基于IPoE的校园网IPv4/IPv6双栈准入认证设计与实现

作     者：马云龙 张千里 李风华 姜彩萍 潘丽 孟斌 MA Yunlong;ZHANG Qianli;LI Fenghua;JIANG Caiping;PAN Li;MENG Bin

作者机构：清华大学信息化技术中心北京100084 

基　　金：国家重点研发计划资助项目(2017YFB0503703) 

出 版 物：《深圳大学学报（理工版）》 (Journal of Shenzhen University(Science and Engineering))

年 卷 期：2020年第37卷第S1期

页      码：1-5页

摘      要：校园网规模的不断扩大增加了校园网面对的安全风险,目前的AAA认证大多数仅限于在校园网出口,无法实施接入的准入控制,这使得一方面动态分配IP地址使用效率降低,另一方面用户可能规避流量计费.为实现现有大规模校园网中IPv4/IPv6双栈网络的准入认证,清华大学校园网设计和实施了基于IPoE的双栈准入认证.IPoE是一种接入认证方式,在IPoE业务中,用户通过以太网物理链路接入,以DHCP方式动态获取IP地址,可以使用多种用户身份验证方式实现认证.IP报文在以太网对用户接入设备封装后,经过接入网络,一直到达BRAS设备.BRAS设备在收到客户端的DHCP确认请求报文后,根据报文中的客户端硬件地址和当前的Vlan ID来查找该用户的地址分配信息.本研究针对IPv4/IPv6的统一联动下的多样应用场景,设计了基于Session级的IPoE技术,通过不同协议栈接口的配置模板向AAA服务器递交不同的控制策略账号,解决了现有用户多类型、多场景的复杂需求;针对大规模校园网中的安全风险,设计了BRAS、AAA服务器和DHCP服务器多角色联动机制,实现了只有授权后用户才能够获取地址,避免了未认证用户所带来的不可管理的安全风险;针对大规模部署下系统的高负载压力,通过在BRAS端设置webportal重定向白名单,降低了webportal服务器的负载.实际部署表明,现有的双栈准入认证系统达到了预定的设计目标,可以稳定运行.

主 题 词：认证授权与审计 IPv4/IPv6双栈准入控制 网络安全 校园网 

学科分类：12[管理学] 1201[管理学-管理科学与工程类] 08[工学] 0802[工学-机械学] 081201[081201] 0702[理学-物理学类] 0812[工学-测绘类] 

核心收录：

D　O　I：10.3724/SP.J.1249.2020.99001

馆 藏 号：203991753...