◆曾煒

（南京曉莊學(xué)院江蘇 210017）

在互聯(lián)網(wǎng)的發(fā)展過(guò)程中，IPv4向IPv6的演進(jìn)已經(jīng)成為必然選擇。目前，IPv4網(wǎng)絡(luò)面臨著地址消耗殆盡、服務(wù)質(zhì)量難以保證等一系列問(wèn)題，另一方面，互聯(lián)網(wǎng)的規(guī)模仍在快速增長(zhǎng)，特別是在用戶端，移動(dòng)設(shè)備的數(shù)量增長(zhǎng)迅速，這又導(dǎo)致了對(duì)新IP地址分配的不斷需求。IPv6是對(duì)IPv4的重新設(shè)計(jì)，它不但可提供幾乎取之不盡的IP地址，還具有可控可管可溯源等優(yōu)勢(shì)，解決了IPv4中存在的問(wèn)題，可以提供更好的IP服務(wù)。因此，IPv6是全球公認(rèn)的下一代互聯(lián)網(wǎng)最成熟、最可行的解決方案。

IPv6沒(méi)有內(nèi)置向下兼容性，這意味著IPv6網(wǎng)絡(luò)無(wú)法直接與IPv4網(wǎng)絡(luò)通信。本質(zhì)上，IPv6已經(jīng)被創(chuàng)建為一個(gè)與IPv4共存的、并行的獨(dú)立網(wǎng)絡(luò)。因此，IPv4和IPv6將以雙協(xié)議棧網(wǎng)絡(luò)的形式長(zhǎng)期共存，過(guò)渡的過(guò)程也將是漸進(jìn)式的。在此期間，我們需要同時(shí)管理IPv4和IPv6的可用性，并解決在IPv4/IPv6雙棧環(huán)境下身份認(rèn)證與網(wǎng)絡(luò)溯源問(wèn)題，以最終安全穩(wěn)定地過(guò)渡到純IPv6的生態(tài)環(huán)境。

1 IPv4/IPv6雙棧校園網(wǎng)的產(chǎn)生與發(fā)展

2004年，中國(guó)第一個(gè)下一代互聯(lián)網(wǎng)主干網(wǎng)CERNET2正式開(kāi)通，它既是我國(guó)建成的最大的純IPv6互聯(lián)網(wǎng)，又是唯一的學(xué)術(shù)性主干網(wǎng)。CERNET2的建成與開(kāi)通，推動(dòng)著我國(guó)進(jìn)入了IPv6與IPv4網(wǎng)絡(luò)共存時(shí)代。如今越來(lái)越多的高校已經(jīng)完成了接入，開(kāi)展大規(guī)模IPv6網(wǎng)絡(luò)建設(shè)部署實(shí)施以及科研應(yīng)用和探索。各高校實(shí)現(xiàn)接入CERNET2的關(guān)鍵技術(shù)問(wèn)題就是要對(duì)原先的純IPv4校園網(wǎng)進(jìn)行IPv4/IPv6雙棧升級(jí)改造。

1.1 雙協(xié)議棧的定義

雙協(xié)議棧是一種最簡(jiǎn)單直接的過(guò)渡機(jī)制，能夠?qū)崿F(xiàn)IPv4向IPv6的過(guò)渡。它是指在業(yè)務(wù)終端、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)中可以同時(shí)收發(fā)IPv4與IPv6報(bào)文。雙協(xié)議棧方案，理論上可以在不增加基礎(chǔ)網(wǎng)絡(luò)設(shè)備，不變更基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)的情況下，實(shí)現(xiàn)對(duì)IPv4/IPv6訪問(wèn)的同時(shí)支持。雙協(xié)議棧技術(shù)適合 IPv 4網(wǎng)絡(luò)/節(jié)點(diǎn)之間或者 IPv6網(wǎng)絡(luò)/節(jié)點(diǎn)之間通信，它不僅可以用于建設(shè)雙協(xié)議棧網(wǎng)絡(luò)，還是所有過(guò)渡技術(shù)的基礎(chǔ)。

