文/江涌

支持IPv6的認(rèn)證計(jì)費(fèi)

文/江涌

采用802.1x協(xié)議和基于網(wǎng)關(guān)認(rèn)證相結(jié)合的二次認(rèn)證，能利用兩種技術(shù)的優(yōu)點(diǎn)克服各自的缺點(diǎn)。本文采用二次認(rèn)證，采用了基于鏈路聚合的負(fù)載均衡、認(rèn)證系統(tǒng)從計(jì)費(fèi)網(wǎng)關(guān)分離的分布式模塊化設(shè)計(jì)，并且核心認(rèn)證網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層，對整個(gè)網(wǎng)絡(luò)來說是一個(gè)透明網(wǎng)關(guān)。

在校園網(wǎng)認(rèn)證計(jì)費(fèi)管理中，目前主要采用PPPoE、802.1x、基于網(wǎng)關(guān)的認(rèn)證、二次認(rèn)證等認(rèn)證技術(shù)。PPPoE在組播等應(yīng)用方面有一定的限制，并且在組網(wǎng)時(shí)不能跨越三層網(wǎng)絡(luò)設(shè)備，不太適合于校園網(wǎng)的組網(wǎng)環(huán)境?；诰W(wǎng)關(guān)的認(rèn)證方式具備控制精確、計(jì)費(fèi)方式靈活、部署方便等優(yōu)點(diǎn)，但網(wǎng)關(guān)設(shè)備需部署在網(wǎng)絡(luò)出口，對設(shè)備可靠性要求高，易形成網(wǎng)絡(luò)帶寬瓶頸和單點(diǎn)故障，同時(shí)對用戶的接入控制能力和安全性都比較差，用戶接入控制只能靠其他二層設(shè)備解決，加重了網(wǎng)絡(luò)管理負(fù)擔(dān)。 802.1x能實(shí)現(xiàn)安全接入控制，其缺點(diǎn)是不同廠家采用不同的實(shí)現(xiàn)，不同廠家設(shè)備不兼容，并且很難做到按流量計(jì)費(fèi)。

采用802.1x協(xié)議和基于網(wǎng)關(guān)認(rèn)證相結(jié)合的二次認(rèn)證，能利用兩種技術(shù)的優(yōu)點(diǎn)克服各自的缺點(diǎn)。本文采用二次認(rèn)證，具體描述二次認(rèn)證中網(wǎng)關(guān)認(rèn)證部分，計(jì)費(fèi)網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層，依靠鏈路聚合實(shí)現(xiàn)負(fù)載均衡和故障切換，支持IPv4、IPv6統(tǒng)一認(rèn)證。

基于三層網(wǎng)關(guān)的計(jì)費(fèi)系統(tǒng)

系統(tǒng)概述

目前很多高校都有多個(gè)出口鏈路，一般都采用多個(gè)出口從一個(gè)出口路由器接出的方式，參見圖1。如圖所示，計(jì)費(fèi)網(wǎng)關(guān)G1嵌入到出口路由器和核心交換機(jī)之間，對整個(gè)網(wǎng)絡(luò)進(jìn)行控制。

計(jì)費(fèi)網(wǎng)關(guān)工作在TCP/IP協(xié)議棧的第三層，網(wǎng)絡(luò)報(bào)文可以通過Linux操作系統(tǒng)的Netfilter框架來進(jìn)行報(bào)文控制，數(shù)據(jù)包在Prerouting鏈進(jìn)行截取，在計(jì)費(fèi)網(wǎng)關(guān)維護(hù)的在線用戶列表中查找是否有該數(shù)據(jù)包的源IP地址匹配項(xiàng)。如有則ACCEPT，再重定向(REDIRECT) 到認(rèn)證頁面，否則返回鏈。然后運(yùn)行認(rèn)證程序以決定其目的動(dòng)作，如果成功，則在在線用戶列表中加入包含用戶名和源IP 地址綁定信息的記錄，以便后繼的該用戶的數(shù)據(jù)包順利通過。

