基于IPv6/IPv4双栈主机认证方法的应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于IPv6/IPv4双栈主机认证方法的应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 论文首先对校园网中常见的认证方法进行了分析,提出了适合延安大学校园网管理的认证方法,即Web /Portal认证。其次,结合延安大学实际情况,提出了基于Web /Portal认证的ipv6/ ipv4双栈主机的认证系统。最后,对该系统中涉及的主要设备及模块功能进行了阐述。
【 关键词 】 IPv6;IPv4;双栈主机;Portal认证
1 引言
随着互联网技术的飞速发展和广泛应用,传统的IPv4网络协议在实际应用中的各种弊端日益明显,IPV6已成为下一代互联网的必然趋势。所以基于IPv6/ IPv4双协议栈技术的网络升级改造成为目前高校网络改造的主要方向。双协议栈技术是IPv4向IPv6过渡的基础,它是指在网络设备上同时启用IPv4和IPv6的协议栈。IPv4与IPv6都是基于同一个物理平台实现应用,需要加载TCP和UDP网络传输层协议,以此实现IPv4网络节点与IPv6网络节点之间的互通。将IPv6网络节点加入到IPv4协议栈中,网络可以同时收发两种协议的数据报文,使用IPv4协议栈和IPv4站点通信,使用IPv6协议栈与IPv6站点通信,最终实现两者相互连通。
2 校园网现状分析
2.1 常见的校园网认证方式分析
目前最流行的校园网接入认证方式有PPPoE、Web/ Portal和802. 1X三种。
PPPoE认证。PPPoE全称Point-to-Point Protocol Over Ethernet,又叫点对点协议技术,该技术于1998 年问世, 是基于IETFRFC标准开发的。其优点:它是PPP拨号技术的增强和扩展, 符合用户的习惯, 很容易被用户接受;缺点:认证系统必须将每个包进行拆解才能判断和识别用户是否合法, 需要大量的拆包解包过程,增加了网络开销,造成宽带网络发展的瓶颈。
Web /Portal认证。Portal认证通常也称为Web认证, 一般将Portal认证网站称为门户网站。认证用户上网时, 设备强制用户登录到特定站点, 用户可以免费访问其中的服务。只有当用户需要使用互联网时, 才需要认证。其优点是:与系统平台无关,实现起来简单、方便, 大大降低运营维护的成本;用户认证通过后直接与外部网络进行交互,不存在对报文的封装、解封装过程,效率较高;其缺点是:该认证无法检测4层以下的网络问题;用户连接性差, 对于断电突发故障等底层原因引起的用户异常离线难以进行检测;用户在DHCP过程结束后即使不认证上网仍会占用合法的IP地址,造成对IP地址资源较大的浪费。
EEE802.1X认证。802.1X是一种基于端口的认证协议, 是一种对用户进行认证的方法和策略。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口, 如果认证成功那么就“打开”这个端口,允许所有报文通过;如果认证不成功就使这个端口保持“关闭”, 此时只允许802.1X的认证报文通过。
2.2 认证方式的选择
延安大学目前使用的认证方式为Portal认证,在传统Portal服务器的认证授权系统中,认证授权服务器只能实现对单一网络地址的认证和授权,包括IPv6地址和IPv4地址,支持IPv6/ IPv4双栈协议的主机要对IPv6网络和IPv4网络同时发起访问时,必须经过两次认证。而且,在IPv6网络环境下,网络用户可以获取多个IPv6地址。考虑到校园网发展和网络用户的实际需求,需要在服务器上对相同主机的多个网络地址进行认证授权,确保网络用户可以只进行一次认证请求,实现对全部网络地址的接入认证。因此,本文对传统的Portal认证方式进行了升级和改造,使其能够支持基于IPV6/IPV4的双栈主机认证。
3 IPv6/ IPv4双栈认证系统设计
3.1 认证系统架构设计
基于IPv6/ IPv4的双栈主机认证系统架构如图1所示,主要设备包括IPv6/ IPv4双栈访问控制网关、Web/数据库服务器、Radius服务器。试验网内的用户终端通过汇聚(接入)交换机连接到核心交换机、服务器连接到核心交换机、核心交换机连接到IPv6/ IPv4双栈访问控制网关,IPv6/ IPv4双栈网关负责控制校园网络和外部网络的枢纽,以实现网络用户接入控制功能。
3.2 系统工作流程
已注册的IPv6/ IPv4双栈主机对外部发起访问时,IPv6/ IPv4双栈访问控制网关将用户映射到Portal服务器认证授权页面。未注册的IPv6/ IPv4双栈主机在对外发起访问前,先到校园网管理部门办理入网络相关手续,校园网用户管理员将网络用户提交的信息添加到业务管理系统中,同时将用户名、密码和IP地址传送到Portal服务器,再由Portal服务器通过IPv6/ IPv4双栈访问控制网关和自定义文本协议实现信息交互并且完成用户注册。IPv6/ IPv4双栈访问控制网关对IPv6/ IPv4双栈主机进行认证,建立起IPv6与IPv4之间的映射关系,并对已通过认证的IPv6/ IPv4双栈主机开放外部网络路由功能。
4 认证系统主要设备及模块功能
4.1 网关控制模块
访问控制网关位于外网与校园网络之间,负责实现网络用户的接入认证、分组控制和分组转发的功能。同时,它从内部网络数据包中提取目的地址和源地址,经过查找IP网络地址的访问权限属性对数据包实施转发、丢弃等操作。
IPv6/ IPv4双栈访问控制网关主要包括数据包转发控制、网络地址管理、网关控制和认证授权四个模块。数据包转发控制模块负责实现数据包的转发功能,由IPv6/ IPv4双栈访问控制网关对数据包进行过滤检测,从中获取源地址和目的地址,确定网络权限属性,再判断该网络用户是否具有对目的地的访问权限。网络地址管理模块负责对IPv4网络地址的存储空间、IPv4与 IPv6的映射关系进行管理。网关控制模块对IPv6/ IPv4双栈主机的访问权限属性进行管理,包括地址查询、地址修改、地址访问、地址权限控制等,同时用来控制IPv6/ IPv4双栈访问控制网关的开启和关闭。认证授权模块与Radius服务器协同工作,主要负责IPv6/ IPv4双栈主机用户的身份认证和授权,同时监听网络端口,解析认证数据包等。