1.2 雙棧改造的內(nèi)容

采用IPv4/IPv6雙棧技術(shù)方案，需完成如下工作：

（1）需要定制IPv6升級(jí)規(guī)劃。

（2）接入IPv6網(wǎng)絡(luò)，獲取IPv6公網(wǎng)地址，定制內(nèi)部IPv6地址路由策略。

（3）所有網(wǎng)絡(luò)、安全設(shè)備和安全防護(hù)系統(tǒng)進(jìn)行雙?；脑?，使其支持IPv6協(xié)議棧。

（4）所有應(yīng)用服務(wù)器和業(yè)務(wù)系統(tǒng)均需找原開(kāi)發(fā)廠家進(jìn)行改造及開(kāi)發(fā)，使其支持IPv6協(xié)議棧。

1.3 三層架構(gòu)校園網(wǎng)的雙棧升級(jí)

三層架構(gòu)校園網(wǎng)是指采用了層次化模型設(shè)計(jì)的網(wǎng)絡(luò)，每個(gè)層次著重于實(shí)現(xiàn)特定的功能，具體分成三個(gè)層次：核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）。

三層架構(gòu)網(wǎng)只能滿足最基本的互聯(lián)互通需求，它存在很多無(wú)法解決的網(wǎng)絡(luò)安全問(wèn)題。如只要用戶獲得了網(wǎng)絡(luò)的使用權(quán)，在整個(gè)通信期間不會(huì)產(chǎn)生相應(yīng)的記錄、審計(jì)和控制，容易造成網(wǎng)絡(luò)的無(wú)序使用；用戶之間存在互相影響，網(wǎng)絡(luò)中的攻擊泛濫；由于沒(méi)有實(shí)施實(shí)名制，用戶的通信行為沒(méi)有存檔，后期當(dāng)然也無(wú)法追溯問(wèn)題；缺乏必要的流量控制手段，網(wǎng)絡(luò)帶寬易被低效應(yīng)用大量占用，重要應(yīng)用反而得不到帶寬的有效保障；存在未經(jīng)授權(quán)的訪問(wèn)，難以實(shí)現(xiàn)按用戶的身份分配相應(yīng)的權(quán)限等等。

三層架構(gòu)網(wǎng)絡(luò)能否實(shí)現(xiàn)雙棧升級(jí)，取決于老的核心設(shè)備是否能夠通過(guò)軟件升級(jí)支持雙棧。如果不能，則需要置換支持雙棧的新核心設(shè)備。匯聚層和接入層使用原有的普通IPv4交換機(jī)即可，核心層負(fù)責(zé)處理所有的IPv6三層功能。

1.4 扁平化架構(gòu)校園網(wǎng)的雙棧升級(jí)

扁平化的網(wǎng)絡(luò)是在運(yùn)營(yíng)商網(wǎng)絡(luò)發(fā)展的經(jīng)驗(yàn)基礎(chǔ)上產(chǎn)生的，由業(yè)務(wù)控制層與用戶接入層組成。其中業(yè)務(wù)控制層成為核心，承擔(dān)用戶接入認(rèn)證，IPv4/IPv6雙棧轉(zhuǎn)發(fā)、邏輯控制等復(fù)雜功能。而傳統(tǒng)三層結(jié)構(gòu)中的匯聚與接入層合并為用戶接入層，僅保留用戶接入與VLAN隔離功能。

扁平化減少的不是物理層的數(shù)量，而是網(wǎng)絡(luò)邏輯層的數(shù)量，它提高了網(wǎng)絡(luò)通信的效率，還有利于擴(kuò)展。扁平化的網(wǎng)絡(luò)架構(gòu)中，功能強(qiáng)大的核心設(shè)備直接負(fù)責(zé)對(duì)用戶和業(yè)務(wù)的管理，既有利于新業(yè)務(wù)的部署，又有利于新功能的增加。核心設(shè)備具備的高性能、高可靠性、高穩(wěn)定性等優(yōu)勢(shì)，保障了其能夠?yàn)橛脩籼峁└涌煽康姆?wù)。同時(shí)，在扁平化的網(wǎng)絡(luò)架構(gòu)下，用戶接入層僅需提供二層的功能，因此會(huì)更變得更加穩(wěn)定和利于維護(hù)，還能夠降低投資。

