基于IPoE的雙棧網絡無感知認證技術研究與實驗仿真

彭治湘

（湖南廣播電視大學，湖南網絡工程職業學院，長沙410004）

0 引言

本文在雙棧網絡環境下，展開IPoE無感知認證技術研究，融合網絡行為審計系統，提出基于IPoE的雙棧網絡無感知認證技術架構并基于華為eNSP網絡仿真平臺實施仿真實驗，最后成功將仿真實驗配置遷移至實際工程項目，結果表該技術可以安全快速地實現雙棧網絡用戶接入。

1 基于IPoE雙棧網絡無感知認證技術研究

1.1 IPoE認證技術

IPoE是將DHCP（Dynamic Host Configuration Proto?col，動態主機配置協議）和RADIUS（Remote Authenti?cation Dial In User Service，遠程用戶撥號認證協議）相結合[1-2]，利用DHCP的多種option選項攜帶用戶認證信息，通過BRAS（Broadband Remote Access Server寬帶接入服務器）等接入設備中轉，實現與RADIUS服務器交互，最終完成用戶認證、授權和計費的一種接入認證技術[3-5]，且能夠支持IPv4和IPv6雙棧網絡用戶接入認證。

1.2 IPoE雙棧網絡無感知認證技術原理

傳統的IPoE認證是基于用戶終端MAC可信和DHCP可靠基礎之上實現的接入認證，在實踐環境中MAC地址可能存在偽造，option82信息可能存在篡改，DHCP系統負載高[6-9]，因此需要在傳統IPoE認證基礎之上進行改進。如圖1所示，在IPoE雙棧網絡無感知認證技架構中，DHCP服務器僅負責分配IP地址、網關和DNS等參數，引入Portal認證機制和MAC地址綁定表實現以用戶名、終端MAC等元素共同標識用戶和無感知認證，并與網絡行為審計系統聯動實現基于用戶的流量精準控制和互聯網行為管理。

圖1 IPoE雙棧網絡無感知認證基本架構

IPoE雙棧網絡無感知認證技術原理：用戶首次上線被置于MAC認證域，后因無法完成MAC認證被置于IPoE認證前域，由于處于IPoE認證前域的用戶無法進行業務訪問，BRAS接收到用戶業務流量將強制用戶重定向至Portal服務器進行Web認證，用戶在Portal Web認證頁面輸入用戶名和密碼并提交，Portal服務器收到用戶認證信息后轉發給BRAS，BRAS根據用戶所屬域選擇對應的RADIUS認證方案，將用戶認證信息轉發至RADIUS服務器，最后由RADIUS服務器完成用戶認證，若認證成功RADIUS下發用戶的業務授權和QoS策略并在后臺生成用戶終端MAC地址信息綁定表項，BRAS收到BRAS轉發的認證成功信息，則將用戶至于IPoE認證后域并按照授權策略放行用戶業務流量。

當用戶下線后再次上線，處在MAC認證域的用戶發出業務流量，BRAS直接使用終端MAC地址作為用戶名向RADIUS服務器發起認證，RADIUS服務器后臺查詢終端MAC地址綁定表，若存在該終端MAC地址記錄則認證通過，RADIUS返回認證成功消息，指導BRAS將用戶置于IPoE認證后域并放行業務流量，此時用戶無需再次輸入用戶名和密碼即可以實現無感知認證。

