蔡鐘鳴

摘要：該文提出一種基于Web認(rèn)證的用戶無感知熱備切換方案，用以解決VRRP組熱備切換后，已認(rèn)證用戶需經(jīng)過再次認(rèn)證以及大量用戶同時(shí)認(rèn)證給認(rèn)證設(shè)備造成相應(yīng)的性能影響的問題，提高Web認(rèn)證穩(wěn)定性和可靠性。

關(guān)鍵詞：web認(rèn)證；vRRp；熱備切換；無感知

1概述

目前，隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)全球性的問題。從目前市場應(yīng)用來看，對(duì)訪問網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證已成為了保障網(wǎng)絡(luò)安全的重要手段。因此，安全、有效、便捷的接人認(rèn)證技術(shù)成為了近年的研究熱點(diǎn)。目前，主要的接入認(rèn)證方式有PPPoE、IEEE 802.1x和Web認(rèn)證。其中，Web認(rèn)證以其無需用戶安裝任何認(rèn)證軟件的優(yōu)點(diǎn)，得到了越來越廣泛的應(yīng)用。同時(shí)隨著移動(dòng)互聯(lián)網(wǎng)的興起，組網(wǎng)中的用戶量與日俱增，如何保證在大量認(rèn)證用戶下Web認(rèn)證的可靠性和穩(wěn)定性成為了業(yè)界亟待解決的問題。

當(dāng)前主流熱備組網(wǎng)中，備機(jī)僅通過VRRP進(jìn)行鏈路備份，當(dāng)主機(jī)發(fā)生故障時(shí)，能在無需修改動(dòng)態(tài)路由協(xié)議、路由發(fā)現(xiàn)協(xié)議等配置信息的情況下保持鏈路暢通。但在接人認(rèn)證場景中，用戶認(rèn)證成功后需要在認(rèn)證設(shè)備上設(shè)置相應(yīng)用戶權(quán)限以放行用戶的報(bào)文，而備機(jī)上并沒有設(shè)置相應(yīng)的權(quán)限信息。因此，在主機(jī)出現(xiàn)故障后，已認(rèn)證用戶通過備機(jī)進(jìn)行網(wǎng)絡(luò)訪問時(shí)，會(huì)出現(xiàn)不得不進(jìn)行再次認(rèn)證的情況。當(dāng)已認(rèn)證用戶數(shù)量在幾萬個(gè)甚至十萬以上時(shí)，短時(shí)間大量用戶同時(shí)重定向很容易給設(shè)備造成極大負(fù)擔(dān)。

因此，在Web認(rèn)證熱備組網(wǎng)的環(huán)境下，如何保證在主備切換時(shí)，已認(rèn)證用戶能夠無需再次認(rèn)證以及批量同時(shí)認(rèn)證造成的性能瓶頸是當(dāng)前亟待解決的重要問題。

2已認(rèn)證用戶無感知熱備切換技術(shù)

鑒于以上所述現(xiàn)有技術(shù)的缺陷，本文提出一種基于Web認(rèn)證的已認(rèn)證用戶無感知熱備切換方案，用以解決熱備切換后導(dǎo)致所有已認(rèn)證用戶掉線，需要重新認(rèn)證以及相應(yīng)產(chǎn)生的性能問題。

2.1已認(rèn)證用戶無感知熱備切換技術(shù)原理

由兩臺(tái)認(rèn)證設(shè)備間建立2個(gè)VRRP組，兩臺(tái)設(shè)備互為主備關(guān)系，提高網(wǎng)絡(luò)穩(wěn)定性。該技術(shù)原理的核心在于：在每個(gè)VRRP上建立熱備通道，主機(jī)通過熱備通道將用戶信息備份到備機(jī)Web認(rèn)證模塊中。由于備機(jī)上備份信息的存在，當(dāng)發(fā)生VRRP主備切換時(shí)，已認(rèn)證用戶能夠直接在原備機(jī)上線，相應(yīng)流量能夠通過原備機(jī)轉(zhuǎn)發(fā)出去，不需要用戶再次認(rèn)證，避免給認(rèn)證設(shè)備造成負(fù)擔(dān)。信息熱備分為實(shí)時(shí)熱備和批量熱備兩種方式，實(shí)時(shí)熱備是用戶認(rèn)證上下線時(shí)的信息熱備，批量熱備是主備斷開重新連上等情況下的熱備。

