万人德扑

  • <tr id='CmMIU5'><strong id='CmMIU5'></strong><small id='CmMIU5'></small><button id='CmMIU5'></button><li id='CmMIU5'><noscript id='CmMIU5'><big id='CmMIU5'></big><dt id='CmMIU5'></dt></noscript></li></tr><ol id='CmMIU5'><option id='CmMIU5'><table id='CmMIU5'><blockquote id='CmMIU5'><tbody id='CmMIU5'></tbody></blockquote></table></option></ol><u id='CmMIU5'></u><kbd id='CmMIU5'><kbd id='CmMIU5'></kbd></kbd>

    <code id='CmMIU5'><strong id='CmMIU5'></strong></code>

    <fieldset id='CmMIU5'></fieldset>
          <span id='CmMIU5'></span>

              <ins id='CmMIU5'></ins>
              <acronym id='CmMIU5'><em id='CmMIU5'></em><td id='CmMIU5'><div id='CmMIU5'></div></td></acronym><address id='CmMIU5'><big id='CmMIU5'><big id='CmMIU5'></big><legend id='CmMIU5'></legend></big></address>

              <i id='CmMIU5'><div id='CmMIU5'><ins id='CmMIU5'></ins></div></i>
              <i id='CmMIU5'></i>
            1. <dl id='CmMIU5'></dl>
              1. <blockquote id='CmMIU5'><q id='CmMIU5'><noscript id='CmMIU5'></noscript><dt id='CmMIU5'></dt></q></blockquote><noframes id='CmMIU5'><i id='CmMIU5'></i>

                基於SDN的WLAN組網方案及接入認證研究

                中國科技論文在線▆基於SDN的WLAN組網方案及接入認證研 作者簡介:溫浩(1984-),男,研究生,主要研究方向:軟件定義網絡、接入網通信聯系人:胡怡紅,女,副教授,主要研究方向:光接入/無線接入、高速網絡安全、網絡測試與優㊣化、 移動互聯網與智能終端應用. E-mail: yhhu@bupt.edu.cn (北京郵電大學信息與通信工程學院,北京 100876) 摘要:隨著移動智能終端的不斷普及,人們對無線接入需求與日俱增。WLAN 在運「營商網絡中得到了大規 模部署。但是當前的WLAN 組網方案存在一些問題,例如設備的統一管理、無線接入控制器(AC)設備壓力、 網絡可擴♂展性等問題。本文提出了SDN 架構下的WLAN 組網方案,通過軟件編程實現設備統一管理,網絡功 能擴展靈活,同時能夠充分發揮網絡節點設備的轉發能力,解決關鍵節點的壓力問題。SDN 控制器全面←掌 握用戶信息,以全局視圖完成用戶的接入認證功能;也可以根據用戶類型,將用戶接入認證信息轉發給相 10 應的☆認證服務器,協調支持多接入認√證服務器,提升接入認證效率。 