基于IPv4/IPv6双协议栈的校园网认证接入研究*

罗辉琼，聂瑞华

(1.华南师范大学 网络中心，广东 广州 510631；2.华南师范大学 科技处，广东 广州 510631)

一、引言

随着网络技术的飞速发展，IPv6已成为下一代互联网的必然趋势。IPv4向IPv6的过渡技术包括有IPv4/IPv6双协议栈技术、采用IP数据包封装的隧道技术及地址/协议转换（NAT/PT）技术。[1][2]其中双协议栈技术是IPv6过渡技术中应用最广泛的一种过渡技术，也是其他过渡技术的基础。华南师范大学现校园网内网运行IPv4和IPv6双栈协议，原有的认证接入方式采用传统的固定IP及802.1X认证。随着学校信息化建设的深入发展，这两种认证接入方式已逐渐不能满足网络环境和用户的需求。PPPoE认证接入则提供了较好的解决方案。通过PPPoE协议，远端接入设备能够实现对每个接入用户的认证、计费和管理等。因此学校拟在双协议栈的基础上采用PPPoE的认证接入方式对校园网进行升级改造。本文正是针对华南师范大学基于IPv4/IPv6双协议栈的校园网认证接入展开研究。

二、IPv4/IPv6双协议栈技术

双协议栈技术是指采用该技术的节点上同时运行IPv4和IPv6两套协议栈，即在设备上同时启用IPv4和IPv6协议栈。这是使IPv6节点保持与纯IPv4节点兼容最直接的方式，针对的对象是通信端节点（包括主机、路由器）。由于IPv6和IPv4是功能相近的网络层协议，两者都基于相同的物理平台，而且加载于其上的传输层协议TCP和UDP也基本没有区别。因此支持双协议栈的节点既能与支持IPv4协议的节点通信，又能与支持IPv6协议的节点通信。应用程序依靠DNS地址解析返回的地址类型，来决定使用何种协议栈。IPv4/IPv6双栈技术体现在TCP/IP协议层的网络层、传输层和应用层三个方面。数据链路层帧的类型字段分别用值0x0800和0x86dd来区分采用的是IPv4还是IPv6。IPv4/IPv6双协议栈结构如图1所示。

图1 IPv4/IPv6双协议栈结构

三、网络现状分析

1.校园网现状

华南师范大学现校园网内网采用IPv4和IPv6双栈协议。IPv4内网连接两个外部网络，分别是电信网络和中国教育和科研计算机网络。内网选路通过在两台核心交换机MG8-A、MG8-B做策略路由来实现。IPv6内网通过核心交换机MG8-A连接到IPv6边界路由器Cisco 12404，再接入教育网IPv6网络。IPv4和IPv6分别采用动态路由协议OSPFv2和OSPFv3进行路由学习和管理。原边界路由器Juniper M10i与内网IPv4互通采用静态路由，没有加入OSPF路由域，也没有参与IPv6互联互通。

终端用户采用802.1X接入方式接入网络。具体网络拓扑结构如图2所示。

图2 网络现状拓扑

2.认证方式的选择

华南师范大学原认证接入方式主要为固定IP接入及802.1X接入两种认证方式。随着学校信息化建设的深入发展，这两种接入方式已逐渐显现出其弊端，表现为：IP冲突、ARP病毒攻击、第三层广播风暴及IP地址使用局限性等。另外，这两种认证方式均无法实现基于用户的带宽控制。因此华南师范大学拟采用基于PPPoE的认证接入方式对校园网进行升级改造。

PPPoE（Point-to-Point Protocol over Ethernet）基于以太网的点对点协议，是利用以太网资源，在以太网上运行点对点协议来进行用户认证的一种接入方式。[4]我校选择PPPoE认证方式的主要原因为：[5]

（1）PPPoE采用动态分配IP地址，用户拨号后无需自行配置IP地址、网关、掩码、域名等，不存在用户自行更改IP地址的问题，因此也不存在用户IP冲突的问题。

（2）PPPoE认证由于不使用ARP协议，可以从根本上杜绝ARP病毒攻击。

（3）PPPoE认证由于采用二层半隧道认证，所以链路设备均工作在第二层，不存在第三层广播风暴问题。

（4）PPPoE认证后，用户每人一个用户名，每个用户名注册后全校通用，克服了原来固定IP分区域上网的局限性。

（5）在计费方面，固定IP一般采用包月制，计费策略不灵活。若要实现流量计费则必须借助流量监视或采集系统，并应用SNMP来进行计费。PPPoE则可以按时长、流量计费，也可采用包月制。

