利用接入交换机做Web认证准入控制分析

开篇：润墨网以专业的文秘视角，为您筛选了一篇利用接入交换机做Web认证准入控制分析范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:针文章对目前主流认证方式之一“Web认证”进行分析,特别是对于利用接入交换机上做web认证来实现准入控制认证做了深入的分析,促进Web认证方式在准入认证方面的深入应用。

关键词:Web认证;Portal;重定向;接入交换机

中图分类号:TP393文献标识码:A

文章编号:1009-2374 (2010)22-0090-02

1认证方式简介

认证技术是AAA(认证,授权,计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAAServer和计费软件四个环节。用户终端与AAAClient之间的通信方式通常称为“认证方式”。目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x,其中“Web+Portal”方式就是我们说的Web认证。

三种方式的主要特点比较如下:

Web认证方式最大的优点是不需要客户端,使用普通的浏览器软件就可以进行认证,很大程度上降低了网络维护的工作量;另外利用Web重定向可以推送的认证页面,这样能很方便的进行将我们需要发送的信息推送给认证的用户。本文将对Web认证方式做重点分析。

2认证应用模式简介

针对一个局域网的用户,认证有两种基本的应用模式:准入和准出。准入是指在用户接入这个局域网之前,必须先进行身份认证,认证通过之后,才能接入网络。准出认证是指用户在出网络(一般情况下而言是指出局域网到Internet)的情况下,才对用户身份进行认证以及对用户的行为进行控制。

准入的优点是接入即控制,用户只要接入网络,就对用户的身份进行认证,对用户的行为进行有效的控制,这样能使得网络更安全;缺点是开销比较大,需要所有接入交换机支持。准出的优点的是只用在出口设备上控制,可以用较小的开销完成对出口这个网络关键点的控制,缺点是无法对局域网内网进行控制。当然,若条件允许,用户也可以选择既做准入控制,又做准出控制,这样效果会更好。

在网络出口处集中做Web认证的准出控制在业界已经比较流行,而和接入交换机配合做Web认证的准入控制近期在逐步兴起,本文将对Web认证做准入控制做重点分析。

3Web认证基本原理说明

未认证用户上网时,用户可以访问认证页面(Portal Server),用户可以免费访问其中的服务。当用户需要使用网络的其它信息时,必须在Web认证服务器进行认证,只有认证通过后才可以使用网络资源。

一般情况下,用户访问网络时,不会直接去访问PortalServer,一般是访问Internet网站(比如新浪等),这种情况下,用户的访问将被重定向Web认证网站(PortalServer),从而开始Web认证过程,认证通过后,将会自动回到用户原来希望访问的页面。

3.1HTTP拦截

HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来,不进行转发。这些HTTP报文是连接在接入设备的端口下的用户所发出的,但目的并不是接入设备本身。例如,某用户通过IE浏览器上网,接入设备本应该将这些HTTP请求报文转发到网关的,但如果启动HTTP拦截,这些报文可以不被转发。

HTTP拦截之后,接入设备需要将用户的HTTP连接请求转向自己,于是接入设备和用户之间将建立起连接会话。接入设备将利用HTTP重定向功能,将重定向页面推送给用户,用户的浏览器上将弹出一个页面,这个页面可以是认证页面,也可以是带有认证对话框的门户页面。

在Web认证功能中,连接在哪些物理端口下、哪些用户所发出的到哪个目的端口的HTTP报文需要进行拦截,哪些不需要,都是可以设置的。一般地,未经过认证的用户发出的HTTP请求报文会被拦截,已通过认证的用户将不被拦截。HTTP拦截是Web认证功能的基础,一旦发生了拦截,就会自动触发Web认证的过程。

3.2HTTP重定向

根据HTTP协议规定,正常情况下,用户的浏览器发出HTTPGET或HEAD请求报文后,如果接收一方能够提供资源,则以200报文响应,如果本地不能提供资源,则可以使用302报文响应。在302响应报文中,提供了一个新的站点路径,用户收到响应后,可以向这个新的站点重新发出HTTPGET或HEAD报文请求资源。

3.3认证过程

3.3.1Web认证的角色认证客户端:安装于用户终端设备上的客户端系统,为运行HTTP协议的浏览器,上网时将发出HTTP请求;

3.3.2接入设备在网络拓扑中一般是接入层设备(例如二层交换机),一般与用户终端设备直接相连接,在接入设备上启动Web认证。

3.3.3Web认证服务器接受认证客户端认证请求的认证服务器端系统,提供免费门户服务和基于Web认证的界面,与接入/汇聚设备交互认证客户端的认证信息。

3.3.4Web认证主要过程(1)在认证之前:接入/汇聚设备将未认证用户发出的所有HTTP请求都拦截下来,并重定向到Web认证服务器去,这样在用户的浏览器上将弹出一个认证页面;(2)在认证过程中:用户在认证页面上输入认证信息(用户名、口令、校验码等等)与Web认证服务器交互,完成身份认证的功能;(3)在认证通过后:Web认证服务器将通知接入/汇聚设备该用户已通过认证,接入/汇聚设备将允许用户访问网络资源。

4接入交换机支持Web认证设计要求考虑

本节将主要从功能、性能、容量等方面考虑设计要求。

4.1对交换机的功能的设计考虑

主要是下述功能要求:

拦截未认证用户的上网请求,并重定向到Web认证服务器上去;

支持设置直通协议,某些协议如DNS,DHCP等在用户认证前也可以使用;

由Web认证将用户认证的结果通知交换机,如果用户通过了认证,则允许用户上网,不再拦截;

如果用户通过了认证,Web认证将用户可用的时长通知交换机;

如果用户通过了认证,交换机同时将用户的IP、MAC、VID和端口进行绑定;保证认证后的用户能够自由访问网络,并且不会被其他用户仿冒;

Web认证支持用户静态配置IP地址或者通过DHCP获取IP地址的情况;

用户如果主动下线,则由Web认证服务器通知交换机该用户已下线,交换机停止用户上网。

4.2对交换机性能的设计考虑

交换机每秒能处理的用户PC发出的,并完成重定向到Web认证服务器最大请求数要满足一定数量。因此,HTTP侦听连接的速度、以及TCP建立和关闭的速度都要考虑,在处理过程中不能有延迟。这点会对TCP模块的性能有要求;同时也要求TCP模块支持快速关闭,能尽快复用TCP连接资源,以接受新的连接请求;

另外,如果大量的用户快速发起对交换机的连接请求,就会形成对交换机的攻击,影响交换机的性能;因此这点需要在交换机的CPU保活模块进行包含,防止CPU被攻击。

4.3对交换机容量的设计考虑

对于Web认证,需要保存一份在线用户表信息,因此会占用一定的内存空间;同时Web认证需要通过HTTP重定向,在TCP三次握手成功之后到重定向完成之前,需要暂时保留会话连接。可以限制每个用户可以使用的会话连接数,但是在用户数多的情况下,会话连接还是很多,很可能占用大量的TCP资源,极端情况下会将TCP连接全部占用(可能要消耗上千个),此时不仅消耗内存也可能导致其他功能无法获得TCP资源。

因此在设计时,要根据交换机所带用户数的要求,设计允许的TCP连接数量。

5接入交换机支持Web认证的流程

下图描述了在交换机端Web认证的整个流程:

作者简介:吴治国(1977-),男,湖北武汉人,福建星网锐捷网络有限公司工程师,研究方向:网络技术。