校园网认证系统运维之经验

文/ 张洁卉

校园网认证系统运维之经验

文/ 张洁卉

华中科技大学信息化专栏

华中科技大学是CERNET华中地区主节点。经过20年的持续投入建设，华中科技大学信息化建设取得了很大成绩，成为学校重要的信息基础设施、互联网研究平台和人才培养基地。华中科技大学信息化部门非常注重基于校园网平台的研究，他们在高性能计算、实验室平台建设以及校园网基础设施方面进行了诸多探索与实践。从本期开始，本刊将连续刊载华中科技大学在校园网安全、运维以及开放实验室方面的实践经验文章。

认证系统作为用户接入校园网的首要环节，对提高校园网的管理和运维质量起到重要作用。华中科技大学认证系统在维护过程中，结合用户需求提供了无感认证方式，用户需求精细化管理，主校区与同济校区间校际认证及认证服务性能波动情况下的简单认证模式等运维管理方式。

校园网认证系统概述

图1 用户数量

图2 24小时用户使用情况

校园网认证方式

我校有线及无线网络使用统一身份认证，目前采取两种认证方式，其中有线区域使用802.1x认证方式 、无线区域包括Portal认证方式及802.1x无感知认证方式。

1.有线802.1x认证区域使用客户端认证，可实现较严格的接入控制，包括防代理、防破解等功能。客户端包括支持Windows、MACos及Linux的版本，其中使用MAC笔记本的用户近年来快速增长，同时MACos升级频繁，客户端的更新需十分及时。从目前使用情况来看，客户端对各版本操作系统的支持较好。

2.我校无线网已覆盖所有教学楼，大部分公共区域及部分学生宿舍。无线Portal认证方式使用浏览器认证页面，可适用于绝大部分无线设备，并支持校际认证。

3.对于公共区域用户提供802.1x无感知认证，选择HUST_WIRELESS_AUTO信号后，只需首次输入用户名密码，此后用户只要处于无线网覆盖区域即可自动联网，无感上线。

用户需求精细化管理

账号类型

我校账号类型主要分为图3所示6种，除了学生账号外，其他账号均为免费账号。各类型账号的区别主要在于可使用的区域、可使用的方式（有线/无线）不同。

接入控制及计费方式

第一，采用AUT检测：AUT理论上来说可以检测，利用A扫描来完成。由于TOFD存在固有检测盲区2～3mm，所以AUT如果检测根焊TOFD不需要使用。存在问题及难点：“金口”由于占整体管道数量极小，采用AUT检测需要准备的很多，轨道、对比试块（加工难度较大，估计价格在3.2万元左右），设备的利用率，技术参数设置（大量试验，成本严重增加）。由于“金口”组对是质量的重中之重，所以组对的对口间隙、焊缝上下宽度等对检测影响较大，端角反射会极为强烈，不利于判定和操作。从技术角度来说，AUT适合批量、焊接成形有规律、坡口角度、宽度固定（偏差极小）的焊缝，所以不推荐使用AUT。

为取得更好的用户体验，认证系统对校园网用户计费及接入进行了精细化管理，主要包括五个方面：

账号类型：根据管理需求分为4个类型，即新生、本科生、研究生及教工；

图3 用户账号分配

图4 4种类型用户

套餐类型：我校采取包时段计费方式，为满足学生用户对开网时段的需求，分为5种套餐；其中因为新生根据规定不能在寝室上网，只能使用公共区域无线，因此特别设置了包3月送1月的优惠套餐。

上网时段：为保证本科生的学习作息时间，对其设置了6：00～24：00点的上网时段限制，研究生有科研需求，对上网时段无限制；

所处区域：分为宿舍区及办公区。教工账号只能在办公区使用，学生账号可在办公区及学生区使用，其中在学生区上网需收费，在办公区上网使用漫游机制为免费；

接入方式：有线区域使用802.1x认证方式，无线区域使用802.1x及Portal认证方式。对于本科新生，不允许在寝室使用网络，因此只开放公共区域的网络认证。

抢占模式

我校收费账号计费方式为包月不计时长，要求账号同时只能一个在线，因此采用抢占模式认证。同一个账号，后上线的会将前一个踢下线，保持同一时间点账号只能在一台终端上使用。

自助与充值

我校一卡通业务处于建设中，目前校园网费用充值主要采取3种途径：服务大厅出售纸质充值卡、网络店铺出售电子充值卡，自助网站提供网银接口直接充值入校园网账号。

消息推送与服务反馈

由客户端的弹出窗口推送各类实时信息；右键点击客户端，可进行服务反馈，反馈信息在24小时内处理完成。

主校区与同济校区间校际认证

因我校同济校区与主校区距离20公里，其中间隔长江，校区间网络通过过江光缆衔接，目前两校区认证系统为单独部署的SAM管理系统。为实现两校区用户跨校区认证，对认证系统开发了校际认证功能。校际认证用户在对方校区可使用无线Portal认证方式，在登录页面上勾选相应选项即可实现校际认证。校际认证实现账号抢占及认证触发扣费等功能，可避免逃费问题的出现。

校际认证的业务流程如图5。

图5 校际认证的业务流程

如同济校区用户使用无线Portal认证方式在华科主校区上网。华科SAM即漫游地区SAM在接收到设备发送的Radius请求后，根据用户名特征判断出该用户是否同济校区用户。在接收到设备认证报文的基础之上进行Radius属性的转换，如：用户名、Nas信息等。完成Radius报文转换后将Radius报文转发给同济校区SAM即归属地区SAM。从归属地区SAM角度出发，漫游地区SAM为特殊接入设备。在认证授权处理过程中不添加在线用户信息，因为归属地区SAM不具备设备的相关特性。归属地区SAM业务处理完成后，将返回认证结果给漫游地区SAM。漫游地区SAM对于认证失败用户，直接回复Reject，认证成功用户再做本地的业务校验，然后下发认证结果，校际用户正常上线。

下一步校际认证的功能扩展包括对校际认证账号进行精细化管理，为不同类型用户定制不同校际套餐。同时在开户SAM上增加校际认证用户认证记录，以便于管理、查询及统计。

简单认证运维管理

SAM认证系统以集群形式工作，以主备方式提供服务。正常状态下由主服务器提供服务，一旦主服务器出现故障，可将服务切换至备服务器上 ，切换时间约需40秒。

简单认证模式为认证时，只核对账号及密码，对于接入控制、费用管理等不进行校验，使用简单认证可大幅提高认证效率。在发生服务器性能波动、或停电来电后大批量用户上线等突发情况时，同一时段大量认证请求可能导致认证服务瘫痪。为避免这种情况的发生，可在管理系统中配置简单认证模式，设置连续60秒检测缓冲区使用率大于80%，则启动简单认证模式，缓解认证服务器压力，有效抵御认证风暴的发生，保证认证服务不中断，提供排查故障的时间。

（作者单位为华中科技大学网络中心运行部）