彭治湘

（湖南廣播電視大學(xué)，湖南網(wǎng)絡(luò)工程職業(yè)學(xué)院，長沙410004）

0 引言

本文在雙棧網(wǎng)絡(luò)環(huán)境下，展開IPoE無感知認(rèn)證技術(shù)研究，融合網(wǎng)絡(luò)行為審計系統(tǒng)，提出基于IPoE的雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)架構(gòu)并基于華為eNSP網(wǎng)絡(luò)仿真平臺實施仿真實驗，最后成功將仿真實驗配置遷移至實際工程項目，結(jié)果表該技術(shù)可以安全快速地實現(xiàn)雙棧網(wǎng)絡(luò)用戶接入。

1 基于IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)研究

1.1 IPoE認(rèn)證技術(shù)

IPoE是將DHCP（Dynamic Host Configuration Proto?col，動態(tài)主機(jī)配置協(xié)議）和RADIUS（Remote Authenti?cation Dial In User Service，遠(yuǎn)程用戶撥號認(rèn)證協(xié)議）相結(jié)合[1-2]，利用DHCP的多種option選項攜帶用戶認(rèn)證信息，通過BRAS（Broadband Remote Access Server寬帶接入服務(wù)器）等接入設(shè)備中轉(zhuǎn)，實現(xiàn)與RADIUS服務(wù)器交互，最終完成用戶認(rèn)證、授權(quán)和計費(fèi)的一種接入認(rèn)證技術(shù)[3-5]，且能夠支持IPv4和IPv6雙棧網(wǎng)絡(luò)用戶接入認(rèn)證。

1.2 IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)原理

傳統(tǒng)的IPoE認(rèn)證是基于用戶終端MAC可信和DHCP可靠基礎(chǔ)之上實現(xiàn)的接入認(rèn)證，在實踐環(huán)境中MAC地址可能存在偽造，option82信息可能存在篡改，DHCP系統(tǒng)負(fù)載高[6-9]，因此需要在傳統(tǒng)IPoE認(rèn)證基礎(chǔ)之上進(jìn)行改進(jìn)。如圖1所示，在IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技架構(gòu)中，DHCP服務(wù)器僅負(fù)責(zé)分配IP地址、網(wǎng)關(guān)和DNS等參數(shù)，引入Portal認(rèn)證機(jī)制和MAC地址綁定表實現(xiàn)以用戶名、終端MAC等元素共同標(biāo)識用戶和無感知認(rèn)證，并與網(wǎng)絡(luò)行為審計系統(tǒng)聯(lián)動實現(xiàn)基于用戶的流量精準(zhǔn)控制和互聯(lián)網(wǎng)行為管理。

圖1 IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證基本架構(gòu)

IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)原理：用戶首次上線被置于MAC認(rèn)證域，后因無法完成MAC認(rèn)證被置于IPoE認(rèn)證前域，由于處于IPoE認(rèn)證前域的用戶無法進(jìn)行業(yè)務(wù)訪問，BRAS接收到用戶業(yè)務(wù)流量將強(qiáng)制用戶重定向至Portal服務(wù)器進(jìn)行Web認(rèn)證，用戶在Portal Web認(rèn)證頁面輸入用戶名和密碼并提交，Portal服務(wù)器收到用戶認(rèn)證信息后轉(zhuǎn)發(fā)給BRAS，BRAS根據(jù)用戶所屬域選擇對應(yīng)的RADIUS認(rèn)證方案，將用戶認(rèn)證信息轉(zhuǎn)發(fā)至RADIUS服務(wù)器，最后由RADIUS服務(wù)器完成用戶認(rèn)證，若認(rèn)證成功RADIUS下發(fā)用戶的業(yè)務(wù)授權(quán)和QoS策略并在后臺生成用戶終端MAC地址信息綁定表項，BRAS收到BRAS轉(zhuǎn)發(fā)的認(rèn)證成功信息，則將用戶至于IPoE認(rèn)證后域并按照授權(quán)策略放行用戶業(yè)務(wù)流量。

