一种校园网的实现方法

1、一种校园网的实现方法，包括以下步骤：
A、将校园网内部划分为若干个子网络，并根据需要对各子网络采 用NSP服务器进行管理；
B、校园网的各子网络通过BAS连接到因特网的ISP服务器或教 育网的NSP服务器，并通过BAS与AAA服务器相连对用户 访问不同的ISP服务器/NSP服务器对应的网络进行认证。
2、根据权利要求1所述的校园网的实现方法，其特征在于：校园 网的各子网络可由BAS分别通过多个不同的ISP服务器接入因特网，或 通过多个不同的NSP服务器接入教育网。
3、根据权利要求1或2所述的校园网的实现方法，其特征在于： 用户可以采用WEB方式或以太网点对点传输协议PPPoE方式选择接入 网络域，在该网络域的AAA服务器认证用户通过后，将远程认证拨号 用户服务Radius协议中的应用规范PORFILE属性下发到BAS设备，通 知BAS该用户的权限和相应的费率，BAS设备根据PORFILE属性具体 指定的权限、费率信息，允许用户访问相应的网络并相应地进行计费。
4、根据权利要求3所述的校园网的实现方法，其特征在于：当用 户采用WEB认证时，在宽带接入服务器BAS上连接动态主机配置协议 DHCP服务器和访问入口服务器Portal Server，其步骤如下：
1)用户开机通过动态主机配置协议DHCP服务器申请到教育网的 IP地址；
2)访问入口服务器Portal Server的访问入口Portal页面，并根据该 页面提供的到各个ISP/NSP的认证页面的超文本传输协议HTTP连接， 访问网络对应的ISP/NSP的认证页面，在认证页面的认证框中输入该网 络分配的用户名或卡号和口令；
3)Portal Server的认证页面的后台程序自动将输入的用户名或卡号 加上网络对应ISP/NSP的后缀送给AAA服务器进行认证；
4)AAA认证通过后通过Portal Server通知BAS设备该用户的权限 和相应的费率。
5、根据权利要求4所述的校园网的实现方法，其特征在于：当用 户通过认证时，Portal Server通过Portal协议下载一个后台程序到用户 的计算机上执行，通知用户已经可以上网了。
6、根据权利要求5所述的校园网的实现方法，其特征在于：当用 户又想通过其它的ISP/NSP访问相应的网络时，先使PORTAL SERVER 从当前网络对应的ISP/NSP离开，然后PORTAL Server通知BAS设备 清除该用户对应的上网权限，此后，用户重新访问PORTAL页面选择符 合自己上网要求的ISP/NSP，重新进行WEB认证。
7、根据权利要求3所述的校园网的实现方法，其特征在于：当用 户采用PPPoE方式认证时，拨号时在输入的用户名或卡号后加上网络对 应ISP/NSP的后缀，并输入口令，AAA认证通过后直接通知BAS设备 该用户的权限和相应的费率。
8、根据权利要求3所述的校园网的实现方法，其特征在于：可根 据需要在教育网的出口和因特网入口处架设网络地址转换NAT设备，提 供地址转换功能。
9、根据权利要求3所述的校园网的实现方法，其特征在于：AAA 服务器可在进行认证时，绑定用户的介质访问控制MAC地址和虚拟局 域网VLAN，并将该信息下发到BAS设备中，由BAS设备对用户的报 文进行检查，以防止用户盗用IP地址。

技术领域\n本发明涉及通信网络，尤其涉及一种校园网的实现方法。\n背景技术\n根据2001年7月中国互联网络信息中心(CNNIC)的最新调查结 果来看，我国目前的上网总人口已达2650万，其中学生用户占了23％， 是最大的用户群。另据有关资料显示，中国网民的普及率是1.2％，其中 大学生群体中的普及率是93％，目前87％的学生上网在网吧，97％的学 生用201校园卡打电话，庞大的学生用户群和他们的上网需求是教育网， 特别是校园网建设和发展的前提条件。随着宽带城域网的建设，校园业 务也进一步向公众网扩展，远程教育成为一项极富发展潜力的宽带业 务。\n目前，各大运营商已经将校园上网的解决方案作为其城域网建设的 一个重要内容，如何解决好校园上网的问题，提供一个令运营商和用户 都满意的解决方案已迫在眉睫。\n校园上网有其特殊的需求，目前各大学已建成校区办公网，各校园 网经教育网访问因特网(Internet)，由于需经多次接转，同时受出口带 宽的限制，导致用户的需求无法满足，浪费了大量宝贵的时间，导致了 工作的低效率，同时用户无法实现家庭办公。