ技术的网络设备可以在数据传输时用一个公网VLAN将私网内的多个VLAN保留。由于二层网络中最多支持4094个VLAN，在实际应用中数量远不能满足业务需要，利用QinQ技术标记两层Tag，进而可以实现4094*4094个VLAN，满足了隔离用户的需要。

1.2 Portal认证技术

Portal认证通常部署在校园网内部管理中，当用户访问网络时Portal认证会自动将访问页面跳转至认证界面，通过输入用户名密码登录认证后才可以访问互联网资源。该认证技术可以提供一种灵活的访问控制方式，不需安装客户端即可在接入层实施访问控制，而且对于校园内的不同区域实施VLAN+DHCP池的级别控制，让不同类型的用户仅能够在对应的区域认证登录[2]。

2 校园网络构建与技术实施

2.1学校网络构建现状

陕西中医药大学目前拥有南北两个校区，对外的网络出口分别包括教育专线、移动专线、联通专线和电信专线，校园网有线接入点拥有5400余个，无线AP设备部署800余个，接入层到汇聚层设备光纤互通。信息化建设管理处于2016年通过对原有网络结构的改造，在汇聚层设备上启用了QinQ技术，极大地缓解了VLAN资源匮乏的现象，完善了校园网络信息安全。用户在教学、生活区的接入端使用Portal认证技术访问互联网资源，认证账号和密码通过与认证系统内的数据库对接，认证成功后用户即可连接互联网。

2.2 QinQ技术的实施

陕中医校园网骨干网络通过核心、汇聚、接入三层构建，核心层与汇聚层设备链路均已达到万兆相连，汇聚层部署了五台H3C S7510E以太网交换机，分别管理无线AP设备群组、办公区、学生区、家属区、图书馆。考虑到网络信息安全，信管处详细划分了各院系办公室、教学楼、家属楼、学生宿舍的接入层设备端口的VLAN，以便对整个网络系统进行统一集中的管理和监控，通过对不同类型用户的VLAN隔离，有效地防止了ARP攻击与广播风暴。以家属区汇聚层交换机某端口为例，配置如下：

Interface GigabitEthernet0/0/29

description to_xjsf-1

port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk pvidvlan 2005

port trunk permit vlan 500 2005

qinq enable

qinq transparent-vlan 500

通过此配置，管理Vlan500通过该端口时不需添加外层VLAN Tag标记，而下联接入层的所有用户对外访问时，会自动在源数据帧的Tag前添加公网VLAN Tag 2005传输，在达到目的地址后通过对公网VLAN Tag 2005剥离，识别源接入层用户VLAN进行信息的有效送达。

2.3 Portal认证技术的实施

Portal认证是通过HTTP协议发起认证请求，HTTP报文经过接入设备后，对访问Portal服务器的报文允许通过，对访问其他地址的报文重定向到Portal服务器[3]。Portal认证技术提供网页页面引导用户输入账号与密码进行认证，其认证过程大致如下:首先，用户通过管理员静态获取IP或DHCP Server动态获取IP，直接访问Portal服务器；其次，用户在登录界面输入的账号与密码被Web客户端送达至Portal服务器；再次，Portal服务器将用户请求发送至BAS(宽带接入服务器)，随后BAS传递到Radius(远程用户拨号认证系统)进行认证；最后，把认证通过的信息传回Portal服务器，再由Portal服务器推送认证成功界面到用户Web客户端。针对Portal认证，用户所拥有的IP地址是唯一识别用户类型的关键属性，在不同类型用户所处VLAN ID的网关设备上添加强制跳转Portal认证页面的策略，可以有效实施对限定VLAN下的用户进行访问控制。