《H3C用户识别与管理技术白皮书》由会员分享,可在线阅读,更多相关《H3C用户识别与管理技术白皮书(7页珍藏版)》请在金锄头文库上搜索。
1、 H3C用户识别与管理技术白皮书杭州华三通信技术有限公司 第1页,共7页H3C用户识别与管理技术白皮书 关键词:认证、用户、RADIUS、i-Ware、用户识别 摘 要:通过RADIUS协议报文分析技术,i-Ware可以识别出用户上线、下线过程,获得用户信息,从而可以基于用户、用户组进行用户流量分析、控制。不需要改变现有组网,也不需要重新部署用户认证方案。 缩略语: 缩略语 英文全名 中文解释 RADIUS Remote Authentication Dial In User Service 拨入用户远程认证服务 H3C用户识别与管理技术白皮书杭州华三通信技术有限公司 第2页,共7页目 录
2、 1 概述.3 1.1 产生背景.3 1.2 技术优点.3 2 用户识别技术.4 2.1 概念介绍.4 2.2 运行机制.4 2.2.1 RADIUS协议.4 2.2.2 动态用户识别.5 3 典型组网应用.6 3.1 旁路模式.6 3.2 在线模式.7 H3C用户识别与管理技术白皮书杭州华三通信技术有限公司 第3页, 共7页1 概述 1.1 产生背景 网络应用多种多样,不断涌现出新的应用。新应用的出现一方面方便了网络用户,另一方面对于网络资源、企业的正常应用造成了一定的冲击。例如,随着P2P下载、网络电视、网络电话的出现,丰富了人们的生活,同时也严重侵蚀着网络带宽,占用网络连接资源,影响其
3、他正常用户对网络的使用。例如,网络电话的出现,使电信运营商的收入下降;P2P软件的使用严重占用了企业有限的网络带宽,影响了企业正常业务的运行;P2P软件大量消耗网络带宽和连接资源,影响运营商的其他用户,增加了运营商的维护成本和设备投资成本。 因此,需要对一些可能影响其它用户,以及对公共资源占用严重的应用进行控制,保证企业正常业务的良好运行,以及运营商为用户提供良好的服务保障。同时,运营商可以针对需要P2P服务的用户提供有针对性的服务收费。 对于宽带接入来说,通常是采用动态分配用户的IP地址,事先无法根据用户的IP指定控制策略,在用户上线后才能获取到用户名和用户IP的对应关系。事先只能根据用户名
4、和用户组来配置控制策略。 H3C通过用户识别以及基于用户的服务控制策略,实现了对宽带接入(xDSL、小区宽带等),以及企业员工的服务控制。在已经部署的组网中,不需要改变用户的认证方案,只是将认证协议报文镜像到设备上,通过对认证协议的分析,识别出用户上线、下线行为,以及用户名与用户IP对应关系等信息,实现基于用户名、用户组的服务控制。 1.2 技术优点 H3C的用户识别与管理技术具有以下优点: z 支持在线模式、旁挂模式,部署方便。 z 支持大用户量,可支持同时在线6万用户。 z 与用户策略配合可实现用户访问的内容审计、服务访问控制、带宽控制、连接数限制、VoIP控制、P2P控制等。 z 支持丰
5、富的报表。 H3C用户识别与管理技术白皮书杭州华三通信技术有限公司 第4页, 共7页2 用户识别技术 2.1 概念介绍 用户识别,是通过对流经设备的认证协议报文进行分析,识别出用户的用户名、IP地址、用户上线时间、下线时间等用户信息。 2.2 运行机制 2.2.1 RADIUS协议 RADIUS协议是IETF制定的用于远程接入用户的认证协议。支持用户的认证、计费。该协议采用UDP作为传输协议。RADIUS协议认证中的角色分为接入用户、接入控制设备(BAS)、认证服务器,接入用户属于被认证的实体。 接入控制设备负责控制只有认证通过的用户才能接入网络,对于没有认证的用户,BAS负责将接入用户的身
6、份信息通过RADIUS协议发送给认证服务器对用户进行认证,RADIUS协议在接入控制设备和RADIUS服务器之间。 Radius协议是请求/响应模式。一个交互由一个请求报文和一个响应报文组成。Radius的基本交互包括: z 认证:验证用户的身份信息,确定用户是否可以访问网络。 z 计费开始:对于需要计费的,在认证成功后进行进行计费开始交互。 z 计费更新:定时进行计费更新交互,向服务器上报当前用户的总流量。 z 计费停止:用户下线前,通知服务器停止计费。 H3C用户识别与管理技术白皮书杭州华三通信技术有限公司 第5页, 共7页Access_RequestBASRADIUS ServerAc
7、cess_AcceptAcct_Response ( Start )Acct_Request ( Start )Acct_Response ( Update )Acct_Request ( Update )Acct_Response ( Stop )Acct_Request ( Stop )认证计费开始计费更新计费结束在RADIUS协议的Access-Request、Access-Accept、Acct_Request报文中,会携带用户名、用户IP属性。 2.2.2 动态用户识别 将与认证服务器交互的RADIUS报文通过镜像的方式引到ACG设备,ACG设备对Access-Request、Acc
8、ess-Accept、Acct_Request报文进行分析,得到用户名和用户IP的对应关系,将其加入在线用户列表中。在发现一个用户的停止计费报文后,将用户从在线列表中删除。 H3C用户识别与管理技术白皮书杭州华三通信技术有限公司 第6页, 共7页3 典型组网应用 3.1 旁路模式 通过在交换机上配置报文镜像将RADIUS协议报文,以及要控制的用户流量镜像到ACG设备上。ACG通过对RADIUS报文的识别,获取到用户与IP的对应关系,并识别出用户流量,根据配置的用户策略对用户流量进行控制。在旁路模式下,只能实现对用户流量的干扰。 H3C用户识别与管理技术白皮书杭州华三通信技术有限公司 第7页, 共7页3.2 在线模式 通过在交换机上配置报文镜像将RADIUS协议报文镜像到ACG设备上。ACG通过对RADIUS报文的识别,获取到用户与IP的对应关系,并识别出用户流量。根据配置的用户策略对用户流量进行控制。在线模式下,可以实现丰富的流量控制动作,比如:限速、阻断、干扰等。 Copyright 2008 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 本文档中的信息可能变动,恕不另行通知。