1.3 基于IPoE雙棧網絡無感知認證技術工作流程

如圖2所示，雙棧網絡環境下IPoE認證用戶首次認證流程：

（1）用戶發出上線請求（DHCP DISCOVER），BRAS將用戶至于MAC認證域；

（2）BRAS以用戶終端MAC地址為用戶名向RA?DIUS服務器發起認證請求；

（3）RADIUS服務器提取用戶MAC并后臺匹配MAC地址綁定表，由于用戶初次認證，用戶終端MAC不存在對應表項，因此MAC認證失敗；

（4）RADIUS反饋用戶認證失敗信息至BRAS；

（5）BRAS將用戶置于IPoE認證前域并為用戶終端分配該域對應IP地址；

（6）用戶發起HTTP業務請求，BRAS將請求重定向至Portal服務器；

（7）Portal服務器將Web認證頁面推送至用戶；

（8）用戶輸入用戶名和密碼并提交；

（9）Portal服務器將用戶認證信息封裝在Portal報文中發送BRAS；

（10）BRAS提取用戶認證信息并封裝至RADIUS報文中，將RADIUS認證消息發送至RADIUS服務器；

（11）RADIUS服務器提取用戶認證信息完成認證，若認證成功則生成終端MAC地址綁定表；

（12）RADIUS返回用戶認證成功消息至BRAS并向BRAS下發用戶授權策略和QoS策略；

（13）BRAS將用戶認證成功消息反饋至Portal；

（14）Portal通知用戶認證成功；

（15）用戶發起業務交互；

（16）BRAS通知RADIUS服務器開始計費；

（17）RADIUS服務器通知網絡行為管理系統用戶上線，網絡行為管理系統根據管理員預配置策略控制用戶流量和管理用戶互聯網行為。

圖2 基于IPoE雙棧網絡用戶首次認證流程

圖3 基于IPoE雙棧網絡無感知認證工作流程

如圖3所示，雙棧網絡環境下IPoE無感知認證流程：

（1）用戶發出上線請求（DHCP DISCOVER），BRAS將用戶至于MAC認證域；

（2）BRAS以用戶終端MAC地址為用戶名向RA?DIUS服務器發起認證請求；

（3）RADIUS服務器提取用戶MAC并后臺匹配MAC地址綁定表，由于用戶上線認證過，用戶終端MAC存在對應表項，因此MAC認證成功；

（4）RADIUS返回用戶認證成功消息至BRAS并向BRAS下發用戶授權策略和QoS策略；

（5）DHCP為用戶終端分配MAC認證域對應IP地址；

（6）用戶發起業務交互；

（7）BRAS通知RADIUS服務器開始計費；

（8）RADIUS服務器通知網絡行為管理系統用戶上線，網絡行為管理系統根據管理員預配置策略控制用戶流量和管理用戶互聯網行為。

2 基于IPoE雙棧網絡無感知認證技術的仿真實驗

2.1 實驗拓撲規劃與設計

如圖4所示，BRAS和無線控制器（Wireless Ac?cess Point Controller AC）旁掛在核心交換層，BRAS啟用DHCP服務器功能，Portal服務器和RADIUS服務器部署在私有云中，網絡行為管理系統串接在園區骨干鏈路中，對用戶流量和互聯網行為實施管理和控制，對威脅流量實時阻斷。關鍵設備BRAS、AC、核心層交換機、網絡行為管理系統、出口防火墻需要支持雙棧網絡技術。

圖4 基于IPoE雙棧網絡無感知認證技術應用拓撲圖

內網接入用戶通過大二層網絡將業務數據透明傳輸至BRAS，用戶首次上線被置于MAC認證域，觸發Web認證，用戶在認證頁面輸入用戶名和密碼，認證成功則在RADIUS服務器生成MAC地址綁定表，BRAS根據RADIUS下發策略進行用戶流量的轉發，在后續用戶上線過程中用戶通過MAC實現無感知快速認證。

2.2 實驗仿真配置

實驗主要基于華為eNSP網絡仿真平臺，主機配置Intel Core i7-8700 CPU，內存64G。在IPoE雙棧網絡無感知認證技術中關鍵配置集中在BRAS之上，限于篇幅下面僅將BRAS主要配置予以說明。

（1）配置IPoE認證前域的ACL規則

（2）配置流量管理策略并在全局應用策略

（3）配置IPoE認證后域

（4）配置BRAS接口并配置MAC 認證域、IPoE認證后域及認證方法

2.3 仿真實驗結果

如圖5所示，在完成IPoE雙棧網絡無感知認證仿真實驗基礎之上，將配置遷移至物理環境觀察，后臺統計24小時用戶s上線情況，用戶能夠正常上線并訪問授權的服務且再次上線可以實現無感知認證，用戶業務流量同步接受深信服網絡行為管理系統的有效控制和管理，應用效果良好。

圖5 24小時用戶上線趨勢圖

3 結語

本文從傳統IPoE認證技術原理切入，分析出傳統IPoE在雙棧網絡中應用的不足，并提出了IPoE雙棧網絡無感知認證技架構，詳細研究了該架構原理和工作流程，結合實際需求基于華為eNSP平臺進行實驗仿真，最后成功將仿真實驗配置遷移至實際工程應用中。IPoE雙棧網絡無感知認證技架構能夠在確保用戶安全接入的基礎上，對用戶流量進行精準控制和互聯行為安全管理，未來可以在該架構之上展開終端管控系統、終端安全策略服務等技術的融合研究，以期更好地推動安全雙棧網絡的建設。