支持IPv6的认证计费
2010-11-09江涌
文/江涌
支持IPv6的认证计费
文/江涌
采用802.1x协议和基于网关认证相结合的二次认证,能利用两种技术的优点克服各自的缺点。本文采用二次认证,采用了基于链路聚合的负载均衡、认证系统从计费网关分离的分布式模块化设计,并且核心认证网关工作在数据链路层,对整个网络来说是一个透明网关。
在校园网认证计费管理中,目前主要采用PPPoE、802.1x、基于网关的认证、二次认证等认证技术。PPPoE在组播等应用方面有一定的限制,并且在组网时不能跨越三层网络设备,不太适合于校园网的组网环境。基于网关的认证方式具备控制精确、计费方式灵活、部署方便等优点,但网关设备需部署在网络出口,对设备可靠性要求高,易形成网络带宽瓶颈和单点故障,同时对用户的接入控制能力和安全性都比较差,用户接入控制只能靠其他二层设备解决,加重了网络管理负担。 802.1x能实现安全接入控制,其缺点是不同厂家采用不同的实现,不同厂家设备不兼容,并且很难做到按流量计费。
采用802.1x协议和基于网关认证相结合的二次认证,能利用两种技术的优点克服各自的缺点。本文采用二次认证,具体描述二次认证中网关认证部分,计费网关工作在数据链路层,依靠链路聚合实现负载均衡和故障切换,支持IPv4、IPv6统一认证。
基于三层网关的计费系统
系统概述
目前很多高校都有多个出口链路,一般都采用多个出口从一个出口路由器接出的方式,参见图1。如图所示,计费网关G1嵌入到出口路由器和核心交换机之间,对整个网络进行控制。
计费网关工作在TCP/IP协议栈的第三层,网络报文可以通过Linux操作系统的Netfilter框架来进行报文控制,数据包在Prerouting链进行截取,在计费网关维护的在线用户列表中查找是否有该数据包的源IP地址匹配项。如有则ACCEPT,再重定向(REDIRECT) 到认证页面,否则返回链。然后运行认证程序以决定其目的动作,如果成功,则在在线用户列表中加入包含用户名和源IP 地址绑定信息的记录,以便后继的该用户的数据包顺利通过。
系统缺点
基于三层网关的计费系统网络部署简单、可维护性高,但存在以下缺点:
安全性弱:计费网关中多个IP地址直接暴露在校园网中,易受DOS、嗅探攻击。
部署复杂:由于计费网关网卡设置IP地址,核心交换机和出口路由器需要改变路由,会涉及到IP规划调整。
可靠性差:采用这种接入方式,如果计费网关宕机,整个网络出口就会瘫痪,易出现单点故障,并且计费网关会成为整个网络的带宽瓶颈。
基于透明网关的高可靠计费系统
随着网络技术的发展和对网络服务质量需求的不断提高,以及IPv6的普及,迫切需要一套支持负载均衡、高带宽、IPv6的高可靠的计费系统。
在达到以上目标的同时,还满足成本低、技术成熟和对原有网络影响小等要求。针对这样的需求,本文设计了一个基于数据链路层的高可靠透明网关计费系统。
图 2 高可靠网关部署架构
系统架构及关键模块设计
基于数据链路层的高可靠透明网关计费系统的架构如图2,按照分布式设计和部署原理,主要分为认证系统、计费网关、查询管理系统、记账系统几大系统。认证系统主要完成Radius、Web认证功能,计费网关完成数据包转发控制、计费流量采集、日志采集,查询管理系统提供查询统计、用户管理、费用管理、账务管理,记账系统完成计费流量存储、费用实时统计、日志记录存储。系统之间通过API相互通讯,如计费网关将计费流量记录发送给记账系统,记账系统实时统计结果,然后计费网关根据该结果,将欠费用户实时断网。