“集中化智能，簡(jiǎn)單化邊緣”是扁平化網(wǎng)絡(luò)架構(gòu)的特性，業(yè)務(wù)控制層集中處理所有的業(yè)務(wù)，用戶接入層只需完成VLAN 隔離和用戶接入，在扁平化的網(wǎng)絡(luò)架構(gòu)中，核心能夠直接控制如動(dòng)態(tài)邏輯接口、業(yè)務(wù)、用戶等要素，從而為精細(xì)化網(wǎng)絡(luò)管理的實(shí)現(xiàn)奠定了基礎(chǔ)。

基于以上的優(yōu)勢(shì)，目前扁平化網(wǎng)絡(luò)已經(jīng)成為高校網(wǎng)的主流架構(gòu)。原先的三層網(wǎng)絡(luò)核心普遍迭代升級(jí)為BRAS，代表產(chǎn)品為Juniper Mx960，并且由于BRAS可以提供IPv4/IPv6雙棧的終結(jié)和控制功能，從而在硬件層面支持了純IPv4網(wǎng)絡(luò)向IPv4/IPv6雙棧網(wǎng)絡(luò)升級(jí)，下文中討論的雙棧網(wǎng)絡(luò)均指扁平化的雙棧網(wǎng)絡(luò)。

2 IPv4/IPv6雙棧校園網(wǎng)面臨的安全挑戰(zhàn)

目前，以互聯(lián)網(wǎng)為代表的信息技術(shù)正深刻改變著各個(gè)領(lǐng)域，有力推動(dòng)著經(jīng)濟(jì)社會(huì)發(fā)展。與此同時(shí)，網(wǎng)絡(luò)空間的威脅和風(fēng)險(xiǎn)也在逐步滲透。尤其近年來(lái)，網(wǎng)絡(luò)安全問(wèn)題日益突出。

IPv4/IPv6雙棧網(wǎng)絡(luò)雖然是過(guò)渡時(shí)期的選擇，但其安全防護(hù)體系仍需符合信息安全保障體系的要求。由于IPv4/IPv6雙棧網(wǎng)絡(luò)改造主要影響網(wǎng)絡(luò)及應(yīng)用，因此主要從網(wǎng)絡(luò)安全及應(yīng)用安全等層面設(shè)計(jì)并實(shí)施信息安全防護(hù)的策略、措施和技術(shù)手段以適配雙棧協(xié)議的安全需求，全面開(kāi)啟雙協(xié)議棧，來(lái)承載雙棧流量和防護(hù)，確保升級(jí)改造后的安全防護(hù)能力仍然達(dá)到國(guó)家信息安全等級(jí)保護(hù)要求。

高校的網(wǎng)絡(luò)安全事關(guān)國(guó)家安全、事關(guān)教育事業(yè)改革發(fā)展、事關(guān)廣大師生切身利益。因此，作為擁有重要信息系統(tǒng)的高校行業(yè)，必須要符合《網(wǎng)絡(luò)安全法》第二十一條和第二十四條的規(guī)定，同時(shí)也要滿足國(guó)家信息安全等級(jí)保護(hù)制度的合規(guī)性要求。其中，最需要優(yōu)先解決的就是IPv6用戶的身份識(shí)別及安全溯源問(wèn)題。

3 IPv4/IPv6雙棧校園網(wǎng)中的身份認(rèn)證需求

身份認(rèn)證是網(wǎng)絡(luò)安全中極其重要的環(huán)節(jié)，可以說(shuō)它構(gòu)成了其他安全機(jī)制的基礎(chǔ)。只有有效的用戶身份得到確認(rèn),繼而才能開(kāi)展包括訪問(wèn)控制、入侵檢測(cè)、安全審計(jì)等其他安全措施。隨著網(wǎng)上選課、辦公自動(dòng)化、校內(nèi)一卡通、網(wǎng)上繳費(fèi)等業(yè)務(wù)的陸續(xù)上線，必須杜絕用戶賬號(hào)被盜用的事件發(fā)生,一旦用戶對(duì)使用校園網(wǎng)進(jìn)行教學(xué)和支付缺乏安全感，勢(shì)必會(huì)造成數(shù)字化校園業(yè)務(wù)系統(tǒng)難以推廣和向縱深發(fā)展。因此只有找到直接、安全、準(zhǔn)確的身份認(rèn)證方法才能夠解除用戶的后顧之憂。