當(dāng)用戶下線后再次上線，處在MAC認(rèn)證域的用戶發(fā)出業(yè)務(wù)流量，BRAS直接使用終端MAC地址作為用戶名向RADIUS服務(wù)器發(fā)起認(rèn)證，RADIUS服務(wù)器后臺查詢終端MAC地址綁定表，若存在該終端MAC地址記錄則認(rèn)證通過，RADIUS返回認(rèn)證成功消息，指導(dǎo)BRAS將用戶置于IPoE認(rèn)證后域并放行業(yè)務(wù)流量，此時用戶無需再次輸入用戶名和密碼即可以實現(xiàn)無感知認(rèn)證。

1.3 基于IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)工作流程

如圖2所示，雙棧網(wǎng)絡(luò)環(huán)境下IPoE認(rèn)證用戶首次認(rèn)證流程：

（1）用戶發(fā)出上線請求（DHCP DISCOVER），BRAS將用戶至于MAC認(rèn)證域；

（2）BRAS以用戶終端MAC地址為用戶名向RA?DIUS服務(wù)器發(fā)起認(rèn)證請求；

（3）RADIUS服務(wù)器提取用戶MAC并后臺匹配MAC地址綁定表，由于用戶初次認(rèn)證，用戶終端MAC不存在對應(yīng)表項，因此MAC認(rèn)證失?。?/p>

（4）RADIUS反饋用戶認(rèn)證失敗信息至BRAS；

（5）BRAS將用戶置于IPoE認(rèn)證前域并為用戶終端分配該域?qū)?yīng)IP地址；

（6）用戶發(fā)起HTTP業(yè)務(wù)請求，BRAS將請求重定向至Portal服務(wù)器；

（7）Portal服務(wù)器將Web認(rèn)證頁面推送至用戶；

（8）用戶輸入用戶名和密碼并提交；

（9）Portal服務(wù)器將用戶認(rèn)證信息封裝在Portal報文中發(fā)送BRAS；

（10）BRAS提取用戶認(rèn)證信息并封裝至RADIUS報文中，將RADIUS認(rèn)證消息發(fā)送至RADIUS服務(wù)器；

（11）RADIUS服務(wù)器提取用戶認(rèn)證信息完成認(rèn)證，若認(rèn)證成功則生成終端MAC地址綁定表；

（12）RADIUS返回用戶認(rèn)證成功消息至BRAS并向BRAS下發(fā)用戶授權(quán)策略和QoS策略；

（13）BRAS將用戶認(rèn)證成功消息反饋至Portal；

（14）Portal通知用戶認(rèn)證成功；

（15）用戶發(fā)起業(yè)務(wù)交互；

（16）BRAS通知RADIUS服務(wù)器開始計費(fèi)；

（17）RADIUS服務(wù)器通知網(wǎng)絡(luò)行為管理系統(tǒng)用戶上線，網(wǎng)絡(luò)行為管理系統(tǒng)根據(jù)管理員預(yù)配置策略控制用戶流量和管理用戶互聯(lián)網(wǎng)行為。

圖2 基于IPoE雙棧網(wǎng)絡(luò)用戶首次認(rèn)證流程

圖3 基于IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證工作流程

如圖3所示，雙棧網(wǎng)絡(luò)環(huán)境下IPoE無感知認(rèn)證流程：

（1）用戶發(fā)出上線請求（DHCP DISCOVER），BRAS將用戶至于MAC認(rèn)證域；

（2）BRAS以用戶終端MAC地址為用戶名向RA?DIUS服務(wù)器發(fā)起認(rèn)證請求；

（3）RADIUS服務(wù)器提取用戶MAC并后臺匹配MAC地址綁定表，由于用戶上線認(rèn)證過，用戶終端MAC存在對應(yīng)表項，因此MAC認(rèn)證成功；

（4）RADIUS返回用戶認(rèn)證成功消息至BRAS并向BRAS下發(fā)用戶授權(quán)策略和QoS策略；

（5）DHCP為用戶終端分配MAC認(rèn)證域?qū)?yīng)IP地址；

（6）用戶發(fā)起業(yè)務(wù)交互；

（7）BRAS通知RADIUS服務(wù)器開始計費(fèi)；

（8）RADIUS服務(wù)器通知網(wǎng)絡(luò)行為管理系統(tǒng)用戶上線，網(wǎng)絡(luò)行為管理系統(tǒng)根據(jù)管理員預(yù)配置策略控制用戶流量和管理用戶互聯(lián)網(wǎng)行為。

