亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        支持IPv6的認(rèn)證計(jì)費(fèi)

        2010-11-09 06:42:32江涌
        中國教育網(wǎng)絡(luò) 2010年2期
        關(guān)鍵詞:鏈路層計(jì)費(fèi)記賬

        文/江涌

        支持IPv6的認(rèn)證計(jì)費(fèi)

        文/江涌

        采用802.1x協(xié)議和基于網(wǎng)關(guān)認(rèn)證相結(jié)合的二次認(rèn)證,能利用兩種技術(shù)的優(yōu)點(diǎn)克服各自的缺點(diǎn)。本文采用二次認(rèn)證,采用了基于鏈路聚合的負(fù)載均衡、認(rèn)證系統(tǒng)從計(jì)費(fèi)網(wǎng)關(guān)分離的分布式模塊化設(shè)計(jì),并且核心認(rèn)證網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層,對整個(gè)網(wǎng)絡(luò)來說是一個(gè)透明網(wǎng)關(guān)。

        在校園網(wǎng)認(rèn)證計(jì)費(fèi)管理中,目前主要采用PPPoE、802.1x、基于網(wǎng)關(guān)的認(rèn)證、二次認(rèn)證等認(rèn)證技術(shù)。PPPoE在組播等應(yīng)用方面有一定的限制,并且在組網(wǎng)時(shí)不能跨越三層網(wǎng)絡(luò)設(shè)備,不太適合于校園網(wǎng)的組網(wǎng)環(huán)境?;诰W(wǎng)關(guān)的認(rèn)證方式具備控制精確、計(jì)費(fèi)方式靈活、部署方便等優(yōu)點(diǎn),但網(wǎng)關(guān)設(shè)備需部署在網(wǎng)絡(luò)出口,對設(shè)備可靠性要求高,易形成網(wǎng)絡(luò)帶寬瓶頸和單點(diǎn)故障,同時(shí)對用戶的接入控制能力和安全性都比較差,用戶接入控制只能靠其他二層設(shè)備解決,加重了網(wǎng)絡(luò)管理負(fù)擔(dān)。 802.1x能實(shí)現(xiàn)安全接入控制,其缺點(diǎn)是不同廠家采用不同的實(shí)現(xiàn),不同廠家設(shè)備不兼容,并且很難做到按流量計(jì)費(fèi)。

        采用802.1x協(xié)議和基于網(wǎng)關(guān)認(rèn)證相結(jié)合的二次認(rèn)證,能利用兩種技術(shù)的優(yōu)點(diǎn)克服各自的缺點(diǎn)。本文采用二次認(rèn)證,具體描述二次認(rèn)證中網(wǎng)關(guān)認(rèn)證部分,計(jì)費(fèi)網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層,依靠鏈路聚合實(shí)現(xiàn)負(fù)載均衡和故障切換,支持IPv4、IPv6統(tǒng)一認(rèn)證。

        基于三層網(wǎng)關(guān)的計(jì)費(fèi)系統(tǒng)

        系統(tǒng)概述

        目前很多高校都有多個(gè)出口鏈路,一般都采用多個(gè)出口從一個(gè)出口路由器接出的方式,參見圖1。如圖所示,計(jì)費(fèi)網(wǎng)關(guān)G1嵌入到出口路由器和核心交換機(jī)之間,對整個(gè)網(wǎng)絡(luò)進(jìn)行控制。

        計(jì)費(fèi)網(wǎng)關(guān)工作在TCP/IP協(xié)議棧的第三層,網(wǎng)絡(luò)報(bào)文可以通過Linux操作系統(tǒng)的Netfilter框架來進(jìn)行報(bào)文控制,數(shù)據(jù)包在Prerouting鏈進(jìn)行截取,在計(jì)費(fèi)網(wǎng)關(guān)維護(hù)的在線用戶列表中查找是否有該數(shù)據(jù)包的源IP地址匹配項(xiàng)。如有則ACCEPT,再重定向(REDIRECT) 到認(rèn)證頁面,否則返回鏈。然后運(yùn)行認(rèn)證程序以決定其目的動(dòng)作,如果成功,則在在線用戶列表中加入包含用戶名和源IP 地址綁定信息的記錄,以便后繼的該用戶的數(shù)據(jù)包順利通過。

        系統(tǒng)缺點(diǎn)

        基于三層網(wǎng)關(guān)的計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)部署簡單、可維護(hù)性高,但存在以下缺點(diǎn):

        安全性弱:計(jì)費(fèi)網(wǎng)關(guān)中多個(gè)IP地址直接暴露在校園網(wǎng)中,易受DOS、嗅探攻擊。

        部署復(fù)雜:由于計(jì)費(fèi)網(wǎng)關(guān)網(wǎng)卡設(shè)置IP地址,核心交換機(jī)和出口路由器需要改變路由,會涉及到IP規(guī)劃調(diào)整。

