二、 扩展的WLAN技术

上述机制有力的保证了宽带网络中IPv6用户的源地址的可靠性。针对WLAN的新型组网, Comware平台提出了新颖的方案H3C专利技术),解决了包括设备过滤性能、客户端漫游等问题,并有效的完成了IPv6源地址验证。

WLAN组网中包括两个要素:

APAccess Point,接入点),提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。

ACAccess Controller,无线控制器),对无线局域网中的所有AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息,来为WLAN用户提供认证服务。

因为存在两级链路层转发控制设备,如果类似于有线网络,简单的进行DHCPv6 Snooping或ND snooping,再进行IP Source Guard,需要考虑部署在哪一级。如果两者都部署在AC上,则当用户数很多时非常耗费资源,且性能很容易下降。如果两者都部署在AP上,则AP既要侦听学习表项,又要维护IP Source Guard表项,并以此过滤数据报文,性能也会有一定的影响。另外,不同AP之间仍然存在IP仿冒问题。比如一个AP上有用户使用了某个IP后,其它AP上某用户仿冒同一IP,发送DHCPv6 Confirm报文也是合法的DHCP交互过程,用于重新确认分配的地址),则原始AP上并不能及时知晓。

因此在WLAN环境下,Comware采用了新的源地址验证模型,通过对WLAN原有的MAC验证机制、漫游机制进行扩展,在AC/AP架构下,在AP上采用类似于DHCPv6 Snooping,ND Snooping的机制,生成基于用户的IPv6地址相关信息,并采用IPv6 Source Guard进行IPv6源地址验证;在向AC同步用户信息表时,同步用户的IPv6信息以及对应的IPv6地址生命期等相关信息,在用户漫游后向新AP同步对应的信息生成新的用户信息表;在AC上生成所有同链路用户IPv6地址信息总表,在每个新用户IPv6地址上报给AC时进行唯一性对比,防止同一链路内的IPv6地址伪造如图5所示)。

 

通过上述技术,扩展了WLAN原有的用户验证技术,使用基于每用户的IPv6地址表进行IPv6用户查找,速度更快,更易于维护;并解决了WLAN网络中,存在漫游的情况下保证对用户进行IPv6源地址验证的问题。

三、  结合Portal认证,保证IPv6接入的可管理性

前面讨论的对源地址验证方法,解决了用户伪造报文的问题。这样,我们就可以通过用户IPv6地址来唯一标识用户身份,将其与用户一一对应起来,也可以使用跨越三层路由器的身份识别,从而方便的对用户的上网行为进行管理,包括认证、授权和计费。典型的基于IP进行身份识别的认证技术为Portal认证,通常也称为Web认证。

在部署了Portal的网络中,未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,认证通过后,设备才允许此用户的IPv6地址使用互联网资源。

Comware平台所实现的Portal认证功能,支持本地Portal服务器功能,即Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。在无线应用环境中,可以给属于不同SSIDService Set Identifier,服务集识别码)的用户绑定不同的认证页面,从而提供差异化服务。

四、 结束语

IPv6源地址验证技术SAVI),保证了网络上每一个用户所发报文的源地址的可靠性,Portal认证保证了IPv6用户的可管理性,将Portal与IPv6源地址验证有效结合,将有力保证用户上网的易用性和安全性,并对用户IPv6流量进行统一管理,保证网络维护的简洁和易操作性。 


共4页: 上一页1234下一页

相关内容