2 基于IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)的仿真實驗

2.1 實驗拓?fù)湟?guī)劃與設(shè)計

如圖4所示，BRAS和無線控制器（Wireless Ac?cess Point Controller AC）旁掛在核心交換層，BRAS啟用DHCP服務(wù)器功能，Portal服務(wù)器和RADIUS服務(wù)器部署在私有云中，網(wǎng)絡(luò)行為管理系統(tǒng)串接在園區(qū)骨干鏈路中，對用戶流量和互聯(lián)網(wǎng)行為實施管理和控制，對威脅流量實時阻斷。關(guān)鍵設(shè)備BRAS、AC、核心層交換機(jī)、網(wǎng)絡(luò)行為管理系統(tǒng)、出口防火墻需要支持雙棧網(wǎng)絡(luò)技術(shù)。

圖4 基于IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)應(yīng)用拓?fù)鋱D

內(nèi)網(wǎng)接入用戶通過大二層網(wǎng)絡(luò)將業(yè)務(wù)數(shù)據(jù)透明傳輸至BRAS，用戶首次上線被置于MAC認(rèn)證域，觸發(fā)Web認(rèn)證，用戶在認(rèn)證頁面輸入用戶名和密碼，認(rèn)證成功則在RADIUS服務(wù)器生成MAC地址綁定表，BRAS根據(jù)RADIUS下發(fā)策略進(jìn)行用戶流量的轉(zhuǎn)發(fā)，在后續(xù)用戶上線過程中用戶通過MAC實現(xiàn)無感知快速認(rèn)證。

2.2 實驗仿真配置

實驗主要基于華為eNSP網(wǎng)絡(luò)仿真平臺，主機(jī)配置Intel Core i7-8700 CPU，內(nèi)存64G。在IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技術(shù)中關(guān)鍵配置集中在BRAS之上，限于篇幅下面僅將BRAS主要配置予以說明。

（1）配置IPoE認(rèn)證前域的ACL規(guī)則

（2）配置流量管理策略并在全局應(yīng)用策略

（3）配置IPoE認(rèn)證后域

（4）配置BRAS接口并配置MAC 認(rèn)證域、IPoE認(rèn)證后域及認(rèn)證方法

2.3 仿真實驗結(jié)果

如圖5所示，在完成IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證仿真實驗基礎(chǔ)之上，將配置遷移至物理環(huán)境觀察，后臺統(tǒng)計24小時用戶s上線情況，用戶能夠正常上線并訪問授權(quán)的服務(wù)且再次上線可以實現(xiàn)無感知認(rèn)證，用戶業(yè)務(wù)流量同步接受深信服網(wǎng)絡(luò)行為管理系統(tǒng)的有效控制和管理，應(yīng)用效果良好。

圖5 24小時用戶上線趨勢圖

3 結(jié)語

本文從傳統(tǒng)IPoE認(rèn)證技術(shù)原理切入，分析出傳統(tǒng)IPoE在雙棧網(wǎng)絡(luò)中應(yīng)用的不足，并提出了IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技架構(gòu)，詳細(xì)研究了該架構(gòu)原理和工作流程，結(jié)合實際需求基于華為eNSP平臺進(jìn)行實驗仿真，最后成功將仿真實驗配置遷移至實際工程應(yīng)用中。IPoE雙棧網(wǎng)絡(luò)無感知認(rèn)證技架構(gòu)能夠在確保用戶安全接入的基礎(chǔ)上，對用戶流量進(jìn)行精準(zhǔn)控制和互聯(lián)行為安全管理，未來可以在該架構(gòu)之上展開終端管控系統(tǒng)、終端安全策略服務(wù)等技術(shù)的融合研究，以期更好地推動安全雙棧網(wǎng)絡(luò)的建設(shè)。