        可靠性差:采用這種接入方式,如果計(jì)費(fèi)網(wǎng)關(guān)宕機(jī),整個(gè)網(wǎng)絡(luò)出口就會癱瘓,易出現(xiàn)單點(diǎn)故障,并且計(jì)費(fèi)網(wǎng)關(guān)會成為整個(gè)網(wǎng)絡(luò)的帶寬瓶頸。

        基于透明網(wǎng)關(guān)的高可靠計(jì)費(fèi)系統(tǒng)

        隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和對網(wǎng)絡(luò)服務(wù)質(zhì)量需求的不斷提高,以及IPv6的普及,迫切需要一套支持負(fù)載均衡、高帶寬、IPv6的高可靠的計(jì)費(fèi)系統(tǒng)。

        在達(dá)到以上目標(biāo)的同時(shí),還滿足成本低、技術(shù)成熟和對原有網(wǎng)絡(luò)影響小等要求。針對這樣的需求,本文設(shè)計(jì)了一個(gè)基于數(shù)據(jù)鏈路層的高可靠透明網(wǎng)關(guān)計(jì)費(fèi)系統(tǒng)。

        圖 2 高可靠網(wǎng)關(guān)部署架構(gòu)

        系統(tǒng)架構(gòu)及關(guān)鍵模塊設(shè)計(jì)

        基于數(shù)據(jù)鏈路層的高可靠透明網(wǎng)關(guān)計(jì)費(fèi)系統(tǒng)的架構(gòu)如圖2,按照分布式設(shè)計(jì)和部署原理,主要分為認(rèn)證系統(tǒng)、計(jì)費(fèi)網(wǎng)關(guān)、查詢管理系統(tǒng)、記賬系統(tǒng)幾大系統(tǒng)。認(rèn)證系統(tǒng)主要完成Radius、Web認(rèn)證功能,計(jì)費(fèi)網(wǎng)關(guān)完成數(shù)據(jù)包轉(zhuǎn)發(fā)控制、計(jì)費(fèi)流量采集、日志采集,查詢管理系統(tǒng)提供查詢統(tǒng)計(jì)、用戶管理、費(fèi)用管理、賬務(wù)管理,記賬系統(tǒng)完成計(jì)費(fèi)流量存儲、費(fèi)用實(shí)時(shí)統(tǒng)計(jì)、日志記錄存儲。系統(tǒng)之間通過API相互通訊,如計(jì)費(fèi)網(wǎng)關(guān)將計(jì)費(fèi)流量記錄發(fā)送給記賬系統(tǒng),記賬系統(tǒng)實(shí)時(shí)統(tǒng)計(jì)結(jié)果,然后計(jì)費(fèi)網(wǎng)關(guān)根據(jù)該結(jié)果,將欠費(fèi)用戶實(shí)時(shí)斷網(wǎng)。

        本計(jì)費(fèi)系統(tǒng)支持IPv4和IPv6兩種協(xié)議棧,校園網(wǎng)中IPv4和IPv6一般分別走不同的鏈路,本設(shè)計(jì)中計(jì)費(fèi)網(wǎng)關(guān)也分別采用單獨(dú)的協(xié)議棧。參見圖2,IPv4鏈路的計(jì)費(fèi)網(wǎng)關(guān)G1、G2只部署IPv4棧,IPv6鏈路的計(jì)費(fèi)網(wǎng)關(guān)G3只部署IPv6棧,記賬系統(tǒng)、認(rèn)證系統(tǒng)等需要雙棧部署。用戶在自己的機(jī)器上配置IPv4 和IPv6雙棧,客戶端同時(shí)支持IPv4和IPv6認(rèn)證。用戶數(shù)據(jù)經(jīng)過雙棧校園網(wǎng)或者IPv6通過隧道方式發(fā)起訪問時(shí),如果是IPv4訪問,IPv4計(jì)費(fèi)網(wǎng)關(guān)檢測到用戶為初次登錄,將數(shù)據(jù)以IPv4協(xié)議重定向到認(rèn)證系統(tǒng);如果是IPv6訪問,同理以IPv6協(xié)議重定向到認(rèn)證系統(tǒng)。當(dāng)通過認(rèn)證之后,認(rèn)證系統(tǒng)分別將客戶端的IPv4、IPv6在線信息同步到IPv4和IPv6計(jì)費(fèi)網(wǎng)關(guān)。用戶繼續(xù)訪問網(wǎng)絡(luò)時(shí),IPv4和IPv6計(jì)費(fèi)網(wǎng)關(guān)將用戶的訪問記錄記入記賬系統(tǒng),供查詢管理系統(tǒng)查詢和供認(rèn)證系統(tǒng)判斷用戶費(fèi)用。這樣計(jì)費(fèi)網(wǎng)關(guān)只部署所必需的部件,做到整個(gè)計(jì)費(fèi)系統(tǒng)輕量級工作。