系統(tǒng)缺點(diǎn)

基于三層網(wǎng)關(guān)的計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)部署簡單、可維護(hù)性高，但存在以下缺點(diǎn)：

安全性弱：計(jì)費(fèi)網(wǎng)關(guān)中多個(gè)IP地址直接暴露在校園網(wǎng)中，易受DOS、嗅探攻擊。

部署復(fù)雜：由于計(jì)費(fèi)網(wǎng)關(guān)網(wǎng)卡設(shè)置IP地址，核心交換機(jī)和出口路由器需要改變路由，會涉及到IP規(guī)劃調(diào)整。

可靠性差：采用這種接入方式，如果計(jì)費(fèi)網(wǎng)關(guān)宕機(jī)，整個(gè)網(wǎng)絡(luò)出口就會癱瘓，易出現(xiàn)單點(diǎn)故障，并且計(jì)費(fèi)網(wǎng)關(guān)會成為整個(gè)網(wǎng)絡(luò)的帶寬瓶頸。

基于透明網(wǎng)關(guān)的高可靠計(jì)費(fèi)系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和對網(wǎng)絡(luò)服務(wù)質(zhì)量需求的不斷提高，以及IPv6的普及，迫切需要一套支持負(fù)載均衡、高帶寬、IPv6的高可靠的計(jì)費(fèi)系統(tǒng)。

在達(dá)到以上目標(biāo)的同時(shí)，還滿足成本低、技術(shù)成熟和對原有網(wǎng)絡(luò)影響小等要求。針對這樣的需求，本文設(shè)計(jì)了一個(gè)基于數(shù)據(jù)鏈路層的高可靠透明網(wǎng)關(guān)計(jì)費(fèi)系統(tǒng)。

圖 2 高可靠網(wǎng)關(guān)部署架構(gòu)

系統(tǒng)架構(gòu)及關(guān)鍵模塊設(shè)計(jì)

基于數(shù)據(jù)鏈路層的高可靠透明網(wǎng)關(guān)計(jì)費(fèi)系統(tǒng)的架構(gòu)如圖2，按照分布式設(shè)計(jì)和部署原理，主要分為認(rèn)證系統(tǒng)、計(jì)費(fèi)網(wǎng)關(guān)、查詢管理系統(tǒng)、記賬系統(tǒng)幾大系統(tǒng)。認(rèn)證系統(tǒng)主要完成Radius、Web認(rèn)證功能，計(jì)費(fèi)網(wǎng)關(guān)完成數(shù)據(jù)包轉(zhuǎn)發(fā)控制、計(jì)費(fèi)流量采集、日志采集，查詢管理系統(tǒng)提供查詢統(tǒng)計(jì)、用戶管理、費(fèi)用管理、賬務(wù)管理，記賬系統(tǒng)完成計(jì)費(fèi)流量存儲、費(fèi)用實(shí)時(shí)統(tǒng)計(jì)、日志記錄存儲。系統(tǒng)之間通過API相互通訊，如計(jì)費(fèi)網(wǎng)關(guān)將計(jì)費(fèi)流量記錄發(fā)送給記賬系統(tǒng)，記賬系統(tǒng)實(shí)時(shí)統(tǒng)計(jì)結(jié)果，然后計(jì)費(fèi)網(wǎng)關(guān)根據(jù)該結(jié)果，將欠費(fèi)用戶實(shí)時(shí)斷網(wǎng)。

