网络运维|终端接入技术

网络运维|终端接入技术

大家好，我是一枚从事IT外包的网络运维工程师，今天和大家聊点安全方面的技术，这次咱们就谈一谈终端接入技术。

终端接入简介

背景信息

终端接入网关功能，支持PPPoE、IPoE、L2TP等终端用户的接入认证简单管理，作为小型企业100~500人左右的终端设备接入网管路由器，支持终端地址分配、终端用户认证等场景。

如图1所示，在宽带网络中，Router作为企业出口网关，同时作为终端接入设备，可以为各种宽带接入方式的用户，如为基于以太网接入LAN Switch、基于无线信号WLAN（Wireless Local Area Network）接入AP（Access Point）、基于ADSL（Asymmetric Digital Subscriber Line）接入DSLAM（Digital Subscriber Line Access Multiplexer）的用户提供基本的接入手段和宽带接入网的管理功能，实现用户的宽带上网等应用。

图1  用户通过不同的宽带接入方式接入Router 

配置终端接入

接入用户的认证

通过认证用来验证用户是否可以获得访问权，确定哪些用户可以访问网络。

如图2所示，用户物理接入方式的差异在接入设备上被屏蔽，Router可见的是用户报文的封装格式，即终端接入通过用户报文的协议栈来区分用户，对应不同的用户，灵活地选择不同的认证方式。

终端接入支持PPPoE认证和Portal认证两种认证方式。

图2  用户通过不同的宽带接入方式接入Router 

·PPPoE认证

如图3所示，PPPoE用户通过PPPoE拨号接入Internet（基于以太网和基于ADSL方式）。当PPPoE用户通过终端上的客户端软件进行PPPoE拨号，Router作为PPPoE Server对PPPoE用户进行PPP认证，用户的用户名和密码等用户信息在AAA服务器上完成认证。PPPoE用户认证通过后Router为其动态分配IP地址，使PPPoE用户可以访问Internet。

图3  PPPoE认证 

Portal认证

Portal认证，即Web认证：在用户未认证前试图访问其无权访问的地址时，Router将其访问请求强制重定向到Portal服务器，用户通过访问Portal服务器的认证页面，Router和远程终端交互信息后，用户的用户名和密码等用户信息在AAA服务器上完成认证。

如图4所示，Web用户通过访问Portal服务器的认证页面接入Internet（基于以太网和基于WLAN方式），Web用户先通过静态IP地址或DHCP获得IP地址后，上网过程中Web用户将被强制访问Portal认证网站，从而开始Portal认证过程。Web用户认证通过后，才可以访问Internet。

图4  Portal认证 

接入用户的管理

接入用户上线后，Router通过AAA对接入用户进行管理，如对用户使用网络资源进行计费，控制在线用户的带宽，指定用户下线等。

·         基于域管理接入用户

AAA除了提供认证，还可以提供授权和计费这两种安全功能。AAA通过域来进行用户管理，用户的认证、授权、计费都需要在域下执行。所有对于接入用户的认证方案、授权方案、计费方案都是先在AAA视图下创建，再在域视图下引用对应的认证方案、授权方案、计费方案。

例如，同一域内的用户，可以访问相同的网址，享有相同的计费策略，以及享有相同的带宽策略。

以上文章由北京艾锑无限科技发展有限公司整理