校園網(wǎng)中的用戶包括教職工、學(xué)生、機(jī)房、臨時(shí)用工人員、訪客等多種身份，這些用戶對(duì)校園網(wǎng)的使用權(quán)限有著顯著的差異，身份認(rèn)證的安全需求也就各有不同。例如：在辦公區(qū)使用校園網(wǎng)絡(luò)時(shí)，通常允許教職員工24小時(shí)在線，然而學(xué)生原則上超過(guò)23點(diǎn)后就不能上互聯(lián)網(wǎng)；在學(xué)生宿舍，學(xué)生只能使用已申請(qǐng)的運(yùn)營(yíng)商出口，按相應(yīng)的運(yùn)營(yíng)商套餐提供上網(wǎng)服務(wù)，但查寢的輔導(dǎo)員則可以使用教職工的身份，使用校園網(wǎng)帶寬。用戶身份、接入時(shí)間、接入地點(diǎn)構(gòu)成了多元的組合，校園網(wǎng)必須及時(shí)、準(zhǔn)確地為其匹配相應(yīng)的上網(wǎng)策略，使得不同身份角色在校園網(wǎng)中的權(quán)限得以完整體現(xiàn)。

4 IPv6/IPv4雙棧校園網(wǎng)統(tǒng)一身份認(rèn)證方法的實(shí)現(xiàn)

4.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

從外到內(nèi)由防火墻、BRAS、匯聚層交換機(jī)、接入層交換機(jī)、接入認(rèn)證管理系統(tǒng)五部分構(gòu)成，如圖1所示。

組網(wǎng)上，兩臺(tái)BRAS路由器采用串接方式虛擬化部署，分別通過(guò)萬(wàn)兆接口連接上下游的防火墻和匯聚交換機(jī)，接入認(rèn)證管理系統(tǒng)采用旁路方式部署。

防火墻負(fù)責(zé)對(duì)接各運(yùn)營(yíng)商出口鏈路，并為校內(nèi)用戶訪問(wèn)互聯(lián)網(wǎng)提供NAT地址轉(zhuǎn)換，以及對(duì)校園網(wǎng)邊界的安全防護(hù)。

兩臺(tái)BRAS（JuniperMX960）路由器作為核心，它支持多種認(rèn)證方式，并具備IPV6接入認(rèn)證功能，能夠支持有線以太網(wǎng)接入和無(wú)線WLAN接入等。BRAS負(fù)責(zé)用戶接入，終結(jié)QinQ，給用戶分配地址、下發(fā)訪問(wèn)策略，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)到Radius服務(wù)器。

自建一套接入認(rèn)證管理系統(tǒng)，它主要包含Radius服務(wù)器、Portal服務(wù)器、D-NAT服務(wù)器等，負(fù)責(zé)用戶信息的收集和整理，生成報(bào)表，用戶計(jì)費(fèi)，同時(shí)根據(jù)用戶登錄信息，通知BRAS下發(fā)對(duì)應(yīng)的訪問(wèn)策略。

匯聚層交換機(jī)負(fù)責(zé)外層vlan標(biāo)簽，進(jìn)行vlan擴(kuò)展，同時(shí)匯聚端口，將接入交換機(jī)的多個(gè)千兆接口，匯聚成1-2個(gè)萬(wàn)兆端口，與BRAS互連。

接入層交換機(jī)負(fù)責(zé)通過(guò)每端口1個(gè)vlan的方式進(jìn)行用戶隔離，保證不同端口下的用戶在不同的廣播域內(nèi)，避免1個(gè)端口產(chǎn)生的ARP攻擊、廣播風(fēng)暴影響接入交換機(jī)上的所有用戶。

