彭治湘

（湖南廣播電視大學(xué)，湖南網(wǎng)絡(luò)工程職業(yè)學(xué)院，長(zhǎng)沙410004）

0 引言

本文在雙棧網(wǎng)絡(luò)環(huán)境下，展開IPoE無(wú)感知認(rèn)證技術(shù)研究，融合網(wǎng)絡(luò)行為審計(jì)系統(tǒng)，提出基于IPoE的雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)架構(gòu)并基于華為eNSP網(wǎng)絡(luò)仿真平臺(tái)實(shí)施仿真實(shí)驗(yàn)，最后成功將仿真實(shí)驗(yàn)配置遷移至實(shí)際工程項(xiàng)目，結(jié)果表該技術(shù)可以安全快速地實(shí)現(xiàn)雙棧網(wǎng)絡(luò)用戶接入。

1 基于IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)研究

1.1 IPoE認(rèn)證技術(shù)

IPoE是將DHCP（Dynamic Host Configuration Proto?col，動(dòng)態(tài)主機(jī)配置協(xié)議）和RADIUS（Remote Authenti?cation Dial In User Service，遠(yuǎn)程用戶撥號(hào)認(rèn)證協(xié)議）相結(jié)合[1-2]，利用DHCP的多種option選項(xiàng)攜帶用戶認(rèn)證信息，通過(guò)BRAS（Broadband Remote Access Server寬帶接入服務(wù)器）等接入設(shè)備中轉(zhuǎn)，實(shí)現(xiàn)與RADIUS服務(wù)器交互，最終完成用戶認(rèn)證、授權(quán)和計(jì)費(fèi)的一種接入認(rèn)證技術(shù)[3-5]，且能夠支持IPv4和IPv6雙棧網(wǎng)絡(luò)用戶接入認(rèn)證。

1.2 IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)原理

傳統(tǒng)的IPoE認(rèn)證是基于用戶終端MAC可信和DHCP可靠基礎(chǔ)之上實(shí)現(xiàn)的接入認(rèn)證，在實(shí)踐環(huán)境中MAC地址可能存在偽造，option82信息可能存在篡改，DHCP系統(tǒng)負(fù)載高[6-9]，因此需要在傳統(tǒng)IPoE認(rèn)證基礎(chǔ)之上進(jìn)行改進(jìn)。如圖1所示，在IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技架構(gòu)中，DHCP服務(wù)器僅負(fù)責(zé)分配IP地址、網(wǎng)關(guān)和DNS等參數(shù)，引入Portal認(rèn)證機(jī)制和MAC地址綁定表實(shí)現(xiàn)以用戶名、終端MAC等元素共同標(biāo)識(shí)用戶和無(wú)感知認(rèn)證，并與網(wǎng)絡(luò)行為審計(jì)系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)基于用戶的流量精準(zhǔn)控制和互聯(lián)網(wǎng)行為管理。

圖1 IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證基本架構(gòu)

IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)原理：用戶首次上線被置于MAC認(rèn)證域，后因無(wú)法完成MAC認(rèn)證被置于IPoE認(rèn)證前域，由于處于IPoE認(rèn)證前域的用戶無(wú)法進(jìn)行業(yè)務(wù)訪問(wèn)，BRAS接收到用戶業(yè)務(wù)流量將強(qiáng)制用戶重定向至Portal服務(wù)器進(jìn)行Web認(rèn)證，用戶在Portal Web認(rèn)證頁(yè)面輸入用戶名和密碼并提交，Portal服務(wù)器收到用戶認(rèn)證信息后轉(zhuǎn)發(fā)給BRAS，BRAS根據(jù)用戶所屬域選擇對(duì)應(yīng)的RADIUS認(rèn)證方案，將用戶認(rèn)證信息轉(zhuǎn)發(fā)至RADIUS服務(wù)器，最后由RADIUS服務(wù)器完成用戶認(rèn)證，若認(rèn)證成功RADIUS下發(fā)用戶的業(yè)務(wù)授權(quán)和QoS策略并在后臺(tái)生成用戶終端MAC地址信息綁定表項(xiàng)，BRAS收到BRAS轉(zhuǎn)發(fā)的認(rèn)證成功信息，則將用戶至于IPoE認(rèn)證后域并按照授權(quán)策略放行用戶業(yè)務(wù)流量。

