文档介绍：H3C用户识别与管理技术白皮书
关键词:认证、用户、RADIUS、i-Ware、用户识别
摘要:通过RADIUS协议报文分析技术,i-Ware可以识别出用户上线、下线过程,获得用户信息,从而可以基于用户、用户组进行用户流量分析、控制。不需要改变现有组网,也不需要重新部署用户认证方案。
缩略语:
缩略语
英文全名
中文解释
RADIUS
Remote Authentication Dial In User Service
拨入用户远程认证服务
目录
1 概述 3
产生背景 3
技术优点 3
2 用户识别技术 4
概念介绍 4
运行机制 4
RADIUS协议 4
动态用户识别 5
3 典型组网应用 6
旁路模式 6
在线模式 7
概述
产生背景
网络应用多种多样,不断涌现出新的应用。新应用的出现一方面方便了网络用户,另一方面对于网络资源、企业的正常应用造成了一定的冲击。例如,随着P2P下载、网络电视、网络电话的出现,丰富了人们的生活,同时也严重侵蚀着网络带宽,占用网络连接资源,影响其他正常用户对网络的使用。例如,网络电话的出现,使电信运营商的收入下降;P2P软件的使用严重占用了企业有限的网络带宽,影响了企业正常业务的运行;P2P软件大量消耗网络带宽和连接资源,影响运营商的其他用户,增加了运营商的维护成本和设备投资成本。
因此,需要对一些可能影响其它用户,以及对公共资源占用严重的应用进行控制,保证企业正常业务的良好运行,以及运营商为用户提供良好的服务保障。同时,运营商可以针对需要P2P服务的用户提供有针对性的服务收费。
对于宽带接入来说,通常是采用动态分配用户的IP地址,事先无法根据用户的IP指定控制策略,在用户上线后才能获取到用户名和用户IP的对应关系。事先只能根据用户名和用户组来配置控制策略。
H3C通过用户识别以及基于用户的服务控制策略,实现了对宽带接入(xDSL、小区宽带等),以及企业员工的服务控制。在已经部署的组网中,不需要改变用户的认证方案,只是将认证协议报文镜像到设备上,通过对认证协议的分析,识别出用户上线、下线行为,以及用户名与用户IP对应关系等信息,实现基于用户名、用户组的服务控制。
技术优点
H3C的用户识别与管理技术具有以下优点:
支持在线模式、旁挂模式,部署方便。
支持大用户量,可支持同时在线6万用户。
与用户策略配合可实现用户访问的内容审计、服务访问控制、带宽控制、连接数限制、VoIP控制、P2P控制等。
支持丰富的报表。
用户识别技术
概念介绍
用户识别,是通过对流经设备的认证协议报文进行分析,识别出用户的用户名、IP
地址、用户上线时间、下线时间等用户信息。
运行机制
RADIUS协议
RADIUS协议是IETF制定的用于远程接入用户的认证协议。支持用户的认证、计费。该协议采用UDP作为传输协议。RADIUS协议认证中的角色分为接入用户、接入控制设备(BAS)、认证服务器,接入用户属于被认证的实体。
接入控制设备负责控制只有认证通过的用户才能接入网络,对于没有认证的用户,BAS负责将接入用户的身份信息通过RADIUS协议发送给认证服务器对用户进行认证,RADIUS协议在接入控