關鍵詞:軟件定義網絡;WLAN;接入認證;RADIUS 中圖分類號:TN915.65 Design AccessAuthentication WLANBased SDN15 WEN Hao, HU Yihong, SHOU Guochu (School CommunicationEngineering, Beijing University Telecommunications,Beijing, 100876) Abstract: continuousdevelopment intelligentterminals, wirelessresources significantlyincreasing. Operators alsoactively deploying WLAN network, yet stillsome issues conventionalWLAN, accesspoints' centralized management, accesscontrollers, networkscalability. paperpropose WLANbase Software-DefinedNetwork SDN,network control decoupledfrom forwarding directlyprogrammable, which could extendedeasily only linescode. onlywork SDNswitch needs datapackages following 25instructions from SDNcontrollers. Before user access SDNcontroller can get user information, which can accessauthentication. Also, according classificationbase userinformation, accessrequest coordinateaccess authentication server. mutiaccess authentication server support, accessauthentication efficiency can optimized.30 Key words: SDN; WLAN; Access Authentication; RADIUS 引言隨著移動智▼能終端的不斷普及,人們對無線接入需求與日俱增。上網、視頻等業務對網 絡帶寬要求比較大,WLAN 網絡能夠很好解決用戶對無線網絡帶寬的需╲求,WLAN 在運營 35 商網絡中得到了大規模部署。但是隨著WLAN 技術的應用和發展,傳統的WLAN 組網結構 存在一定的問題。早期的胖AP 分布式組網,隨著網絡規模的擴大,不便〖於管理的問題尤為 突出。之後提出的集中式組網,將胖AP 的功能分離開來,由瘦AP 和無線控制器AC 同完成,這樣就解決了集中管理的問題,但是隨著AC設備∞的加入,對原有網絡同樣造成一 定的影響,例如數據集中轉發方式中,AC 同時負責業務數據和控制數據的轉發,AC 設備 40 負擔大,成為網絡中一個容易出現故障的點。同樣在數據本地轉發方式中,由於AC 設備的 引入,會對它鄰近的々設備如BRAS,造成一定的負擔,同時對網絡的控制功能減弱,不利於 http://www.paper.edu.cn 中國科技論文在線網絡安全。 本文引入軟件定義網絡(Software-Defined Network,SDN),SDN 中】網絡控制從數據 轉發中解耦合出來,通過軟件編程實現。 OpenFlow是支持SDN 架構的一個開放標準,可 45 以在交換機,路由』器和無線接入點上實現。OpenFlow 的網絡結構◥由以下幾部分組成: OpenFlow 交換機、控制器、連接交換機和控制器的安全通道以及用於在他們之間通信的 OpenFlow 協議。 將SDN架構應用的現有的WLAN 組網模式ぷ中,將WLAN 中的控♀制部分 集中提取出來通過軟件實現,具有很強的擴展性,能夠為以後網絡的升級提供更大的便利。 本文提出了SDN 架構下的WLAN 組網方案,主要實現了※※SDN 控制器的接入認證功能,並 50 進行了實驗驗證,同時實現了多接入認√證服務器的支持,有利於提升接入認證效率。 