2.2實(shí)時(shí)通告熱備流程

當(dāng)用戶認(rèn)證上下線時(shí)，用戶認(rèn)證信息變化由主機(jī)通過實(shí)時(shí)熱備同步給備機(jī)。當(dāng)用戶認(rèn)證成功后，主機(jī)向備機(jī)的Web認(rèn)證模塊同步該用戶信息，備機(jī)將該用戶的狀態(tài)信息STATUS置為backup。此時(shí)備機(jī)并不向下層模塊下發(fā)用戶信息，以避免主機(jī)大量用戶上下線時(shí)各下層模塊頻繁地、不必要地更新信息，統(tǒng)一在備機(jī)切換成主機(jī)時(shí)下發(fā)。用戶認(rèn)證上線實(shí)時(shí)熱備流程如圖1所示。

當(dāng)用戶下線成功后，主機(jī)刪除相應(yīng)用戶信息，并同時(shí)通告?zhèn)錂C(jī)刪除該用戶信息。用戶認(rèn)證下線實(shí)時(shí)熱備流程如圖2所示。

2.3批量通告熱備流程

當(dāng)VRRP組熱備切換或斷開重新建立熱備組時(shí)，主備機(jī)通過批量熱備通告認(rèn)證用戶信息。原主機(jī)切換為備機(jī)后，將本機(jī)相應(yīng)認(rèn)證用戶狀態(tài)由在線變?yōu)閭浞轄顟B(tài)，原備機(jī)切換為主機(jī)后，將原先狀態(tài)為備份的用戶切換成在線，并向底層模塊下發(fā)相應(yīng)用戶信息，以放行該用戶報(bào)文。批量通告熱備流程如圖3所示。

2.4熱備切換流程

VRRP主備機(jī)進(jìn)行熱備切換后，已在線用戶在原先備設(shè)備直接上線，由于此時(shí)原備設(shè)備還未下發(fā)用戶表項(xiàng)，因此在轉(zhuǎn)為VRRP主設(shè)備后，還需要放行本VRRP的虛網(wǎng)關(guān)MAC地址（源和目的），用于放行原主設(shè)備備份過來的用戶表項(xiàng)，此時(shí)有一段時(shí)間網(wǎng)關(guān)在此VRRP上的用戶可以直接使用網(wǎng)絡(luò)資源。當(dāng)切換后的主設(shè)備上的VRRP備份用戶表項(xiàng)全部安裝完畢后，會(huì)刪除VRRP的虛網(wǎng)關(guān)MAC直通，此時(shí)在此VRRP網(wǎng)關(guān)轉(zhuǎn)發(fā)的報(bào)文需要經(jīng)過認(rèn)證。熱備切換流程如圖4所示。

3性能仿真測試分析

本方案與無VRRP組用戶信息熱備方案的對(duì)比性能仿真測試結(jié)果如下：

使用TestCenter測試儀模擬測試5萬認(rèn)證用戶在線時(shí)，無熱備通道備份方案下進(jìn)行VRRP切換，圖5中可以看到斷流大約40秒，直到5萬認(rèn)證用戶重新認(rèn)證完畢后，才可訪問外網(wǎng)，流量全部打通。

認(rèn)證設(shè)備CPU如圖6所示，處于較高的水平。

相同測試條件下，本方案的仿真測試情況如圖7，圖8所示，VRRP組進(jìn)行熱備切換時(shí)不斷流，用戶可以直接訪問網(wǎng)絡(luò)無需再次認(rèn)證，且認(rèn)證設(shè)備CPU保持在較低水平。

4結(jié)束語

綜上所述，本文提出的認(rèn)證用戶無感知熱備切換方案，能夠在VRRP主設(shè)備出現(xiàn)故障，需主備進(jìn)行熱備切換時(shí)，使已在線用戶在原先備設(shè)備無需經(jīng)過再次認(rèn)證直接上線，達(dá)到用戶無感知熱備切換的目的，并且減少切換過程對(duì)認(rèn)證設(shè)備的CPU性能影響。最終達(dá)到提高Web認(rèn)證穩(wěn)定性和可靠性的目的。