在上一期的《如何保证WLAN网络IPv6用户的安全接入》中，我们介绍了IPv6网络中常见的地址安全问题以及对应的防护措施和解决方案，这些解决方案有力的保证了宽带网络中IPv6用户源地址的可靠性。本期我们将继续探讨WLAN网络中IPv6用户安全的话题，主要介绍H3C针对此问题的技术实现方式及相关建议。

一、     针对IPv6用户的安全接入，H3C在AC+FIT AP组网架构下的技术实现

无线控制器（AC）+FIT AP的组网架构已成为当前WLAN网络建设的主要方式。针对这种WLAN网络的新型组网架构， H3C提出了新颖的技术方案，解决了包括设备过滤性能、客户端漫游等问题，并有效的完成了IPv6源地址验证，保证IPv6用户接入的安全性。

WLAN网络中的两个要素：

l  AC（Access Controller，无线控制器），对无线局域网中的所有FIT AP和无线客户端进行控制和管理。无线控制器还可以通过与认证服务器的信息交互，完成对WLAN用户的认证服务。

l  FIT AP（Access Point，接入点），提供无线客户端到局域网的桥接功能，在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。

因为在AC+FIT AP的网络架构中存在AC和FIT AP两级链路层转发控制设备，如果参照有线网络的实现方式，简单的进行DHCPv6 Snooping或ND snooping，再进行IP Source Guard，就需要考虑这些功能部署在哪一级，是部署在AC上还是AP上。如果两者都部署在AC上，则当用户数量较多时，非常耗费AC的资源，容易造成AC性能的下降。如果两者都部署在AP上，则AP既要侦听学习snooping表项，又要维护IP Source Guard表项，并以此过滤数据报文，性能也会受到一定的影响；另外，不同AP之间仍然会存在IP仿冒的问题。比如一个AP上有用户使用了某个IP后，其它AP上某用户仿冒同一IP，发送DHCPv6 Confirm报文（也是合法的DHCP交互过程，用于重新确认分配的地址），则原始AP上并不能及时知晓。

因此，在AC+FIT AP的WLAN网络中，H3C采用了新的源地址验证模型，通过对WLAN原有的MAC验证机制、漫游机制进行扩展，在AC/FIT AP架构下，AP上采用类似于DHCPv6 Snooping、ND Snooping机制，生成基于用户的IPv6地址相关信息，并采用IPv6 Source Guard进行IPv6源地址验证；在向AC同步用户信息表时，同步用户的IPv6信息以及对应的IPv6地址生命期等相关信息；当用户漫游后，新AP同步对应的信息以生成新的用户信息表；在AC上生成所有同链路用户IPv6地址信息总表，在每个新用户IPv6地址上报给AC时进行唯一性对比，防止同一链路内的IPv6地址伪造（如图1所示）。

图1 AC+FIT AP组网的无线SAVI功能

通过上述技术，扩展了WLAN原有的用户验证技术，使用基于每用户的IPv6地址表进行IPv6用户查找，速度更快，更易于维护；并解决了WLAN网络中，存在漫游的情况下保证对用户进行IPv6源地址验证的问题。

二、      结合Portal认证，保证IPv6接入的可管理性

前面讨论的对源地址验证方法，解决了用户伪造报文的问题。这样，我们就可以通过用户IPv6地址来唯一标识用户身份，将其与用户一一对应起来，也可以使用跨越三层路由器的身份识别，从而方便的对用户的上网行为进行管理，包括认证、授权和计费。典型的基于IP进行身份识别的认证技术为Portal认证，通常也称为Web认证。

在部署了Portal的网络中，未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，认证通过后，设备才允许此用户的IPv6地址使用互联网资源。

H3C所实现的Portal认证功能，支持本地Portal服务器功能，即Portal认证系统中不采用外部独立的Portal服务器，而由接入设备实现Portal服务器功能。这种情况下，Portal认证系统仅包括三个基本要素：认证客户端、接入设备和认证/计费服务器。由于设备支持Web用户直接认证，因此就不需要部署额外的Portal服务器，增强了Portal认证的通用性。在无线应用环境中，可以给属于不同SSID（Service Set Identifier，服务集识别码）的用户绑定不同的认证页面，从而提供差异化服务。

同时为了简化Portal流程，便于用户访问WLAN网络，H3C还提出了特有的Portal无感知认证解决方案，将在下一期中为大家详细介绍。

三、     结束语

IPv6源地址验证技术（SAVI），保证了网络上每一个用户所发报文的源地址的可靠性，Portal认证保证了IPv6用户的可管理性，将Portal与IPv6源地址验证有效结合，将有力保证WLAN网络IPv6用户上网的易用性和安全性，并对用户IPv6流量进行统一管理，保证网络维护的简洁和易操作性。