圖1 網(wǎng)絡(luò)架構(gòu)

4.2 認(rèn)證方案概述

有線、無(wú)線用戶統(tǒng)一采用IPoE方式進(jìn)行接入，首先用戶會(huì)被添加guest身份，獲取到一對(duì)IPv6/IPv4地址，Radius服務(wù)器將該雙棧地址與Session-ID、Demux用戶動(dòng)態(tài)接口進(jìn)行映射，并下發(fā)限權(quán)策略給guest用戶，使其僅能訪問(wèn)內(nèi)網(wǎng)中特定的極少量資源；其次，當(dāng)用戶繼續(xù)訪問(wèn)任意一個(gè)IPv4（或IPv6）Internet網(wǎng)頁(yè)時(shí)，將被D-NAT服務(wù)器重定向到portal頁(yè)面上，用戶需要在portal頁(yè)面上輸入用戶名和口令，當(dāng)認(rèn)證成功后，Radius服務(wù)器即可正確識(shí)別出用戶的真實(shí)身份（教職工、學(xué)生、機(jī)房、臨時(shí)用工人員、訪客）并反饋給BRAS，最后BRAS重新下發(fā)策略，調(diào)用定義好的授權(quán)用戶訪問(wèn)策略，同時(shí)對(duì)用戶的Demux端口進(jìn)行控制，開(kāi)放用戶訪問(wèn)Internet的權(quán)限。

4.3 認(rèn)證系統(tǒng)構(gòu)建

4.3.1 雙棧統(tǒng)一DHCP服務(wù)器

雙棧用戶是通過(guò)DHCP服務(wù)器獲得雙棧IP地址的，因此我們首先要將DHCP4和DHCP6服務(wù)器同時(shí)設(shè)置在BRAS（MX960）本地，再定義好其向用戶分發(fā)的IPv4和IPv6地址池，并分別命名為poolDHCPv4和poolDHCPv6，代碼示例：

接著在BRAS上面創(chuàng)建一個(gè)雙棧復(fù)用DHCPserver，目的是讓其在分配IPv6/IPv4地址的同時(shí)，只產(chǎn)生唯一的一個(gè)Session-ID，此Session-ID與BRAS后期分配的Demux用戶動(dòng)態(tài)接口，共同構(gòu)成了任一雙棧用戶身份的唯一標(biāo)識(shí)符。代碼示例：

4.3.2 接入認(rèn)證管理系統(tǒng)

自建一套接入認(rèn)證管理系統(tǒng)，主要由Radius服務(wù)器、D-NAT服務(wù)器、Portal服務(wù)器、管理平臺(tái)服務(wù)器等組成。

（1）認(rèn)證用戶數(shù)據(jù)源分本地?cái)?shù)據(jù)服務(wù)和外部LDAP兩種，先完成Radius與LDAP的對(duì)接。當(dāng)臨時(shí)用工人員和訪客請(qǐng)求身份認(rèn)證時(shí)，在Radius本地即可進(jìn)行；而教職工、學(xué)生、機(jī)房這幾種身份認(rèn)證則需要將用戶名和密碼發(fā)到外部LDAP進(jìn)行驗(yàn)證。

（2）在管理平臺(tái)上為不同身份用戶創(chuàng)建相應(yīng)的認(rèn)證域。如學(xué)生可根據(jù)所處位置選擇學(xué)生域，宿舍域、機(jī)房域；教職工可選擇教職工域、機(jī)房域。

（3）在設(shè)備策略中為不同身份的用戶配置相應(yīng)策略，以控制其對(duì)網(wǎng)絡(luò)的合理訪問(wèn)。每種身份需對(duì)應(yīng)至少4條策略：DHCP階段下發(fā)的IPv4、IPv6策略；認(rèn)證階段下發(fā)的IPv4、IPv6策略。

