基于IPv4/IPv6雙協(xié)議棧的校園網(wǎng)認(rèn)證接入研究*

羅輝瓊，聶瑞華

(1.華南師范大學(xué) 網(wǎng)絡(luò)中心，廣東 廣州 510631；2.華南師范大學(xué) 科技處，廣東 廣州 510631)

一、引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，IPv6已成為下一代互聯(lián)網(wǎng)的必然趨勢(shì)。IPv4向IPv6的過渡技術(shù)包括有IPv4/IPv6雙協(xié)議棧技術(shù)、采用IP數(shù)據(jù)包封裝的隧道技術(shù)及地址/協(xié)議轉(zhuǎn)換（NAT/PT）技術(shù)。[1][2]其中雙協(xié)議棧技術(shù)是IPv6過渡技術(shù)中應(yīng)用最廣泛的一種過渡技術(shù)，也是其他過渡技術(shù)的基礎(chǔ)。華南師范大學(xué)現(xiàn)校園網(wǎng)內(nèi)網(wǎng)運(yùn)行IPv4和IPv6雙棧協(xié)議，原有的認(rèn)證接入方式采用傳統(tǒng)的固定IP及802.1X認(rèn)證。隨著學(xué)校信息化建設(shè)的深入發(fā)展，這兩種認(rèn)證接入方式已逐漸不能滿足網(wǎng)絡(luò)環(huán)境和用戶的需求。PPPoE認(rèn)證接入則提供了較好的解決方案。通過PPPoE協(xié)議，遠(yuǎn)端接入設(shè)備能夠?qū)崿F(xiàn)對(duì)每個(gè)接入用戶的認(rèn)證、計(jì)費(fèi)和管理等。因此學(xué)校擬在雙協(xié)議棧的基礎(chǔ)上采用PPPoE的認(rèn)證接入方式對(duì)校園網(wǎng)進(jìn)行升級(jí)改造。本文正是針對(duì)華南師范大學(xué)基于IPv4/IPv6雙協(xié)議棧的校園網(wǎng)認(rèn)證接入展開研究。

二、IPv4/IPv6雙協(xié)議棧技術(shù)

雙協(xié)議棧技術(shù)是指采用該技術(shù)的節(jié)點(diǎn)上同時(shí)運(yùn)行IPv4和IPv6兩套協(xié)議棧，即在設(shè)備上同時(shí)啟用IPv4和IPv6協(xié)議棧。這是使IPv6節(jié)點(diǎn)保持與純IPv4節(jié)點(diǎn)兼容最直接的方式，針對(duì)的對(duì)象是通信端節(jié)點(diǎn)（包括主機(jī)、路由器）。由于IPv6和IPv4是功能相近的網(wǎng)絡(luò)層協(xié)議，兩者都基于相同的物理平臺(tái)，而且加載于其上的傳輸層協(xié)議TCP和UDP也基本沒有區(qū)別。因此支持雙協(xié)議棧的節(jié)點(diǎn)既能與支持IPv4協(xié)議的節(jié)點(diǎn)通信，又能與支持IPv6協(xié)議的節(jié)點(diǎn)通信。應(yīng)用程序依靠DNS地址解析返回的地址類型，來決定使用何種協(xié)議棧。IPv4/IPv6雙棧技術(shù)體現(xiàn)在TCP/IP協(xié)議層的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層三個(gè)方面。數(shù)據(jù)鏈路層幀的類型字段分別用值0x0800和0x86dd來區(qū)分采用的是IPv4還是IPv6。IPv4/IPv6雙協(xié)議棧結(jié)構(gòu)如圖1所示。

圖1 IPv4/IPv6雙協(xié)議棧結(jié)構(gòu)

三、網(wǎng)絡(luò)現(xiàn)狀分析

1.校園網(wǎng)現(xiàn)狀

華南師范大學(xué)現(xiàn)校園網(wǎng)內(nèi)網(wǎng)采用IPv4和IPv6雙棧協(xié)議。IPv4內(nèi)網(wǎng)連接兩個(gè)外部網(wǎng)絡(luò)，分別是電信網(wǎng)絡(luò)和中國(guó)教育和科研計(jì)算機(jī)網(wǎng)絡(luò)。內(nèi)網(wǎng)選路通過在兩臺(tái)核心交換機(jī)MG8-A、MG8-B做策略路由來實(shí)現(xiàn)。IPv6內(nèi)網(wǎng)通過核心交換機(jī)MG8-A連接到IPv6邊界路由器Cisco 12404，再接入教育網(wǎng)IPv6網(wǎng)絡(luò)。IPv4和IPv6分別采用動(dòng)態(tài)路由協(xié)議OSPFv2和OSPFv3進(jìn)行路由學(xué)習(xí)和管理。原邊界路由器Juniper M10i與內(nèi)網(wǎng)IPv4互通采用靜態(tài)路由，沒有加入OSPF路由域，也沒有參與IPv6互聯(lián)互通。