WLAN組網方案 當前WLAN 組網技術中包括分布式組網和集中式組網。分布式組≡網指的是在用戶接入 部分添加Fat AP 設備。集中式組網主要使用的是無線控制器(AC)+Fit AP 的組網方式, 加入了無線控制器對Fit AP 進行集中√的控制管理。集中式組網在數據轉發↘方式上有兩種不 55 同的實現方式,一種為集中轉發,一種為本地轉發。下面分別介紹一下三種主要的WLAN 組網方案。 1.1胖AP 組網模式 Fat AP 組網模式比較∏簡單,在接入層加入←AP 設備,然後通過傳統方式ADSL 或以太網 專線,接入寬帶接入服務器,進行無線用戶的授權認證。這種模式初期投資少見效快。但是 60 各個AP 之》間獨立工作,AP 本地存儲大量配置信息,因此在網絡維護時費時費力。因此這 種模式一般用於小規模的組網,隨著網絡規模的逐漸增大,網絡中加入㊣ 更多的AP 設備,對 系統以後的維護升級帶來很大的麻煩。同時由於各個AP 單獨工作,沒有統一的管理,這種 模式對於終端的漫遊支持不足。 65 傳統FATAP 組網模式 http://www.paper.edu.cn 中國科技論文在線1.2 AC+AP 數據集』中轉發模式 在數據集中轉№發模式中,Fit AP 與AC 之間會建立起兩條通信隧道,一個用來傳輸AC 對Fit AP 的■控制數據,一個是用★來傳輸用戶的業務數據,所有的數據都是通過隧道傳送到 AC 處理。由於AC 的這種高度集中管理,使得AC 上可以實現很多功能,例如用戶接入認 70 證、數據加△密等功能。 在數據集中轉發模式↓下數據流向如圖2 所示。對於Fit AP 控制管理數據經過控制隧道 發送到AC,由AC 進行處理,因此Fit AP 的數量多少決定控制管理的數據量大小,但是由 於對於Fit AP 的控制管理數據只是會在Fit AP 啟動和配置更改時以及對々於Fit AP 狀態的監 控才會╱產生,數據量很小,因此對AC 造成的負荷較小。用戶業務數據也是通過AC 統一轉 75 發,而且數據在流經AC 時還需進行解封裝處理〓〓,對AC 造成負荷。由於網絡中的數據流量 以用戶的業務數據流量為主,因此用戶業務數據流量的大小影是響AC 的性能主要條件,此 時AC 的性能將會成為整個□ 無線網絡的短板。 80 AC+AP數據集中轉發模式 1.3 AC+AP 數據本地轉發模式 數據本地轉發模式中AC 和Fit AP 之間只建立一個控制隧道,控制數據通過建△立的控制 隧道傳給AC,實現AC 對Fit AP 的管理。AC 和Fit AP 間不會建立數據隧ζ 道,數據轉發功 能交給本地交換機完成。AC 只完成對Fit AP 管理的相關功能,用戶接入控制部分也交給網 85 絡中的原有【BRAS 設備來完成★,這樣AC 所承擔的任務就大大降低了。這種組網模式下AC 只負責Fit AP 的配置和管理,AC 就相◎當於一個Fit AP 的無線『管理服務器,它們之間是通過 CAPWAP 協議通信的。本地轉發模式中將集中轉發模式中的無線接入控制與用戶業務數據 轉發兩個部分功◇能分離開來,將業務數據轉發任務分散到AP 上,有效降低了AC 的工作負 擔,同時AC 采用了1+1 備份模式,進一步降低了網絡癱瘓的概率,有利於實現網絡中的負 90 http://www.paper.edu.cn 中國科¤技論文在線載均衡。此時無線網絡和有線網絡的可以共享業務數據鏈路資源。 在數據本地轉發模式下數據流向如圖3 所示。所有的Fit AP 控制管理信息經過控制隧 道由AC 進行處理,因此Fit AP 的數量多少將決定控制管理的數據量大小,由於該數▓據量較 小,因此對AC 造成的負荷較小。而用戶業務數據則由Fit AP 本地進行處理,經轉發設備後 進入互卐聯網,因此用戶業務數據流量的大小對AC 幾乎沒有影響。網絡中業務數據量相對較 95 大,管理控制數據量較小,只是會在AP 啟動和配置更改時以及對〗於Fit AP 狀態的監控才會 產生,因此在數據集中轉發模式中AC 的壓力很小。但是由於AC 設備∞的加入,會對原有網 絡中※的設備造成影響,同時由於AC 的控制能力的減弱,網絡的安全性略低。 