本計(jì)費(fèi)系統(tǒng)支持IPv4和IPv6兩種協(xié)議棧，校園網(wǎng)中IPv4和IPv6一般分別走不同的鏈路，本設(shè)計(jì)中計(jì)費(fèi)網(wǎng)關(guān)也分別采用單獨(dú)的協(xié)議棧。參見圖2，IPv4鏈路的計(jì)費(fèi)網(wǎng)關(guān)G1、G2只部署IPv4棧，IPv6鏈路的計(jì)費(fèi)網(wǎng)關(guān)G3只部署IPv6棧，記賬系統(tǒng)、認(rèn)證系統(tǒng)等需要雙棧部署。用戶在自己的機(jī)器上配置IPv4 和IPv6雙棧，客戶端同時(shí)支持IPv4和IPv6認(rèn)證。用戶數(shù)據(jù)經(jīng)過雙棧校園網(wǎng)或者IPv6通過隧道方式發(fā)起訪問時(shí)，如果是IPv4訪問，IPv4計(jì)費(fèi)網(wǎng)關(guān)檢測到用戶為初次登錄，將數(shù)據(jù)以IPv4協(xié)議重定向到認(rèn)證系統(tǒng)；如果是IPv6訪問，同理以IPv6協(xié)議重定向到認(rèn)證系統(tǒng)。當(dāng)通過認(rèn)證之后，認(rèn)證系統(tǒng)分別將客戶端的IPv4、IPv6在線信息同步到IPv4和IPv6計(jì)費(fèi)網(wǎng)關(guān)。用戶繼續(xù)訪問網(wǎng)絡(luò)時(shí)，IPv4和IPv6計(jì)費(fèi)網(wǎng)關(guān)將用戶的訪問記錄記入記賬系統(tǒng)，供查詢管理系統(tǒng)查詢和供認(rèn)證系統(tǒng)判斷用戶費(fèi)用。這樣計(jì)費(fèi)網(wǎng)關(guān)只部署所必需的部件，做到整個(gè)計(jì)費(fèi)系統(tǒng)輕量級工作。

計(jì)費(fèi)系統(tǒng)特點(diǎn)

由于采用了基于鏈路聚合的負(fù)載均衡、認(rèn)證系統(tǒng)從計(jì)費(fèi)網(wǎng)關(guān)分離的分布式模塊化設(shè)計(jì)、整個(gè)計(jì)費(fèi)系統(tǒng)部署在高速私網(wǎng)等設(shè)計(jì)技術(shù)，并且核心認(rèn)證網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層，對整個(gè)網(wǎng)絡(luò)來說是一個(gè)透明網(wǎng)關(guān)，因此該計(jì)費(fèi)系統(tǒng)具備以下特點(diǎn)：

1.高安全性

計(jì)費(fèi)網(wǎng)關(guān)（G1、G2、G3等）采用高速私網(wǎng)與認(rèn)證系統(tǒng)、記賬系統(tǒng)通訊該網(wǎng)可以通過采用InfiniBand或者光纖交換網(wǎng)來實(shí)現(xiàn)高帶寬的目的。認(rèn)證系統(tǒng)提供校園網(wǎng)和私網(wǎng)連接，通過認(rèn)證系統(tǒng)實(shí)現(xiàn)計(jì)費(fèi)網(wǎng)關(guān)的在線用戶信息同步。采用這種部署方式，核心的計(jì)費(fèi)網(wǎng)關(guān)和記賬系統(tǒng)完全放置在私網(wǎng)，只有需要提供校園網(wǎng)服務(wù)的認(rèn)證系統(tǒng)和查詢管理系統(tǒng)提供校園網(wǎng)訪問；并且計(jì)費(fèi)網(wǎng)關(guān)工作在數(shù)據(jù)鏈路層，接入網(wǎng)卡無IP地址，使得攻擊者無法找到攻擊的入口，這樣整個(gè)計(jì)費(fèi)系統(tǒng)具有很高的安全性。