終端用戶采用802.1X接入方式接入網(wǎng)絡(luò)。具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)現(xiàn)狀拓?fù)?/p>

2.認(rèn)證方式的選擇

華南師范大學(xué)原認(rèn)證接入方式主要為固定IP接入及802.1X接入兩種認(rèn)證方式。隨著學(xué)校信息化建設(shè)的深入發(fā)展，這兩種接入方式已逐漸顯現(xiàn)出其弊端，表現(xiàn)為：IP沖突、ARP病毒攻擊、第三層廣播風(fēng)暴及IP地址使用局限性等。另外，這兩種認(rèn)證方式均無法實(shí)現(xiàn)基于用戶的帶寬控制。因此華南師范大學(xué)擬采用基于PPPoE的認(rèn)證接入方式對(duì)校園網(wǎng)進(jìn)行升級(jí)改造。

PPPoE（Point-to-Point Protocol over Ethernet）基于以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議，是利用以太網(wǎng)資源，在以太網(wǎng)上運(yùn)行點(diǎn)對(duì)點(diǎn)協(xié)議來進(jìn)行用戶認(rèn)證的一種接入方式。[4]我校選擇PPPoE認(rèn)證方式的主要原因?yàn)椋篬5]

（1）PPPoE采用動(dòng)態(tài)分配IP地址，用戶撥號(hào)后無需自行配置IP地址、網(wǎng)關(guān)、掩碼、域名等，不存在用戶自行更改IP地址的問題，因此也不存在用戶IP沖突的問題。

（2）PPPoE認(rèn)證由于不使用ARP協(xié)議，可以從根本上杜絕ARP病毒攻擊。

（3）PPPoE認(rèn)證由于采用二層半隧道認(rèn)證，所以鏈路設(shè)備均工作在第二層，不存在第三層廣播風(fēng)暴問題。

（4）PPPoE認(rèn)證后，用戶每人一個(gè)用戶名，每個(gè)用戶名注冊(cè)后全校通用，克服了原來固定IP分區(qū)域上網(wǎng)的局限性。

（5）在計(jì)費(fèi)方面，固定IP一般采用包月制，計(jì)費(fèi)策略不靈活。若要實(shí)現(xiàn)流量計(jì)費(fèi)則必須借助流量監(jiān)視或采集系統(tǒng)，并應(yīng)用SNMP來進(jìn)行計(jì)費(fèi)。PPPoE則可以按時(shí)長(zhǎng)、流量計(jì)費(fèi)，也可采用包月制。

四、網(wǎng)絡(luò)部署與配置實(shí)現(xiàn)

1.網(wǎng)絡(luò)部署

華南師范大學(xué)在現(xiàn)有網(wǎng)絡(luò)環(huán)境和設(shè)備的基礎(chǔ)上增設(shè)兩臺(tái)Juniper MX960認(rèn)證路由器，將VLAN技術(shù)與PPPoE認(rèn)證相結(jié)合，采用BRAS（寬帶接入服務(wù)器）和RADIUS服務(wù)器實(shí)現(xiàn)校園網(wǎng)用戶的PPPoE認(rèn)證方式接入網(wǎng)絡(luò)。另外，再增加一臺(tái)Cisco 7609S路由器，用于替換原邊界路由器設(shè)備（Juniper M10i），兩臺(tái)Juniper Mx960路由器用于終端用戶的PPPoE認(rèn)證。

新邊界路由器Cisco 7609S啟用后，將電信互聯(lián)由核心交換機(jī)MG8-A、MG8-B遷移到邊界路由器Cisco 7609S上，兩個(gè)出口路由選路的策略也由核心交換機(jī)遷移到邊界路由器上。另外在邊界路由器Cisco 7609S與Cisco 12404之間增加一條互聯(lián)鏈路。

新邊界路由器Cisco 7609S啟用后，將加入到IPv4、IPv6動(dòng)態(tài)路由域中。原內(nèi)網(wǎng)去往互聯(lián)網(wǎng)的IPv4默認(rèn)路由由兩臺(tái)核心交換機(jī)MG8-A、MG8-B通過OSPF動(dòng)態(tài)路由公告，新邊界路由器Cisco 7609S啟用后，則把默認(rèn)路由公告設(shè)置在Cisco 7609S上。內(nèi)網(wǎng)IPv6默認(rèn)路由公告，仍由Cisco 12404通過OSPF公告。

