基于IPoE的双栈网络无感知认证技术研究与实验仿真

彭治湘

（湖南广播电视大学，湖南网络工程职业学院，长沙410004）

0 引言

本文在双栈网络环境下，展开IPoE无感知认证技术研究，融合网络行为审计系统，提出基于IPoE的双栈网络无感知认证技术架构并基于华为eNSP网络仿真平台实施仿真实验，最后成功将仿真实验配置迁移至实际工程项目，结果表该技术可以安全快速地实现双栈网络用户接入。

1 基于IPoE双栈网络无感知认证技术研究

1.1 IPoE认证技术

IPoE是将DHCP（Dynamic Host Configuration Proto⁃col，动态主机配置协议）和RADIUS（Remote Authenti⁃cation Dial In User Service，远程用户拨号认证协议）相结合[1-2]，利用DHCP的多种option选项携带用户认证信息，通过BRAS（Broadband Remote Access Server宽带接入服务器）等接入设备中转，实现与RADIUS服务器交互，最终完成用户认证、授权和计费的一种接入认证技术[3-5]，且能够支持IPv4和IPv6双栈网络用户接入认证。

1.2 IPoE双栈网络无感知认证技术原理

传统的IPoE认证是基于用户终端MAC可信和DHCP可靠基础之上实现的接入认证，在实践环境中MAC地址可能存在伪造，option82信息可能存在篡改，DHCP系统负载高[6-9]，因此需要在传统IPoE认证基础之上进行改进。如图1所示，在IPoE双栈网络无感知认证技架构中，DHCP服务器仅负责分配IP地址、网关和DNS等参数，引入Portal认证机制和MAC地址绑定表实现以用户名、终端MAC等元素共同标识用户和无感知认证，并与网络行为审计系统联动实现基于用户的流量精准控制和互联网行为管理。

图1 IPoE双栈网络无感知认证基本架构

IPoE双栈网络无感知认证技术原理：用户首次上线被置于MAC认证域，后因无法完成MAC认证被置于IPoE认证前域，由于处于IPoE认证前域的用户无法进行业务访问，BRAS接收到用户业务流量将强制用户重定向至Portal服务器进行Web认证，用户在Portal Web认证页面输入用户名和密码并提交，Portal服务器收到用户认证信息后转发给BRAS，BRAS根据用户所属域选择对应的RADIUS认证方案，将用户认证信息转发至RADIUS服务器，最后由RADIUS服务器完成用户认证，若认证成功RADIUS下发用户的业务授权和QoS策略并在后台生成用户终端MAC地址信息绑定表项，BRAS收到BRAS转发的认证成功信息，则将用户至于IPoE认证后域并按照授权策略放行用户业务流量。

当用户下线后再次上线，处在MAC认证域的用户发出业务流量，BRAS直接使用终端MAC地址作为用户名向RADIUS服务器发起认证，RADIUS服务器后台查询终端MAC地址绑定表，若存在该终端MAC地址记录则认证通过，RADIUS返回认证成功消息，指导BRAS将用户置于IPoE认证后域并放行业务流量，此时用户无需再次输入用户名和密码即可以实现无感知认证。