（4）D-NAT服務(wù)器負(fù)責(zé)將用戶訪問(wèn)Internet的目標(biāo)IP改變?yōu)镻ortal服務(wù)器的IP。

（5）Portal服務(wù)器負(fù)責(zé)定義好認(rèn)證前后推送給用戶的交互界面。

4.3.2雙棧用戶獲取內(nèi)網(wǎng)權(quán)限的過(guò)程

雙棧用戶、BRAS（集成了DHCP4和DHCP6本地服務(wù)器）與Radius服務(wù)器的交互流程如圖2所示。

圖2 雙棧用戶獲取內(nèi)網(wǎng)權(quán)限的過(guò)程

（1）雙棧客戶端向DHCPv4 服務(wù)器發(fā)送discover 報(bào)文，向DHCPv6 服務(wù)器發(fā)送Solicit 報(bào)文，請(qǐng)求為其分配IPv4和IPv6地址和網(wǎng)絡(luò)配置參數(shù)。

（2）BRAS將此雙?？蛻舳说腟ession-ID（會(huì)話號(hào)）、缺省用戶身份guest，缺省密碼guest送Radius認(rèn)證服務(wù)器驗(yàn)證。

（3）Radius認(rèn)證服務(wù)器授權(quán)給這個(gè)guest用戶有限的內(nèi)網(wǎng)權(quán)限，使其獲得IPv4用戶的進(jìn)方向策略pbr，出方向策略1M；IPv6用戶的進(jìn)方向策略pbrv6，出方向策略1Mv6。

（4）BRAS（集成了DHCP4和DHCP6本地服務(wù)器）為雙?？蛻舴峙銲Pv4及IPv6地址，Demux用戶動(dòng)態(tài)接口，并將上述4個(gè)策略匹配這個(gè)Demux用戶動(dòng)態(tài)接口。

（5）Session-ID（會(huì)話號(hào)）和用戶雙棧IP進(jìn)行綁定，計(jì)費(fèi)報(bào)文開(kāi)始生產(chǎn)在線記錄。

（6）在Radius認(rèn)證服務(wù)器上產(chǎn)生映射表，添加這個(gè)guest用戶的雙棧IP地址、Session-ID、Demux用戶動(dòng)態(tài)接口號(hào)等信息。

4.3.3 雙棧用戶獲取外網(wǎng)權(quán)限的過(guò)程

雙棧用戶、BRAS與D-NAT（目的NAT）、Radius（集成了Portal）服務(wù)器的交互流程如圖3所示。

圖3 雙棧用戶獲取外網(wǎng)權(quán)限的過(guò)程

（1）獲有限內(nèi)網(wǎng)授權(quán)的用戶請(qǐng)求訪問(wèn)一個(gè)IPv4（或IPv6）Internet網(wǎng)頁(yè)。

（2）BRAS將用戶請(qǐng)求傳遞給目的NAT服務(wù)器。

（3）目的NAT服務(wù)器將用戶訪問(wèn)目標(biāo)IP改變?yōu)镻ortal服務(wù)器的IP。

（4）Portal服務(wù)器將認(rèn)證頁(yè)面推送到用戶瀏覽器。

（5）用戶將用戶名及密碼送至Radius服務(wù)器進(jìn)行驗(yàn)證。如果認(rèn)證通過(guò)，Radius服務(wù)器登記IP地址、Session-ID，上線時(shí)間。

（6）Radius服務(wù)器通知BRAS，認(rèn)證通過(guò)的Session-ID要依據(jù)其身份（教職工、學(xué)生、機(jī)房、臨時(shí)用工人員、訪客）變更為相應(yīng)的雙棧訪問(wèn)策略。

（7）BRAS對(duì)相應(yīng)的Demux用戶動(dòng)態(tài)接口進(jìn)行策略改變。

（8）BRAS通知Radius服務(wù)器已完成策略改變。

（9）授權(quán)用戶被允許按照相應(yīng)身份（教職工、學(xué)生、機(jī)房、臨時(shí)用工人員、訪客）雙棧策略訪問(wèn)Internet。

4.3.4 實(shí)現(xiàn)與評(píng)估

具體實(shí)驗(yàn)中使用到的主要硬件設(shè)備包括：防火墻—山石網(wǎng)科（SG-6000），核心BRAS000到的主要硬件設(shè)備包括：，匯聚—華為12708，自建接入認(rèn)證系統(tǒng)一套（含Radius，D-NAT，Portal、管理平臺(tái)），雙棧復(fù)用DHCPserver服務(wù)器（BRAS本地集成）。