通過部署兩臺(tái)Juniper MX960作為用戶PPPoE接入認(rèn)證路由器，基于用戶帳號(hào)對(duì)用戶進(jìn)行接入管理，將原有802.1X認(rèn)證遷移到PPPoE認(rèn)證，實(shí)現(xiàn)良好的接入管控能力。兩臺(tái)Juniper MX960采用獨(dú)立的方式進(jìn)行部署，分擔(dān)接入用戶的業(yè)務(wù)。同時(shí)，兩臺(tái)路由器將加入到IPv4、IPv6動(dòng)態(tài)路由OSPF域中。最終形成目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

2.系統(tǒng)配置與實(shí)現(xiàn)

（1）雙棧接入路由器主要配置

雙棧接入路由器即邊界路由器Cisco 7609S位于接入網(wǎng)的邊緣，起到邊緣匯聚、用戶管理的作用。其主要配置如下：[6]

1）設(shè)置允許用于認(rèn)證的二層隧道（以至MG8-A為例），VLAN3000，VLAN4000。

圖3 目標(biāo)網(wǎng)絡(luò)拓?fù)?/p>

2）指定對(duì)接 VLAN（IPv4）

3）指定對(duì)接 VLAN（IPv6）

4）啟用IPv6流量轉(zhuǎn)發(fā)

（2）認(rèn)證路由器主要配置

認(rèn)證路由器Juniper MX960的主要配置如下[7]（以Juniper MX960A為例）：

1）首先配置動(dòng)態(tài)PPPoE即定義dynamic-profiles，且系統(tǒng)自動(dòng)分配PPPoE接口。其中對(duì)用戶存活時(shí)間可進(jìn)行限制，即設(shè)置用戶在成功通過認(rèn)證后可使用的時(shí)間數(shù)據(jù)：

keepalives interval 300；另外對(duì)用戶帶寬可進(jìn)行限制：

2）配置物理接口,dynamic-profiles配置好后，需要在相應(yīng)的物理接口進(jìn)行引用。物理接口的配置分兩種：一是無VLAN的情況下直接引用dynamic-profile PPPoE；二是動(dòng)態(tài)VLAN封裝flexible-vlan-tagging，配置為靈活vlan-tag封裝，可以在同一物理接口下同時(shí)存在一層VLAN封裝和二層VLAN封裝。

3）Radius相關(guān)配置和地址池的配置。

3.客戶端設(shè)置

校園網(wǎng)用戶在客戶端的設(shè)置比較簡(jiǎn)單，只需要在本地電腦的網(wǎng)絡(luò)上添加一個(gè)PPPoE連接，輸入分配好的校園網(wǎng)用戶名和密碼即可連接網(wǎng)絡(luò)。用戶使用PPPoE連接后，本地網(wǎng)卡的IP參數(shù)設(shè)置將不再對(duì)連接Internet產(chǎn)生影響。

五、結(jié)束語

華南師范大學(xué)基于IPv6/IPv4雙協(xié)議棧的校園網(wǎng)PPPoE認(rèn)證接入升級(jí)項(xiàng)目已從2012年1月啟動(dòng)，目前，已在本部校區(qū)的教學(xué)樓、行政樓、各學(xué)院樓及教工宿舍區(qū)實(shí)施完畢。經(jīng)過對(duì)比分析，結(jié)果表明隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及復(fù)雜程度的增加，該認(rèn)證接入方式具有較強(qiáng)的優(yōu)越性，其不僅有效解決校園網(wǎng)運(yùn)行中存在的ARP病毒攻擊、IP盜用及用戶管理方面的問題，而且克服了我校原來IP地址區(qū)域使用的局限性，還給教工用戶提供了SSL VPN服務(wù)，解決了教工在校外無法訪問校內(nèi)電子資源的問題。實(shí)踐證明，該認(rèn)證接入方式較適合于我校目前的網(wǎng)絡(luò)環(huán)境及用戶需求。

[1]RFC2460.Deering S,Hinden R.Internet Protocol Version6(IPv6)Specification[S],1998.

[2]RFC2893.Gilligan R,Nordmark E.Transition mechanisms for IPv6 hosts and routers[S],2000.

[3]杜治國(guó),肖德琴,徐東風(fēng)等.基于雙棧技術(shù)的IPv6校園網(wǎng)絡(luò)設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì),2007(28)11:2583－2585.

[4]趙曉娟,唐俊.基于PPPoE接入方式的校園網(wǎng)安全管理[J].電腦學(xué)習(xí),2009.4.55-56.

[5]張輝,譚建龍,劉金剛.支持IPv6/IPv4雙棧的認(rèn)證計(jì)費(fèi)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息,2012(28),3:100－125.

[6]王平,魏大新,李育龍.Cisco網(wǎng)絡(luò)技術(shù)教程（第3版）[M].北京:電子工業(yè)出版社,2012-1-1.15-62.

[7]（美）多伊爾（Doyle,J.）等.Juniper路由器參考大全（英文版）[M].北京:人民郵電出版社,2003-10-01:22-45.