1.3 基于IPoE双栈网络无感知认证技术工作流程

如图2所示，双栈网络环境下IPoE认证用户首次认证流程：

（1）用户发出上线请求（DHCP DISCOVER），BRAS将用户至于MAC认证域；

（2）BRAS以用户终端MAC地址为用户名向RA⁃DIUS服务器发起认证请求；

（3）RADIUS服务器提取用户MAC并后台匹配MAC地址绑定表，由于用户初次认证，用户终端MAC不存在对应表项，因此MAC认证失败；

（4）RADIUS反馈用户认证失败信息至BRAS；

（5）BRAS将用户置于IPoE认证前域并为用户终端分配该域对应IP地址；

（6）用户发起HTTP业务请求，BRAS将请求重定向至Portal服务器；

（7）Portal服务器将Web认证页面推送至用户；

（8）用户输入用户名和密码并提交；

（9）Portal服务器将用户认证信息封装在Portal报文中发送BRAS；

（10）BRAS提取用户认证信息并封装至RADIUS报文中，将RADIUS认证消息发送至RADIUS服务器；

（11）RADIUS服务器提取用户认证信息完成认证，若认证成功则生成终端MAC地址绑定表；

（12）RADIUS返回用户认证成功消息至BRAS并向BRAS下发用户授权策略和QoS策略；

（13）BRAS将用户认证成功消息反馈至Portal；

（14）Portal通知用户认证成功；

（15）用户发起业务交互；

（16）BRAS通知RADIUS服务器开始计费；

（17）RADIUS服务器通知网络行为管理系统用户上线，网络行为管理系统根据管理员预配置策略控制用户流量和管理用户互联网行为。

图2 基于IPoE双栈网络用户首次认证流程

图3 基于IPoE双栈网络无感知认证工作流程

如图3所示，双栈网络环境下IPoE无感知认证流程：

（1）用户发出上线请求（DHCP DISCOVER），BRAS将用户至于MAC认证域；

（2）BRAS以用户终端MAC地址为用户名向RA⁃DIUS服务器发起认证请求；

（3）RADIUS服务器提取用户MAC并后台匹配MAC地址绑定表，由于用户上线认证过，用户终端MAC存在对应表项，因此MAC认证成功；

（4）RADIUS返回用户认证成功消息至BRAS并向BRAS下发用户授权策略和QoS策略；

（5）DHCP为用户终端分配MAC认证域对应IP地址；

（6）用户发起业务交互；

（7）BRAS通知RADIUS服务器开始计费；

（8）RADIUS服务器通知网络行为管理系统用户上线，网络行为管理系统根据管理员预配置策略控制用户流量和管理用户互联网行为。

2 基于IPoE双栈网络无感知认证技术的仿真实验

2.1 实验拓扑规划与设计

如图4所示，BRAS和无线控制器（Wireless Ac⁃cess Point Controller AC）旁挂在核心交换层，BRAS启用DHCP服务器功能，Portal服务器和RADIUS服务器部署在私有云中，网络行为管理系统串接在园区骨干链路中，对用户流量和互联网行为实施管理和控制，对威胁流量实时阻断。关键设备BRAS、AC、核心层交换机、网络行为管理系统、出口防火墙需要支持双栈网络技术。

图4 基于IPoE双栈网络无感知认证技术应用拓扑图

内网接入用户通过大二层网络将业务数据透明传输至BRAS，用户首次上线被置于MAC认证域，触发Web认证，用户在认证页面输入用户名和密码，认证成功则在RADIUS服务器生成MAC地址绑定表，BRAS根据RADIUS下发策略进行用户流量的转发，在后续用户上线过程中用户通过MAC实现无感知快速认证。

2.2 实验仿真配置

实验主要基于华为eNSP网络仿真平台，主机配置Intel Core i7-8700 CPU，内存64G。在IPoE双栈网络无感知认证技术中关键配置集中在BRAS之上，限于篇幅下面仅将BRAS主要配置予以说明。

（1）配置IPoE认证前域的ACL规则

（2）配置流量管理策略并在全局应用策略

（3）配置IPoE认证后域

（4）配置BRAS接口并配置MAC 认证域、IPoE认证后域及认证方法

2.3 仿真实验结果

如图5所示，在完成IPoE双栈网络无感知认证仿真实验基础之上，将配置迁移至物理环境观察，后台统计24小时用户s上线情况，用户能够正常上线并访问授权的服务且再次上线可以实现无感知认证，用户业务流量同步接受深信服网络行为管理系统的有效控制和管理，应用效果良好。

图5 24小时用户上线趋势图

3 结语

本文从传统IPoE认证技术原理切入，分析出传统IPoE在双栈网络中应用的不足，并提出了IPoE双栈网络无感知认证技架构，详细研究了该架构原理和工作流程，结合实际需求基于华为eNSP平台进行实验仿真，最后成功将仿真实验配置迁移至实际工程应用中。IPoE双栈网络无感知认证技架构能够在确保用户安全接入的基础上，对用户流量进行精准控制和互联行为安全管理，未来可以在该架构之上展开终端管控系统、终端安全策略服务等技术的融合研究，以期更好地推动安全双栈网络的建设。