蔡鐘鳴

摘要：該文提出一種基于Web認證的用戶無感知熱備切換方案，用以解決VRRP組熱備切換后，已認證用戶需經過再次認證以及大量用戶同時認證給認證設備造成相應的性能影響的問題，提高Web認證穩(wěn)定性和可靠性。

關鍵詞：web認證；vRRp；熱備切換；無感知

1概述

目前，隨著互聯(lián)網技術的迅猛發(fā)展，網絡安全已經成為一個全球性的問題。從目前市場應用來看，對訪問網絡的用戶進行身份認證已成為了保障網絡安全的重要手段。因此，安全、有效、便捷的接人認證技術成為了近年的研究熱點。目前，主要的接入認證方式有PPPoE、IEEE 802.1x和Web認證。其中，Web認證以其無需用戶安裝任何認證軟件的優(yōu)點，得到了越來越廣泛的應用。同時隨著移動互聯(lián)網的興起，組網中的用戶量與日俱增，如何保證在大量認證用戶下Web認證的可靠性和穩(wěn)定性成為了業(yè)界亟待解決的問題。

當前主流熱備組網中，備機僅通過VRRP進行鏈路備份，當主機發(fā)生故障時，能在無需修改動態(tài)路由協(xié)議、路由發(fā)現(xiàn)協(xié)議等配置信息的情況下保持鏈路暢通。但在接人認證場景中，用戶認證成功后需要在認證設備上設置相應用戶權限以放行用戶的報文，而備機上并沒有設置相應的權限信息。因此，在主機出現(xiàn)故障后，已認證用戶通過備機進行網絡訪問時，會出現(xiàn)不得不進行再次認證的情況。當已認證用戶數(shù)量在幾萬個甚至十萬以上時，短時間大量用戶同時重定向很容易給設備造成極大負擔。

因此，在Web認證熱備組網的環(huán)境下，如何保證在主備切換時，已認證用戶能夠無需再次認證以及批量同時認證造成的性能瓶頸是當前亟待解決的重要問題。

2已認證用戶無感知熱備切換技術

鑒于以上所述現(xiàn)有技術的缺陷，本文提出一種基于Web認證的已認證用戶無感知熱備切換方案，用以解決熱備切換后導致所有已認證用戶掉線，需要重新認證以及相應產生的性能問題。

2.1已認證用戶無感知熱備切換技術原理

由兩臺認證設備間建立2個VRRP組，兩臺設備互為主備關系，提高網絡穩(wěn)定性。該技術原理的核心在于：在每個VRRP上建立熱備通道，主機通過熱備通道將用戶信息備份到備機Web認證模塊中。由于備機上備份信息的存在，當發(fā)生VRRP主備切換時，已認證用戶能夠直接在原備機上線，相應流量能夠通過原備機轉發(fā)出去，不需要用戶再次認證，避免給認證設備造成負擔。信息熱備分為實時熱備和批量熱備兩種方式，實時熱備是用戶認證上下線時的信息熱備，批量熱備是主備斷開重新連上等情況下的熱備。

2.2實時通告熱備流程

當用戶認證上下線時，用戶認證信息變化由主機通過實時熱備同步給備機。當用戶認證成功后，主機向備機的Web認證模塊同步該用戶信息，備機將該用戶的狀態(tài)信息STATUS置為backup。此時備機并不向下層模塊下發(fā)用戶信息，以避免主機大量用戶上下線時各下層模塊頻繁地、不必要地更新信息，統(tǒng)一在備機切換成主機時下發(fā)。用戶認證上線實時熱備流程如圖1所示。

當用戶下線成功后，主機刪除相應用戶信息，并同時通告?zhèn)錂C刪除該用戶信息。用戶認證下線實時熱備流程如圖2所示。

2.3批量通告熱備流程

當VRRP組熱備切換或斷開重新建立熱備組時，主備機通過批量熱備通告認證用戶信息。原主機切換為備機后，將本機相應認證用戶狀態(tài)由在線變?yōu)閭浞轄顟B(tài)，原備機切換為主機后，將原先狀態(tài)為備份的用戶切換成在線，并向底層模塊下發(fā)相應用戶信息，以放行該用戶報文。批量通告熱備流程如圖3所示。

2.4熱備切換流程

VRRP主備機進行熱備切換后，已在線用戶在原先備設備直接上線，由于此時原備設備還未下發(fā)用戶表項，因此在轉為VRRP主設備后，還需要放行本VRRP的虛網關MAC地址（源和目的），用于放行原主設備備份過來的用戶表項，此時有一段時間網關在此VRRP上的用戶可以直接使用網絡資源。當切換后的主設備上的VRRP備份用戶表項全部安裝完畢后，會刪除VRRP的虛網關MAC直通，此時在此VRRP網關轉發(fā)的報文需要經過認證。熱備切換流程如圖4所示。

3性能仿真測試分析

本方案與無VRRP組用戶信息熱備方案的對比性能仿真測試結果如下：

使用TestCenter測試儀模擬測試5萬認證用戶在線時，無熱備通道備份方案下進行VRRP切換，圖5中可以看到斷流大約40秒，直到5萬認證用戶重新認證完畢后，才可訪問外網，流量全部打通。

認證設備CPU如圖6所示，處于較高的水平。

相同測試條件下，本方案的仿真測試情況如圖7，圖8所示，VRRP組進行熱備切換時不斷流，用戶可以直接訪問網絡無需再次認證，且認證設備CPU保持在較低水平。

4結束語

綜上所述，本文提出的認證用戶無感知熱備切換方案，能夠在VRRP主設備出現(xiàn)故障，需主備進行熱備切換時，使已在線用戶在原先備設備無需經過再次認證直接上線，達到用戶無感知熱備切換的目的，并且減少切換過程對認證設備的CPU性能影響。最終達到提高Web認證穩(wěn)定性和可靠性的目的。