當(dāng)用戶下線后再次上線，處在MAC認(rèn)證域的用戶發(fā)出業(yè)務(wù)流量，BRAS直接使用終端MAC地址作為用戶名向RADIUS服務(wù)器發(fā)起認(rèn)證，RADIUS服務(wù)器后臺(tái)查詢終端MAC地址綁定表，若存在該終端MAC地址記錄則認(rèn)證通過(guò)，RADIUS返回認(rèn)證成功消息，指導(dǎo)BRAS將用戶置于IPoE認(rèn)證后域并放行業(yè)務(wù)流量，此時(shí)用戶無(wú)需再次輸入用戶名和密碼即可以實(shí)現(xiàn)無(wú)感知認(rèn)證。

1.3 基于IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)工作流程

如圖2所示，雙棧網(wǎng)絡(luò)環(huán)境下IPoE認(rèn)證用戶首次認(rèn)證流程：

（1）用戶發(fā)出上線請(qǐng)求（DHCP DISCOVER），BRAS將用戶至于MAC認(rèn)證域；

（2）BRAS以用戶終端MAC地址為用戶名向RA?DIUS服務(wù)器發(fā)起認(rèn)證請(qǐng)求；

（3）RADIUS服務(wù)器提取用戶MAC并后臺(tái)匹配MAC地址綁定表，由于用戶初次認(rèn)證，用戶終端MAC不存在對(duì)應(yīng)表項(xiàng)，因此MAC認(rèn)證失??；

（4）RADIUS反饋用戶認(rèn)證失敗信息至BRAS；

（5）BRAS將用戶置于IPoE認(rèn)證前域并為用戶終端分配該域?qū)?yīng)IP地址；

（6）用戶發(fā)起HTTP業(yè)務(wù)請(qǐng)求，BRAS將請(qǐng)求重定向至Portal服務(wù)器；

（7）Portal服務(wù)器將Web認(rèn)證頁(yè)面推送至用戶；

（8）用戶輸入用戶名和密碼并提交；

（9）Portal服務(wù)器將用戶認(rèn)證信息封裝在Portal報(bào)文中發(fā)送BRAS；

（10）BRAS提取用戶認(rèn)證信息并封裝至RADIUS報(bào)文中，將RADIUS認(rèn)證消息發(fā)送至RADIUS服務(wù)器；

（11）RADIUS服務(wù)器提取用戶認(rèn)證信息完成認(rèn)證，若認(rèn)證成功則生成終端MAC地址綁定表；

（12）RADIUS返回用戶認(rèn)證成功消息至BRAS并向BRAS下發(fā)用戶授權(quán)策略和QoS策略；

（13）BRAS將用戶認(rèn)證成功消息反饋至Portal；

（14）Portal通知用戶認(rèn)證成功；

（15）用戶發(fā)起業(yè)務(wù)交互；

（16）BRAS通知RADIUS服務(wù)器開始計(jì)費(fèi)；

（17）RADIUS服務(wù)器通知網(wǎng)絡(luò)行為管理系統(tǒng)用戶上線，網(wǎng)絡(luò)行為管理系統(tǒng)根據(jù)管理員預(yù)配置策略控制用戶流量和管理用戶互聯(lián)網(wǎng)行為。

圖2 基于IPoE雙棧網(wǎng)絡(luò)用戶首次認(rèn)證流程

圖3 基于IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證工作流程

如圖3所示，雙棧網(wǎng)絡(luò)環(huán)境下IPoE無(wú)感知認(rèn)證流程：

（1）用戶發(fā)出上線請(qǐng)求（DHCP DISCOVER），BRAS將用戶至于MAC認(rèn)證域；

（2）BRAS以用戶終端MAC地址為用戶名向RA?DIUS服務(wù)器發(fā)起認(rèn)證請(qǐng)求；

（3）RADIUS服務(wù)器提取用戶MAC并后臺(tái)匹配MAC地址綁定表，由于用戶上線認(rèn)證過(guò)，用戶終端MAC存在對(duì)應(yīng)表項(xiàng)，因此MAC認(rèn)證成功；

（4）RADIUS返回用戶認(rèn)證成功消息至BRAS并向BRAS下發(fā)用戶授權(quán)策略和QoS策略；

（5）DHCP為用戶終端分配MAC認(rèn)證域?qū)?yīng)IP地址；

（6）用戶發(fā)起業(yè)務(wù)交互；

（7）BRAS通知RADIUS服務(wù)器開始計(jì)費(fèi)；

（8）RADIUS服務(wù)器通知網(wǎng)絡(luò)行為管理系統(tǒng)用戶上線，網(wǎng)絡(luò)行為管理系統(tǒng)根據(jù)管理員預(yù)配置策略控制用戶流量和管理用戶互聯(lián)網(wǎng)行為。