随着宽带城域网的建设， 学校的教师和学生都有通过宽带方式上网的强烈需求，在原有网络和业 务的基础上开展新型宽带接入的方式是校园上网的现实需求。\n校园网主要解决的问题是根据用户的不同选择，使之限制在校园网 范围内不计费访问，或者通过宽带城域网上网并进行计费。而判断用户 不同选择的依据一个是校园网与城域网采用不同的地址范围，另一个是 用户是否经过认证。\n如图1所示为现有的校园网实施技术方案示意图，当用户需要访问 校园网和教育网的时候，采用WEB认证方式，第三层交换机(L3)通 过入口服务器(PORTAL SEVER)连接到AAA(Authentication、 Authorization、Account，即验证、授权、计费)认证服务器，用户开机 直接通过动态主机配置协议服务器(DHCP SERVER)获取教育网统一 的IP地址和相应设置，其中第三层交换机(L3)的端口地址作为用户 的缺省网关，当校园网和教育网用户间需要进行互访时，如果用户间是 相同网段，那么L3作为局域网交换机(Lan Switch)使用；如果是不同 网段，那么L3作为用户的缺省网关为用户转发互访的报文。\n当用户需要访问因特网时，使用以太网点对点传输协议(PPPoE， Point-to-Point Protocol over Ethernet)客户端拨号，因为PPPoE在发起连 接时是使用广播的，L3将作为第二层交换机(L2)使用，将广播包透传 到宽带接入服务器(BAS)上，BAS处理该拨号请求，并与用户建立连 接，之后，用户的BAS作为优先级更高的缺省网关(单播时)，所以上 因特网时，用户通过PPPoE将报文送至BAS，由BAS对用户进行计费。\n当公网地址不足时，用户采用PPPOE获取私网IP地址，这样就需 要实现进行网络地址转换(NAT)，可在教育网出口和Internet入口架设 NAT设备，提供地址转换功能。此时PPP拨号地址池IP地址可以采用 私网IP地址，动态主机配置协议(DHCP)采用公网IP地址。\n利用现有技术，当用户采用WEB认证方式的时候，L3作为 Lanswitch并作为用户缺省路由，这样即便是不同网段的用户也可以通过 L3进行互访，用户没有隔离；当用户盗用其他用户的IP地址时，L3也 无法检测出来，还是当正常用户进行处理，网络安全性没有保证；并且\n由于L3只处理到网络层，并不对用户进行单独的管理，同时已完 成二层信息的终结，没有将二层信息和用户账号进行绑定的可能，因而 无法做到帐号和端口绑定，帐号防盗用问题没有解决；而且，L3缺少丰 富的接入权限控制，如果WEB用户直接想访问因特网，那么L3也会将 报文转发给BAS设备，这样就容易让BAS成为受攻击的对象，导致BAS 易受攻击。而当用户采用PPP认证方式的时候，PPP用户的IP地址因为 可以和校园网的其他用户直接互访，容易被盗用，这样网络的安全性是 无法保证的。\n发明内容\n本发明所要解决的技术问题是：克服现有的校园网中用户没有隔 离，网络安全性差等缺点，提供一种合理地解决用户隔离及网络安全问 题的校园网的实现方法，不但简化校园网的网络管理，而且可有效地进 行访问校园网、教育网及Internet的计费和权限管理。\n本发明为解决上述技术问题所采用的技术方案为：\n这种校园网的实现方法，包括以下步骤：\nA、将校园网内部划分为若干个子网络，并根据需要对各子网络采 用NSP服务器进行管理；\nB、校园网的各子网络通过BAS连接到因特网的ISP服务器或教育 网的NSP服务器，并通过BAS与AAA服务器相连对用户访问不同的 ISP服务器/NSP服务器对应的网络进行认证。\n校园网的各子网络可由BAS分别通过多个不同的ISP服务器接入因 特网，或通过多个不同的NSP服务器接入教育网。\n用户可以采用WEB方式或以太网点对点传输协议(PPPoE)方式 选择接入网络域，在该网络域的AAA服务器认证用户通过后，将远程认 证拨号用户服务(Radius)协议中的应用规范(PORFILE)属性下发到 BAS设备，通知BAS该用户的权限和相应的费率，BAS设备根据 PORFILE属性具体指定的权限、费率信息，允许用户访问相应的网络并 相应地进行计费。