AC+AP數據本地轉發模式 100 1.4 SDN 架構的WLAN 組網方案: 基於SDN 架構的WLAN 組網方式主要是將無線管理和接入控制功能都是█在SDN 控制 器上通過軟件的編程來實現的,SDN 控制器是作為一個集中控制的層面。SDN 架構是一個 統一的網絡架構,對以後功能的升▅級、測試都為開發者提供了一個開發的平臺。SDN 架構 下通過虛擬化技術,多個控制器協同工作,共同完成無線管理和接入控制功能。SDN 控制 105 器能夠⊙掌握實時的網絡的動態,對控制●數據也能進行流量均衡。用戶的業務數據轉發通過 SDN 交換機直接進行本地轉發,能夠更大的發揮交換機設備的轉發能力。 基於SDN 架構的WLAN 組網模型如圖4 所示: SDN架構下WLAN 組網模型 110 組網結構 移動智能終端通≡過部署在附近的AP 接入到無線網絡。匯聚設備使用SDN 架構的交換 機,由SDN 控制器統一控制。SDN 控制器完①成AP 的無線管理功能,以及用戶的接入控制, 業務數據的轉發由SDN 交換機完成本地轉發。SDN 控制器←與網絡有建立兩條通道,一條為 OpenFlow 協議用於SDN 交換〒機的管理,一條為控制數據通道,用於對AP 的無線管理以及 115 接入控制數據。 數據流向 無線管理和接入控制統一由SDN 控制器上ω 的應用完成,業務數據轉發同樣交給SDN 換機進行本地轉發。SDN 控制器應用設計 120 原有網絡的無線管理和接入控制統一在SDN 控制器上實♀現。 SDN架構下WLAN 組網中的接入ξ 認證 傳統的WLAN 接入認證模式都是用網絡中的BRAS 設備完成的,用戶在使用時先會搜 索是№否存在運營商的WLAN 網絡服務,搜索到後會連卐接SSID 加入到網絡中,此時網絡會 給用戶分配一個IP 地址,不過這時候用戶還不能夠訪問網絡,用戶需要通過○接入認證才能 125 夠得到網絡訪問權限。 現在的WLAN接入認證大多采用運營商推送Portal 頁面,即用戶 在訪問網絡時,運營商會根據當前的用戶IP 查詢是否已經進行過接入認證,如果用戶還◆沒 認證通過那麽會將用戶的上網請求強制轉發到Portal 服務器,然後Portal 服務器會給用戶推 送一個運營商定制的登陸頁面,用戶︾根據在運營商註冊的賬號和密碼進行登陸驗證,Portal 服務器◣收到用戶信息後不會自己處理,而是將其驗證信息打包成RADIUS 協議格式發送到 130 遠端的RADIUS 服務器,RADIUS 服務器〗是存儲用戶驗證信息的服務器,用戶的︼信息是經 過加密存儲的,RADIUS 會根據收到的用戶信息進行身份確認,然後將驗證結果返回給Portal 服務器,Portal 服務器接收到驗證通過的信息後會給用戶返回一個⌒認證通過的信息,同時會 http://www.paper.edu.cn 中國科技論文在線通知BRAS 記錄用戶已經通過身份驗證,可以進行下面的上網服務。這樣整個用戶WLAN 接¤人認證過程就算完成了。 135 2.1 接入認證流程 SDN 架構下的WLAN 接入認證流程如下圖所示: 接入認證流程RADIUS 服務器端需要建立用戶信息的數據庫User-DB,用於存儲可★以獲取網絡訪問權 140 限的用Ψ 戶列表(在實際運營商使用中,存儲的是用戶的電話號碼和密碼等信息)。SDN 制器端需要建立已經通過網絡訪問授權的用戶列表Access-DB,在該數據表中存儲的是◤已經獲取到網絡訪▃問權限的用戶列表。該列表在※實際使用中是需要定時清理的,會設置一個心跳 程序檢查用戶的在線情況,用戶在一段時間內一直沒■有進行網絡訪問則系統會認為用戶不在▃ 線了,然後會將用戶的上網權限註銷掉,停止用戶ぷ上網計費。在涉及到計費方面,該功能在 145 http://www.paper.edu.cn 中國科技論文∮在線實際使用中是非常↓有必要的。 在用戶第一次接入網絡時,由於OpenFlow交換機上還沒有加入流表,所以用戶的第 一次請求會先發到NOX 控制器,在控制器switch 模塊收到用戶ㄨ請求時,加入用戶信息驗證 (在本論文中實現的是對用戶MAC 地址的驗證)。