2 基于IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)的仿真實(shí)驗(yàn)

2.1 實(shí)驗(yàn)拓?fù)湟?guī)劃與設(shè)計(jì)

如圖4所示，BRAS和無(wú)線控制器（Wireless Ac?cess Point Controller AC）旁掛在核心交換層，BRAS啟用DHCP服務(wù)器功能，Portal服務(wù)器和RADIUS服務(wù)器部署在私有云中，網(wǎng)絡(luò)行為管理系統(tǒng)串接在園區(qū)骨干鏈路中，對(duì)用戶流量和互聯(lián)網(wǎng)行為實(shí)施管理和控制，對(duì)威脅流量實(shí)時(shí)阻斷。關(guān)鍵設(shè)備BRAS、AC、核心層交換機(jī)、網(wǎng)絡(luò)行為管理系統(tǒng)、出口防火墻需要支持雙棧網(wǎng)絡(luò)技術(shù)。

圖4 基于IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)應(yīng)用拓?fù)鋱D

內(nèi)網(wǎng)接入用戶通過(guò)大二層網(wǎng)絡(luò)將業(yè)務(wù)數(shù)據(jù)透明傳輸至BRAS，用戶首次上線被置于MAC認(rèn)證域，觸發(fā)Web認(rèn)證，用戶在認(rèn)證頁(yè)面輸入用戶名和密碼，認(rèn)證成功則在RADIUS服務(wù)器生成MAC地址綁定表，BRAS根據(jù)RADIUS下發(fā)策略進(jìn)行用戶流量的轉(zhuǎn)發(fā)，在后續(xù)用戶上線過(guò)程中用戶通過(guò)MAC實(shí)現(xiàn)無(wú)感知快速認(rèn)證。

2.2 實(shí)驗(yàn)仿真配置

實(shí)驗(yàn)主要基于華為eNSP網(wǎng)絡(luò)仿真平臺(tái)，主機(jī)配置Intel Core i7-8700 CPU，內(nèi)存64G。在IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技術(shù)中關(guān)鍵配置集中在BRAS之上，限于篇幅下面僅將BRAS主要配置予以說(shuō)明。

（1）配置IPoE認(rèn)證前域的ACL規(guī)則

（2）配置流量管理策略并在全局應(yīng)用策略

（3）配置IPoE認(rèn)證后域

（4）配置BRAS接口并配置MAC 認(rèn)證域、IPoE認(rèn)證后域及認(rèn)證方法

2.3 仿真實(shí)驗(yàn)結(jié)果

如圖5所示，在完成IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證仿真實(shí)驗(yàn)基礎(chǔ)之上，將配置遷移至物理環(huán)境觀察，后臺(tái)統(tǒng)計(jì)24小時(shí)用戶s上線情況，用戶能夠正常上線并訪問(wèn)授權(quán)的服務(wù)且再次上線可以實(shí)現(xiàn)無(wú)感知認(rèn)證，用戶業(yè)務(wù)流量同步接受深信服網(wǎng)絡(luò)行為管理系統(tǒng)的有效控制和管理，應(yīng)用效果良好。

圖5 24小時(shí)用戶上線趨勢(shì)圖

3 結(jié)語(yǔ)

本文從傳統(tǒng)IPoE認(rèn)證技術(shù)原理切入，分析出傳統(tǒng)IPoE在雙棧網(wǎng)絡(luò)中應(yīng)用的不足，并提出了IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技架構(gòu)，詳細(xì)研究了該架構(gòu)原理和工作流程，結(jié)合實(shí)際需求基于華為eNSP平臺(tái)進(jìn)行實(shí)驗(yàn)仿真，最后成功將仿真實(shí)驗(yàn)配置遷移至實(shí)際工程應(yīng)用中。IPoE雙棧網(wǎng)絡(luò)無(wú)感知認(rèn)證技架構(gòu)能夠在確保用戶安全接入的基礎(chǔ)上，對(duì)用戶流量進(jìn)行精準(zhǔn)控制和互聯(lián)行為安全管理，未來(lái)可以在該架構(gòu)之上展開終端管控系統(tǒng)、終端安全策略服務(wù)等技術(shù)的融合研究，以期更好地推動(dòng)安全雙棧網(wǎng)絡(luò)的建設(shè)。