無(wú)論上網(wǎng)用戶是有線還是無(wú)線、持有的是何種類型終端，操作系統(tǒng)是何種版本，訪問(wèn)的是IPv4網(wǎng)頁(yè)或IPv6網(wǎng)頁(yè)，都可以全兼容、無(wú)條件的完成認(rèn)證過(guò)程，因此是一種真正意義上的統(tǒng)一身份認(rèn)證。

實(shí)驗(yàn)時(shí)間在1年以上，每日平均在線設(shè)備數(shù)16000，認(rèn)證次數(shù)3萬(wàn)次，用戶填入正確認(rèn)證域、用戶名、密碼前提下認(rèn)證成功率100%。

5 雙棧校園網(wǎng)實(shí)現(xiàn)安全溯源

經(jīng)過(guò)認(rèn)證系統(tǒng)對(duì)用戶賬號(hào)進(jìn)行校驗(yàn)，并依據(jù)用戶身份查找匹配到新的授權(quán)認(rèn)證策略，Radius 服務(wù)器可將 IPv4和IPv6認(rèn)證后的策略規(guī)則同時(shí)下發(fā)至用戶終端。同時(shí)開(kāi)始授權(quán)用戶上線時(shí)間登記。此后，該授權(quán)用戶的所有上互聯(lián)網(wǎng)的行為，都百分百雙向經(jīng)過(guò)出口防火墻。只要出口防火墻及日志審計(jì)系統(tǒng)支持雙棧，那么，用戶的所有雙棧在線行為都將被逐條記錄在案。通過(guò)日志審計(jì)系統(tǒng)、Radius 服務(wù)器、出口防火墻三者進(jìn)行網(wǎng)絡(luò)對(duì)接后，就能夠?qū)崿F(xiàn)上網(wǎng)用戶的實(shí)名制以及對(duì)上網(wǎng)日志進(jìn)行統(tǒng)一、有效的留存、監(jiān)管和挖掘，并能通過(guò)用戶名、訪問(wèn)時(shí)間、用戶轉(zhuǎn)換前后的IP地址、用戶MAC地址、用戶訪問(wèn)的URL地址等信息進(jìn)行快速查詢定位，形成一鍵溯源的整體解決方案，全面覆蓋所有監(jiān)管需要的字段，確保任何一個(gè)人、在校內(nèi)任何一個(gè)地方、任何時(shí)間、訪問(wèn)任何IPv4或IPv6資源都可以得到記錄、審計(jì)、溯源，不折不扣地滿足《網(wǎng)絡(luò)安全法》和國(guó)家信息安全等級(jí)保護(hù)制度的合規(guī)性要求。IPv6溯源記錄如圖4所示。

圖4 IPv6溯源記錄

6 結(jié)束語(yǔ)

本文提出了一種全新的BRAS+IPoE+Protal雙棧統(tǒng)一身份認(rèn)證解決方案。當(dāng)校園網(wǎng)雙棧有線、無(wú)線用戶打開(kāi)任意一個(gè)外網(wǎng)IPv6或者IPv4網(wǎng)頁(yè)，重定向至Portal頁(yè)面，只需認(rèn)證一次，即可獲得IPv6、IPv4雙棧授權(quán)，這一方案是雙棧校園網(wǎng)理想化的身份認(rèn)證模式，可以在確保安全的前提下帶給上網(wǎng)用戶極佳的認(rèn)證體驗(yàn)，同時(shí)解決了安全溯源的需求。IPv6安全目前還屬于新生事物，尚存在很多的監(jiān)管盲區(qū)，在國(guó)家大力推動(dòng)下一代互聯(lián)網(wǎng)發(fā)展的今天，IPv6安全一定要奮起直追，爭(zhēng)取早日和IPv4安全一起形成雙輪驅(qū)動(dòng)，兩翼齊飛，為國(guó)家信息化建設(shè)的宏圖偉業(yè)保駕護(hù)航。