\n当用户采用WEB认证时，在宽带接入服务器BAS上连接动态主机 配置协议DHCP服务器和访问入口服务器Portal Server，其步骤如下：\n1)用户开机通过动态主机配置协议(DHCP)服务器申请到教育网 的IP地址；\n2)访问入口服务器(Portal Server)的访问入口(Portal)页面，并 根据该页面提供的到各个ISP/NSP的认证页面的超文本传输协议 (HTTP)连接，访问网络对应的ISP/NSP的认证页面，在认证页面的 认证框中输入该网络分配的用户名或卡号和口令；\n3)Portal Server的认证页面的后台程序自动将输入的用户名或卡号 加上网络对应ISP/NSP的后缀送给AAA服务器进行认证；\n4)AAA认证通过后通过Portal Server通知BAS设备该用户的权限 和相应的费率。\n当用户通过认证时，Portal Server通过Portal协议下载一个后台程 序到用户的计算机上执行，通知用户已经可以上网了。\n当用户又想通过其它的ISP/NSP访问相应的网络时，先使PORTAL SERVER从当前网络对应的ISP/NSP离开，然后PORTAL Server通知 BAS设备清除该用户对应的上网权限，此后，用户重新访问PORTAL 页面选择符合自己上网要求的ISP/NSP，重新进行WEB认证。\n当用户采用PPPoE方式认证时，拨号时在输入的用户名或卡号后加 上网络对应ISP/NSP的后缀，并输入口令，AAA认证通过后直接通知 BAS设备该用户的权限和相应的费率。\n可根据需要在教育网的出口和因特网入口处架设网络地址转换 (NAT)设备，提供地址转换功能。\nAAA服务器可在进行认证时，绑定用户的介质访问控制(MAC) 地址和虚拟局域网(VLAN)，并将该信息下发到BAS设备中，由BAS 设备对用户的报文进行检查，以防止用户盗用IP地址。\n本发明的有益效果为：本发明通过使用BAS取代L3的位置，完成 两个设备的功能，并采用多ISP/NSP解决方案，可以将教育网和校园网 内部划分成多个不同级别的子网络进行管理，简化了校园网的网络结 构，便于集中管理。通过对用户权限进行独立管理，从本质上实现了用 户的隔离，避免了可能存在管理混乱的因素和可能存在的安全问题，而 且能够更加有效地保证以及管理校园网和教育网敏感资源的安全，通过 有效地限制用户缺省可以访问的网络资源，克服了校园网组网结构复 杂、分布面积可能很大给管理上带来的种种问题。\n利用本发明，可将用户的账号、VLAN和MAC绑定，从而从根本 上杜绝了用户的地址盗用问题，提高了网络的安全性，而且对用户计费 进行独立管理，增加了计费策略的灵活性，进一步降低了网络运营的成 本。\n在本发明技术方案下，WEB认证方式的优势更为突出，通过WEB 认证用户可以在不释放IP地址的情况下，在PORTAL SERVER上动态 选择自己的上网权限，从而确定自己可以访问的网上资源，所以可以做 到“用户一次申请地址，随意网上行”，并且可以享受不同的优惠政策。 这样，统一进行地址管理，同时各个ISP/NSP又可以独立管理，实现了 网络拓扑和业务管理的分离，增强了网络的可扩展性。\n附图说明\n图1为现有的校园网实施技术方案示意图；\n图2为本发明校园网实施技术方案示意图。\n具体实施方式\n下面根据附图和实施例对本发明作进一步详细说明：\nISP(Internet Service Proxy)即因特网业务供应商，NSP(Network Service Provider)即网络业务供应商，本发明中只有需要对用户访问进 行认证和计费的资源才属于ISP/NSP的范畴，如校园网内部的收费服 务器、各种本地收费服务器、Internet接入ISP等，并且将每一个独立 认证和计费的资源就作为一个独立的ISP/NSP。\n如图2所示为本发明校园网实施技术方案示意图，通过多ISP/NSP 来实现，本实施例技术方案运用的前提为：用户访问Internet网络收费， 同时存在多个Internet业务的运营商，每个运营商都是一个独立ISP(如 ISP1和ISP2)；用户访问教育网和校园内的网络不收费，分别将其视为 一个独立的NSP，教育网为NSP1，将校园网按不同的区域划分为不同 的子网络，区域可以是逻辑上具有相同特征的几个网段，物理上可能是 集中也可能是分布的，这里将宿舍区分为一个子网络，办公区与教学区 分为一个子网络，对办公区与教学区子网络采用NSP服务器(NSP2) 进行管理。\n本发明通过使用宽带接入服务器(BAS)取代现有方案中L3的位 置，由BAS完成两个设备的功能，将校园网的各子网络通过宽带接入服 务器(BAS)直接连接到ISP1、ISP2和NSP1，BAS还与认证服务器(AAA) 相连，对用户访问不同的ISP/NSP对应的网络进行认证。