四、网络部署与配置实现

1.网络部署

华南师范大学在现有网络环境和设备的基础上增设两台Juniper MX960认证路由器，将VLAN技术与PPPoE认证相结合，采用BRAS（宽带接入服务器）和RADIUS服务器实现校园网用户的PPPoE认证方式接入网络。另外，再增加一台Cisco 7609S路由器，用于替换原边界路由器设备（Juniper M10i），两台Juniper Mx960路由器用于终端用户的PPPoE认证。

新边界路由器Cisco 7609S启用后，将电信互联由核心交换机MG8-A、MG8-B迁移到边界路由器Cisco 7609S上，两个出口路由选路的策略也由核心交换机迁移到边界路由器上。另外在边界路由器Cisco 7609S与Cisco 12404之间增加一条互联链路。

新边界路由器Cisco 7609S启用后，将加入到IPv4、IPv6动态路由域中。原内网去往互联网的IPv4默认路由由两台核心交换机MG8-A、MG8-B通过OSPF动态路由公告，新边界路由器Cisco 7609S启用后，则把默认路由公告设置在Cisco 7609S上。内网IPv6默认路由公告，仍由Cisco 12404通过OSPF公告。

通过部署两台Juniper MX960作为用户PPPoE接入认证路由器，基于用户帐号对用户进行接入管理，将原有802.1X认证迁移到PPPoE认证，实现良好的接入管控能力。两台Juniper MX960采用独立的方式进行部署，分担接入用户的业务。同时，两台路由器将加入到IPv4、IPv6动态路由OSPF域中。最终形成目标网络拓扑结构如图3所示。

2.系统配置与实现

（1）双栈接入路由器主要配置

双栈接入路由器即边界路由器Cisco 7609S位于接入网的边缘，起到边缘汇聚、用户管理的作用。其主要配置如下：[6]

1）设置允许用于认证的二层隧道（以至MG8-A为例），VLAN3000，VLAN4000。

图3 目标网络拓扑

2）指定对接 VLAN（IPv4）

3）指定对接 VLAN（IPv6）

4）启用IPv6流量转发

（2）认证路由器主要配置

认证路由器Juniper MX960的主要配置如下[7]（以Juniper MX960A为例）：

1）首先配置动态PPPoE即定义dynamic-profiles，且系统自动分配PPPoE接口。其中对用户存活时间可进行限制，即设置用户在成功通过认证后可使用的时间数据：

keepalives interval 300；另外对用户带宽可进行限制：

2）配置物理接口,dynamic-profiles配置好后，需要在相应的物理接口进行引用。物理接口的配置分两种：一是无VLAN的情况下直接引用dynamic-profile PPPoE；二是动态VLAN封装flexible-vlan-tagging，配置为灵活vlan-tag封装，可以在同一物理接口下同时存在一层VLAN封装和二层VLAN封装。

3）Radius相关配置和地址池的配置。

3.客户端设置

校园网用户在客户端的设置比较简单，只需要在本地电脑的网络上添加一个PPPoE连接，输入分配好的校园网用户名和密码即可连接网络。用户使用PPPoE连接后，本地网卡的IP参数设置将不再对连接Internet产生影响。

五、结束语

华南师范大学基于IPv6/IPv4双协议栈的校园网PPPoE认证接入升级项目已从2012年1月启动，目前，已在本部校区的教学楼、行政楼、各学院楼及教工宿舍区实施完毕。经过对比分析，结果表明随着网络规模的扩大及复杂程度的增加，该认证接入方式具有较强的优越性，其不仅有效解决校园网运行中存在的ARP病毒攻击、IP盗用及用户管理方面的问题，而且克服了我校原来IP地址区域使用的局限性，还给教工用户提供了SSL VPN服务，解决了教工在校外无法访问校内电子资源的问题。实践证明，该认证接入方式较适合于我校目前的网络环境及用户需求。

[1]RFC2460.Deering S,Hinden R.Internet Protocol Version6(IPv6)Specification[S],1998.

[2]RFC2893.Gilligan R,Nordmark E.Transition mechanisms for IPv6 hosts and routers[S],2000.

[3]杜治国,肖德琴,徐东风等.基于双栈技术的IPv6校园网络设计[J].计算机工程与设计,2007(28)11:2583－2585.

[4]赵晓娟,唐俊.基于PPPoE接入方式的校园网安全管理[J].电脑学习,2009.4.55-56.

[5]张辉,谭建龙,刘金刚.支持IPv6/IPv4双栈的认证计费系统设计与实现[J].微计算机信息,2012(28),3:100－125.

[6]王平,魏大新,李育龙.Cisco网络技术教程（第3版）[M].北京:电子工业出版社,2012-1-1.15-62.

[7]（美）多伊尔（Doyle,J.）等.Juniper路由器参考大全（英文版）[M].北京:人民邮电出版社,2003-10-01:22-45.