        計(jì)費(fèi)系統(tǒng)特點(diǎn)

        由于采用了基于鏈路聚合的負(fù)載均衡、認(rèn)證系統(tǒng)從計(jì)費(fèi)網(wǎng)關(guān)分離的分布式模塊化設(shè)計(jì)、整個(gè)計(jì)費(fèi)系統(tǒng)部署在高速私網(wǎng)等設(shè)計(jì)技術(shù),并且核心認(rèn)證網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層,對整個(gè)網(wǎng)絡(luò)來說是一個(gè)透明網(wǎng)關(guān),因此該計(jì)費(fèi)系統(tǒng)具備以下特點(diǎn):

        1.高安全性

        計(jì)費(fèi)網(wǎng)關(guān)(G1、G2、G3等)采用高速私網(wǎng)與認(rèn)證系統(tǒng)、記賬系統(tǒng)通訊該網(wǎng)可以通過采用InfiniBand或者光纖交換網(wǎng)來實(shí)現(xiàn)高帶寬的目的。認(rèn)證系統(tǒng)提供校園網(wǎng)和私網(wǎng)連接,通過認(rèn)證系統(tǒng)實(shí)現(xiàn)計(jì)費(fèi)網(wǎng)關(guān)的在線用戶信息同步。采用這種部署方式,核心的計(jì)費(fèi)網(wǎng)關(guān)和記賬系統(tǒng)完全放置在私網(wǎng),只有需要提供校園網(wǎng)服務(wù)的認(rèn)證系統(tǒng)和查詢管理系統(tǒng)提供校園網(wǎng)訪問;并且計(jì)費(fèi)網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層,接入網(wǎng)卡無IP地址,使得攻擊者無法找到攻擊的入口,這樣整個(gè)計(jì)費(fèi)系統(tǒng)具有很高的安全性。

        2.負(fù)載均衡和高可靠性

        出口路由器與核心交換機(jī)之間采用端口聚合實(shí)現(xiàn)負(fù)載均衡,端口聚合是成熟的以太網(wǎng)技術(shù),不會存在技術(shù)上的風(fēng)險(xiǎn)。采用鏈路聚合,鏈路帶寬能與出口和內(nèi)網(wǎng)總線帶寬匹配,不會成為整個(gè)網(wǎng)絡(luò)的瓶頸。采用端口聚合,當(dāng)鏈路工作正常的時(shí)候,數(shù)據(jù)包在每個(gè)鏈路平均分配,每臺計(jì)費(fèi)網(wǎng)關(guān)壓力小,數(shù)據(jù)包能快速轉(zhuǎn)發(fā)。采用端口聚合,當(dāng)任一鏈路失效(包括計(jì)費(fèi)網(wǎng)關(guān)宕機(jī))的時(shí)候,由于計(jì)費(fèi)網(wǎng)關(guān)是工作在數(shù)據(jù)鏈路層的透明網(wǎng)關(guān),數(shù)據(jù)包會自動(dòng)從其它鏈路轉(zhuǎn)發(fā),這樣計(jì)費(fèi)系統(tǒng)具備很高的可靠性。并且如果計(jì)費(fèi)網(wǎng)關(guān)探測到認(rèn)證系統(tǒng)或者記賬系統(tǒng)宕機(jī),計(jì)費(fèi)網(wǎng)關(guān)自動(dòng)關(guān)閉認(rèn)證功能切換到直通模式,始終保證網(wǎng)絡(luò)暢通,做到提供不間斷服務(wù)的高可用性。

        3.分布式設(shè)計(jì)

        計(jì)費(fèi)系統(tǒng)分為計(jì)費(fèi)網(wǎng)關(guān)、認(rèn)證系統(tǒng)、記賬系統(tǒng)、查詢管理系統(tǒng),網(wǎng)絡(luò)用戶和計(jì)費(fèi)網(wǎng)關(guān)之間的通訊通過認(rèn)證系統(tǒng)完成。當(dāng)用戶發(fā)起認(rèn)證的時(shí)候,如果認(rèn)證系統(tǒng)通過,認(rèn)證系統(tǒng)分別將用戶在線信息發(fā)往IPv4計(jì)費(fèi)網(wǎng)關(guān)和IPv6計(jì)費(fèi)網(wǎng)關(guān)。當(dāng)用戶下線的時(shí)候,認(rèn)證系統(tǒng)將離線信息分別發(fā)往兩類計(jì)費(fèi)網(wǎng)關(guān)??蛻舳撕驼J(rèn)證系統(tǒng)之間進(jìn)行KeepAlive,當(dāng)檢測到用戶異常離線時(shí),將用戶離線信息同步到兩類網(wǎng)關(guān)中。認(rèn)證模塊還提供Radius服務(wù)器功能,實(shí)現(xiàn)二次認(rèn)證的統(tǒng)一認(rèn)證,做到對用戶透明。

