三、 结合Portal认证,保证IPv6接入的可管理性
前面讨论的对源地址验证方法,解决了用户伪造报文的问题。这样,我们就可以通过用户IPv6地址来唯一标识用户身份,将其与用户一一对应起来,也可以使用跨越三层路由器的身份识别,从而方便的对用户的上网行为进行管理,包括认证、授权和计费。典型的基于IP进行身份识别的认证技术为Portal认证,通常也称为Web认证。
在部署了Portal的网络中,未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,认证通过后,设备才允许此用户的IPv6地址使用互联网资源。
Comware平台所实现的Portal认证功能,支持本地Portal服务器功能,即Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。在无线应用环境中,可以给属于不同SSID(Service Set Identifier,服务集识别码)的用户绑定不同的认证页面,从而提供差异化服务。
四、 结束语
IPv6源地址验证技术(SAVI),保证了网络上每一个用户所发报文的源地址的可靠性,Portal认证保证了IPv6用户的可管理性,将Portal与IPv6源地址验证有效结合,将有力保证用户上网的易用性和安全性,并对用户IPv6流量进行统一管理,保证网络维护的简洁和易操作性。