2.負(fù)載均衡和高可靠性

出口路由器與核心交換機(jī)之間采用端口聚合實(shí)現(xiàn)負(fù)載均衡，端口聚合是成熟的以太網(wǎng)技術(shù)，不會存在技術(shù)上的風(fēng)險(xiǎn)。采用鏈路聚合，鏈路帶寬能與出口和內(nèi)網(wǎng)總線帶寬匹配，不會成為整個(gè)網(wǎng)絡(luò)的瓶頸。采用端口聚合，當(dāng)鏈路工作正常的時(shí)候，數(shù)據(jù)包在每個(gè)鏈路平均分配，每臺計(jì)費(fèi)網(wǎng)關(guān)壓力小，數(shù)據(jù)包能快速轉(zhuǎn)發(fā)。采用端口聚合，當(dāng)任一鏈路失效（包括計(jì)費(fèi)網(wǎng)關(guān)宕機(jī)）的時(shí)候，由于計(jì)費(fèi)網(wǎng)關(guān)是工作在數(shù)據(jù)鏈路層的透明網(wǎng)關(guān)，數(shù)據(jù)包會自動(dòng)從其它鏈路轉(zhuǎn)發(fā)，這樣計(jì)費(fèi)系統(tǒng)具備很高的可靠性。并且如果計(jì)費(fèi)網(wǎng)關(guān)探測到認(rèn)證系統(tǒng)或者記賬系統(tǒng)宕機(jī)，計(jì)費(fèi)網(wǎng)關(guān)自動(dòng)關(guān)閉認(rèn)證功能切換到直通模式，始終保證網(wǎng)絡(luò)暢通，做到提供不間斷服務(wù)的高可用性。

3.分布式設(shè)計(jì)

計(jì)費(fèi)系統(tǒng)分為計(jì)費(fèi)網(wǎng)關(guān)、認(rèn)證系統(tǒng)、記賬系統(tǒng)、查詢管理系統(tǒng)，網(wǎng)絡(luò)用戶和計(jì)費(fèi)網(wǎng)關(guān)之間的通訊通過認(rèn)證系統(tǒng)完成。當(dāng)用戶發(fā)起認(rèn)證的時(shí)候，如果認(rèn)證系統(tǒng)通過，認(rèn)證系統(tǒng)分別將用戶在線信息發(fā)往IPv4計(jì)費(fèi)網(wǎng)關(guān)和IPv6計(jì)費(fèi)網(wǎng)關(guān)。當(dāng)用戶下線的時(shí)候，認(rèn)證系統(tǒng)將離線信息分別發(fā)往兩類計(jì)費(fèi)網(wǎng)關(guān)?？蛻舳撕驼J(rèn)證系統(tǒng)之間進(jìn)行KeepAlive，當(dāng)檢測到用戶異常離線時(shí)，將用戶離線信息同步到兩類網(wǎng)關(guān)中。認(rèn)證模塊還提供Radius服務(wù)器功能，實(shí)現(xiàn)二次認(rèn)證的統(tǒng)一認(rèn)證，做到對用戶透明。

4.彈性擴(kuò)展

因?yàn)椴捎昧嘶诙丝诰酆系呢?fù)載均衡技術(shù)，當(dāng)計(jì)費(fèi)網(wǎng)關(guān)性能和帶寬不能滿足需求時(shí)，既可以采用提高網(wǎng)關(guān)配置的垂直升級方式，也可以采用增加多臺計(jì)費(fèi)網(wǎng)關(guān)的橫向擴(kuò)展方式，使得整個(gè)系統(tǒng)具備很強(qiáng)的彈性。

校園網(wǎng)具有流量大、應(yīng)用廣泛、規(guī)模大、用戶流動(dòng)大、網(wǎng)絡(luò)環(huán)境開放、遭受攻擊多等特點(diǎn)，而計(jì)費(fèi)系統(tǒng)作為校園網(wǎng)計(jì)費(fèi)和接入控制的核心，必須達(dá)到高效率、高可用、高安全、彈性擴(kuò)展等關(guān)鍵指標(biāo)。本文提出的校園網(wǎng)計(jì)費(fèi)認(rèn)證系統(tǒng)采用了二次認(rèn)證，其中802.1X起著校園網(wǎng)接入和跟蹤定位作用，出口采用工作于數(shù)據(jù)鏈路層的透明網(wǎng)關(guān)進(jìn)行控制，支持按流量、按時(shí)等計(jì)費(fèi)策略，能夠滿足校園網(wǎng)高效、高可靠、高安全等要求。

（作者單位為北京航空航天大學(xué)網(wǎng)絡(luò)信息中心）