在NOX 控制器上會建立一個數據庫, 已授權用戶表≡User_ACL 會保存User_MAC。當用戶第一次▆請求發送到OpenFlow 交換機時, 150 由於OpenFlow 交換機中還沒有該配置相應的轉發流表,所以用戶的請求會轉發到NOX 制器,首先取得用戶⌒的MAC地址,然後去User_ACL 表中查找是否〖存在該MAC 地址,如 果包括,則表明№該用戶已通過RADIUS 授權,具有網絡接入權限,NOX 控制器會執行接下 來流表生成等任務。如果在User_ACL 表中沒∮有查到該用戶的MAC 地址,則表明♂該用戶未 通過用戶授權,NOX 控制器會調用RADIUS 客戶端功能將用戶的MAC 地址作為用戶名和 155 密碼根據RADIUS 協議打包ω成對應的◥Access-Request 數據包發☉送到●●RADIUS 服務器。 2.RADIUS服務器會對用戶信息進行認證判斷,查詢用戶認證信息,如果用戶通過認證 則RADIUS 服務器向SDN 控制器發送Access-Accept 包,SDN 控制器收到後會將該用戶加→→ 入到已授權列表User_ACL 中,用戶就可以進行上網操作了,用戶下次的接入請求就能夠通 過授權,獲得網絡接入權限。這些操作對用戶⊙是透明的,用戶對上網的接入認證是沒有感受 160 的,提升了用戶接入體驗。 3.這一步驗證的是一些預先申請過網絡訪問的用戶,如果RADIUS 服務器對用戶信息驗 證未通過,那麽網絡接入認證就走傳統用戶↑名密碼驗證的流程。同樣Portal 服務器的跳轉由 SDN 控制器配置起來十分方便,只需要控制器將用戶請求通過流表配置︽轉發到】】Portal 服務 器就可以了。Portal 服務器在收到SDN 控制器轉發過來的請求後,Portal 服務器會向用戶推 165 送一個〒接入認證頁面。 4.在Portal 服務器推送過來的接入認證頁面上,主要是需要用戶輸入用戶名和密碼,用 於網絡接入認證。用戶點擊提交按鈕後,此時Portal 服務器會作為RADIUS 客戶端將『用戶 輸入的用戶名和密碼打包成RADIUS 協議格式的報文,向RADIUS 服務器發送接入認證請 求Access-Request 1705.RADIUS 服務器在接收到Portal 服務器發送過來∩的Access-Request 包後,首先會進行 解包,得到報文中用戶輸入的用戶名和密碼,然後會對用戶名和密碼進行驗證,通過查詢 User-DB 中用戶信息表,如果用戶名和密◥碼輸入正確,那麽驗證通過,RADIUS 服務器會返 回Access-Accept 包給Portal 服務器。RADIUS 協議報文在發送和接收過程中都是通過加密 處理的。RADIUS 客戶端和服務器端都需要配置對應的加密代♀碼。 175 Portal服務器收到RADIUS 服務器返回的報文後會發送請求給NOX 服務器,需要將 該用戶信息加入到NOX 控制器中的已授權用戶表User_ACL 中,這時在NOX 中就會記錄 該用戶的接入權☆限。下次用戶再接入網絡時就能直接查詢到已授權繼而實現網絡的接入。這 樣整個SDN 架構下的接入認證過程就完成了。 在SDN的接入認證過程中加入了和以往不同的□一個環節,那就是SDN 控制器的接入認 180 證過程。因為SDN 中控制器能夠得到用戶請求是所有數據,那麽它就具備對其預分析的功 能,能夠在用戶數據中提取用戶信息進行先一步的接入認證↘過程。這樣就減少的ζ用戶接入步 驟,提升了用戶使用WLAN 網絡的體驗。 2.2 接入認證功能設計 WLAN 網絡是由各個運營商部署的公共網絡,只要在覆蓋範圍內用戶就可以ㄨ連接到AP 185 http://www.paper.edu.cn 中國科技論文在線上,但是出於計費和網絡接入安全性的考慮,接入認證是WLAN 組網的重要部分。下面對 SDN 控制器上的接入〇認證功能進行詳細設計。 SDN 控制器→上的接入認證系統設計如圖6 所示: 接入認證設計190 RADIUS 服務器端使用FreeRadius 軟件,用戶信息采用數據庫存儲,建立用戶信息的數 據庫User-DB,用於存儲可以獲取ω 網絡訪問權限的用戶列表(在實際運營商使用中,存儲的 是用戶的電話號碼和授權密碼等信息,本論文中也采用用戶的MAC 地址作為用戶名和密碼 作為接入認證信◣息)。 