        4.彈性擴(kuò)展

        因?yàn)椴捎昧嘶诙丝诰酆系呢?fù)載均衡技術(shù),當(dāng)計(jì)費(fèi)網(wǎng)關(guān)性能和帶寬不能滿足需求時(shí),既可以采用提高網(wǎng)關(guān)配置的垂直升級方式,也可以采用增加多臺計(jì)費(fèi)網(wǎng)關(guān)的橫向擴(kuò)展方式,使得整個(gè)系統(tǒng)具備很強(qiáng)的彈性。

        校園網(wǎng)具有流量大、應(yīng)用廣泛、規(guī)模大、用戶流動(dòng)大、網(wǎng)絡(luò)環(huán)境開放、遭受攻擊多等特點(diǎn),而計(jì)費(fèi)系統(tǒng)作為校園網(wǎng)計(jì)費(fèi)和接入控制的核心,必須達(dá)到高效率、高可用、高安全、彈性擴(kuò)展等關(guān)鍵指標(biāo)。本文提出的校園網(wǎng)計(jì)費(fèi)認(rèn)證系統(tǒng)采用了二次認(rèn)證,其中802.1X起著校園網(wǎng)接入和跟蹤定位作用,出口采用工作于數(shù)據(jù)鏈路層的透明網(wǎng)關(guān)進(jìn)行控制,支持按流量、按時(shí)等計(jì)費(fèi)策略,能夠滿足校園網(wǎng)高效、高可靠、高安全等要求。

        (作者單位為北京航空航天大學(xué)網(wǎng)絡(luò)信息中心)

        猜你喜歡
        鏈路層計(jì)費(fèi)記賬
        網(wǎng)絡(luò)傳輸融合及網(wǎng)絡(luò)安全防控技術(shù)研究
        出租車計(jì)費(fèi)的秘密
        5G網(wǎng)絡(luò)獨(dú)立組網(wǎng)中融合計(jì)費(fèi)方案的研究
        基于多空間內(nèi)存共享的數(shù)據(jù)鏈路層網(wǎng)絡(luò)包捕獲方法
        生活中的分段計(jì)費(fèi)
        記賬類APP
        農(nóng)家參謀(2019年2期)2019-09-10 03:54:02
        代理記賬:會計(jì)“工學(xué)結(jié)合”的新動(dòng)向
        數(shù)據(jù)鏈路層的選擇重傳協(xié)議的優(yōu)化改進(jìn)
        IEEE 1394事務(wù)層接口的設(shè)計(jì)與實(shí)現(xiàn)
        在线亚洲日本一区二区| 一级二级中文字幕在线视频| 久久久一本精品99久久| 国产一区二区三区特区| 精品一区二区三区芒果| 熟女少妇在线视频播放| 亚洲影院丰满少妇中文字幕无码| 国产成人福利av一区二区三区| 色久悠悠婷婷综合在线| 亚洲av片在线观看| 久久久久久久综合综合狠狠| a国产一区二区免费入口| 成人国产精品高清在线观看| 亚洲熟少妇一区二区三区| 99热在线观看| 精品一区二区三区在线观看| 中文字幕第一页在线无码一区二区 | 国产av无码专区亚洲av手机麻豆| 日日噜噜噜夜夜爽爽狠狠视频| 精品少妇人妻av一区二区蜜桃| 男人的天堂免费a级毛片无码| 亚洲中文字幕第一页在线| 国产免费人成视频在线观看播放| 熟女一区二区中文字幕| 巨胸喷奶水www视频网站| 久久精品无码一区二区三区不 | 女女同女同一区二区三区| 精品亚洲国产成人| 亚洲香蕉视频| 蜜桃在线观看免费高清| 精品国产一区二区三区色搞| 男人扒开女人下面狂躁小视频 | 亚洲熟女乱色综合亚洲av| 国产最新AV在线播放不卡| 国产在线a免费观看不卡| 国产色欲av一区二区三区| 精品午夜福利1000在线观看| 亚洲av第一区综合激情久久久| 国产av一区二区三区性入口| 免费观看黄网站在线播放| 人妻系列无码专区久久五月天 |