\n用户可以采用WEB认证方式和PPP认证方式：\n1、采用WEB认证方式\nWEB认证通过访问入口服务器(Portal Server)连接到AAA服务器 进行，访问入口(Portal)业务是ISP/NSP提供给用户的一种新型业务， 它使用户在上网时，可以通过标准的WWW浏览器(如Internet Explorer 或Netscape Navigator)Portal Server来灵活的选择适合用户自己的业务， 包括ISP/NSP选择、业务类型选择、带宽选择、QOS保证等级选择等等， 通过Portal页面还可开展用户费用自助查询、广告、充值卡充值等业务。 Portal Server是提供Portal业务的服务器，由一个标准的WebServer和后 台控制程序组成。\nWEB认证方式主要是针对办公用户而言，用户开机通过动态主机配 置协议(DHCP)服务器申请到教育网的IP地址，首先访问PORTAL Server的PORTAL页面；此时PORTAL页面提供了到各个ISP/NSP的认 证页面的超文本传输协议(HTTP)连接，例如如果用户需要访问校园 网的办公区的网络就点击校园网的办公区对应的连接，那么用户就可以 访问该网络对应的NSP2的认证页面并在认证框中输入该网络分配的用 户名或卡号和口令。\n此后PORTAL Server的认证页面的后台程序自动将用户名加上校园 网的办公区的网络对应NSP2的后缀送给AAA服务器进行认证(例如， 用户输入的用户名为user，加上后缀后为user@nsp2)；AAA服务器在 认证通过后，通过PORTAL Server将用户自己的权限、费率等通过远程 认证拨号用户服务(Radius)协议中的应用规范(PORFILE)属性下发 到BAS设备上，Profile是用来描述满足一定规则的一组访问控制列表 (ACL)，以确定某种业务的特征。\n这样，BAS设备就可以根据PORFILE属性具体指定的权限、费率 等信息，允许用户访问校园网办公区的网络，因为宿舍区的网络未列入 ISP/NSP管理中，所以该网络的访问是可以不受限的，其他资源例如 Internet、教育网都不允许访问；同时PORTAL SERVER通过PORTAL 协议下载一个后台程序到用户的计算机上执行，就会在用户计算机上打 开一个计时窗口，让用户知道自己已经可以上网了。\n当用户又想访问Internet的时候，先点击计时窗口中的断开连接按 钮，通知PORTAL SERVER用户要从校园网的办公区网络对应的NSP (NSP2)离开；然后PORTAL Server自动通知BAS设备清除该用户对应 上网权限并由AAA设备进行相应处理；此后，用户重新访问PORTAL页 面选择符合自己上网的要求的Internet服务提供商(ISP1或ISP2)，点击 对应的连接，进入认证页面输入用户名或卡号和口令，通过和上面类似 的处理流程，BAS设备知道用户上网的权限、费率等；用户在计时窗口 弹出后，就可以访问Internet并根据指定费率进行计费。如需要进行NAT 转换，可在教育网的出口和Internet架设NAT设备，提供地址转换功能。\n本发明通过PORFILE属性对用户权限、费率等信息进行统一描述， PORTAL SERVER只要下发PORFILE名称，BAS即会解析该字符串，并 针对用户下发相关的策略，并且存在二义性，即PORTAL SERVER可为 多个BAS提供服务，而PORFILE对应的策略可能是不一样的，这样提高 了运营的灵活性。\n为了防止用户盗用其他用户的IP地址，AAA可以在认证的时候绑 定用户的介质访问控制(MAC)地址和虚拟局域网(VLAN)并将该信 息下发到BAS设备中，由BAS设备对用户的报文进行检查，以便防止 用户盗用IP地址。\n2、采用PPP认证方式\n该方案主要是针对学生或宿舍用户而言，拨号时需要输入完整的用 户名或卡号和口令，即在用户名或卡号后加上网络对应ISP/NSP的后缀， 例如user@nsp2，原理基本和WEB认证一样，AAA服务器认证后直接 通知BAS设备该用户的权限和相应的费率等。\n如果用户要更换ISP，那么就需要下线，重现进行上述操作即可。如 需要进行NAT转换，可在教育网的出口和Internet架设NAT设备，提供地 址转换功能。同样，AAA也可以在认证的时候绑定用户的介质访问控制 (MAC)地址和虚拟局域网(VLAN)，防止用户盗用IP地址。