SDN 控制器采用NOX,在SDN 控制器上建立已經通過網絡訪問授權的用戶列表 195 Access-DB,在該數據表中存儲的是已經獲取到網絡訪問權限的用戶列表(User_ACL)。該 列表在實際使用中是需要定時清理的,會設置一個心跳程序檢查用戶的在線情況,用戶在一 段時間內一直沒有進行網絡訪問則系統會認為用戶不在線了,然後會將用戶的上網權限註銷 掉,停止用戶ぷ上網計費。在涉及到計費方面,該功能在實際使用中是非常有必要的。 Portal 服務器采用LAMP 架構搭建的網站應用,引用了PHP Radius Extension 200現了RADIUS 客▲戶端的功能,類庫的調用使↙用AJAX 技術異步調用。 用戶第一次網絡接入請求時,由於OpenFlow 交換機中沒有配置相應的流表,所以首先 會將∞用戶的請求轉發到NOX 控制器上。NOX 控制器在接收到用戶的請求數【據包時,首先 將用戶的請求數據進行解包,拿到數據的報文頭,其中包含用戶的MAC 地址、源IP、目的 IP 等數據。我們實現的接入認證功能就是基於NOX 控制器對用請求』解包之後得到的數據, 205 進行對用戶的信息分析,作為用戶網絡接入的驗證數據(本論文中采用的是用戶的MAC 數據庫設計:SDN 控制器上存儲已通過授權用戶的列表User_ACL 表,包括字段ID,MAC,IP,其 中ID 作為主鍵是自增」長的int 類型,MAC 和IP 字段用來存儲通過認證的用戶信息。設計如 210 所示:http://www.paper.edu.cn RADIUS服務器上用於存儲用戶信息的表包括radcheck 用於存儲用戶驗證信息, radgroupreply 用於存儲組信息,radusergroup 用於⌒ 存儲用戶和組的對應關系。radcheck 215括id 作為主鍵,username 存儲用戶姓名,attribute 存儲屬性(例如User-Password,表示該 值是用戶密碼),op 比較規則,value 存儲值。radgroupreply 包括id 作為主鍵,groupname 存儲組名,attribute 存儲屬性,op 比較規則,value 存儲值。RADIUS 協議的報文數據就是 采用的ALV(Attribute-Length-Value)方式傳輸的,數據庫radcheck 表和radgroupreply 設計也是采用這種模式。radusergroup表包括username 用戶名,groupname 用戶所㊣ 屬組, 220 priority 優先級。設計如圖8 所示: 用戶信息表2.3 接入認證實驗驗證 225 在NOX 控制器上會建立一個數據庫,已授權用戶表User_ACL 會保存User_MAC。當 用戶第一次請求發送到switch 模塊,首先取得用戶的MAC 地址,然後去User_ACL 找是否存在該MAC地址,如果包括,則表明№該用戶已通過RADIUS 授權,具有網絡接入權 限,NOX 控制▽器會執行接下來流表生成等任務。 如果在User_ACL 表中沒∮有查到該用戶的MAC 地址,則表明♂該用戶未通過用戶授權, 230 NOX 控制器會調用RADIUS 客戶端功能將用戶的MAC 地址作為用︽戶名和密碼根據 RADIUS 協議打包ω成對應的Access-Request 數據包發送到RADIUS 服務器,RADIUS 服務器 會根據NOX 控制器發送過來的Access-Request 包進行解包,然後在RADIUS 服務器上的數 http://www.paper.edu.cn 中國科技論文在線據庫用〗戶表中查找相應的用戶(該用戶○名和密碼都是用戶的MAC 地址)。 使用mininet 模擬接入認證實驗。在mininet 模擬一個SDN 網絡,該網絡中的NOX 235制〓器使用自己開發的控制器,其①中實現了接入認證功能,IP地址是192.168.239.141。