本计费系统支持IPv4和IPv6两种协议栈,校园网中IPv4和IPv6一般分别走不同的链路,本设计中计费网关也分别采用单独的协议栈。参见图2,IPv4链路的计费网关G1、G2只部署IPv4栈,IPv6链路的计费网关G3只部署IPv6栈,记账系统、认证系统等需要双栈部署。用户在自己的机器上配置IPv4 和IPv6双栈,客户端同时支持IPv4和IPv6认证。用户数据经过双栈校园网或者IPv6通过隧道方式发起访问时,如果是IPv4访问,IPv4计费网关检测到用户为初次登录,将数据以IPv4协议重定向到认证系统;如果是IPv6访问,同理以IPv6协议重定向到认证系统。当通过认证之后,认证系统分别将客户端的IPv4、IPv6在线信息同步到IPv4和IPv6计费网关。用户继续访问网络时,IPv4和IPv6计费网关将用户的访问记录记入记账系统,供查询管理系统查询和供认证系统判断用户费用。这样计费网关只部署所必需的部件,做到整个计费系统轻量级工作。
计费系统特点
由于采用了基于链路聚合的负载均衡、认证系统从计费网关分离的分布式模块化设计、整个计费系统部署在高速私网等设计技术,并且核心认证网关工作在数据链路层,对整个网络来说是一个透明网关,因此该计费系统具备以下特点:
1.高安全性
计费网关(G1、G2、G3等)采用高速私网与认证系统、记账系统通讯该网可以通过采用InfiniBand或者光纤交换网来实现高带宽的目的。认证系统提供校园网和私网连接,通过认证系统实现计费网关的在线用户信息同步。采用这种部署方式,核心的计费网关和记账系统完全放置在私网,只有需要提供校园网服务的认证系统和查询管理系统提供校园网访问;并且计费网关工作在数据链路层,接入网卡无IP地址,使得攻击者无法找到攻击的入口,这样整个计费系统具有很高的安全性。
2.负载均衡和高可靠性
出口路由器与核心交换机之间采用端口聚合实现负载均衡,端口聚合是成熟的以太网技术,不会存在技术上的风险。采用链路聚合,链路带宽能与出口和内网总线带宽匹配,不会成为整个网络的瓶颈。采用端口聚合,当链路工作正常的时候,数据包在每个链路平均分配,每台计费网关压力小,数据包能快速转发。采用端口聚合,当任一链路失效(包括计费网关宕机)的时候,由于计费网关是工作在数据链路层的透明网关,数据包会自动从其它链路转发,这样计费系统具备很高的可靠性。并且如果计费网关探测到认证系统或者记账系统宕机,计费网关自动关闭认证功能切换到直通模式,始终保证网络畅通,做到提供不间断服务的高可用性。
3.分布式设计
计费系统分为计费网关、认证系统、记账系统、查询管理系统,网络用户和计费网关之间的通讯通过认证系统完成。当用户发起认证的时候,如果认证系统通过,认证系统分别将用户在线信息发往IPv4计费网关和IPv6计费网关。当用户下线的时候,认证系统将离线信息分别发往两类计费网关。客户端和认证系统之间进行KeepAlive,当检测到用户异常离线时,将用户离线信息同步到两类网关中。认证模块还提供Radius服务器功能,实现二次认证的统一认证,做到对用户透明。
4.弹性扩展
因为采用了基于端口聚合的负载均衡技术,当计费网关性能和带宽不能满足需求时,既可以采用提高网关配置的垂直升级方式,也可以采用增加多台计费网关的横向扩展方式,使得整个系统具备很强的弹性。
校园网具有流量大、应用广泛、规模大、用户流动大、网络环境开放、遭受攻击多等特点,而计费系统作为校园网计费和接入控制的核心,必须达到高效率、高可用、高安全、弹性扩展等关键指标。本文提出的校园网计费认证系统采用了二次认证,其中802.1X起着校园网接入和跟踪定位作用,出口采用工作于数据链路层的透明网关进行控制,支持按流量、按时等计费策略,能够满足校园网高效、高可靠、高安全等要求。
(作者单位为北京航空航天大学网络信息中心)