該mininet 模擬網絡中包含一個控制器c0,一個OpenFlow 交換機s1,三個用戶主機host,h2,h3,h4。 設置h2 的IP是10.0.0.2,MAC是00:00:00: 00:02;h3 的IP是10.0.0.3,MAC是00:00: 00:00:03; h4 的IP 是10.0.0.4,MAC 是00: 00:00:00:04。 mn --controller=remote --ip=192.168.239.141 --port=6633 --topo sigle,3 --mac --switch=ovsk 可以看到mininet 模擬實驗環境中的網絡節點如圖9 所示: 240 SDN網絡中∩的節點 (1)驗證NOX 控制□ 器中對已授權用戶列表的網絡接入功能。 在NOX 控制器中的已授權用戶列表User_ACL 中加入用戶00:00: 00:00:02。這樣h2 應該具有網絡訪問權限。245 在mininet 中操作h2,當用h2 ping h4 時,由於h2 已經加入到已授權用戶列表,所以 理論上是可以進行網△絡訪問的(該實驗中是h2 可以和h4 連通)。 圖10 是ping 的結果,顯示h2 可以ping 通h4: 圖10 h2 ping h4 連通 250 http://www.paper.edu.cn 中國科技論文在線圖11 是OpenFlow 交換機流╱表,生成了h2 到h4 的連通流◥表: 圖11 OpenFlow 交換機流∴表 h2 可以ping 通h4,說明將h2 加入到NOX 控制器的已授權用戶列表中,可以使h2 取網絡訪問權限,並且能夠通過控制器配置h2到h4 的連通流◥表,實現網絡連通。 255 當用h3 ping h4 時,由於h3 沒有在已▂授權用戶列表中,所以理論上是不可以進行網絡 訪問的(該實驗中是h3 不可以和h4 連通)。 圖12 是ping 的結果,顯示h3 不能ping 通h4: 圖12 h3 ping h4 不通 260 圖13 是OpenFlow 交換機流◆表,沒有生成h3 到h4 的連通流表: 圖13 OpenFlow 交換機流∴表 可以看出h3 到h4 的網絡是ping 不通的,這是因為NOX 控制器會去查詢已授權用戶列 表,發現h3 並不在授權用戶列表中,即不具備網絡訪問權限。說明h3 沒有在NOX 控制器 265 的已授權用戶列表中,同時也不¤在RADIUS 用戶信息表中,不能生成流表,不具有網絡訪 問權限。 (2)驗證SDN 控制器中實現的RADIUS 客戶端功能。 http://www.paper.edu.cn 中∩國科技論文在線在RADIUS 服務器上的用戶信息表radcheck 中加入測試用戶h3,用於SDN 控制器認證 的00:00:00:00:00:03。使用h3 ping h4 時,NOX 控制器會去查詢已授權用戶列表,發現h3 270 並不在授權用卐戶列表中不具備網絡訪問權限,然後SDN 控制器會將h3 的MAC 地址作為用 戶名和密碼向RADIUS 服務器發送Access-Request 報文,由於h3 用戶在用戶信息表中◥◥,驗 證通過後返回Access-Accept 報文給SDN 控制器。h3 具有的網絡接入權限,h3 就可以ping 通h4 圖14是ping 的結果,顯示h3 可以ping 通h4。 275 圖14 h3 ping h4 連通 圖15 是OpenFlow 交換機流表,生成了h3 到h4 的連通流表: 圖15 OpenFlow 交換機流表 280 圖16 顯示的是RADIUS 服務∑ 器接收到了SDN 控制器作為RADIUS 客戶端發送過來的 Access-Request 報文,並且通過了用戶驗證,返回了Access-Accept 報文。 http://www.paper.edu.cn 中國科技論文在線圖16 RADIUS 服務器 h3 可以ping 通h4,說明h3 在RADIUS 服務器的用戶█信息表中,並且通過了用戶驗證, 285 已經加入到NOX 控制器的已授權用戶列表中,通過控制器配置了h3 到h4 的連通流表,具 有網絡訪問權限。 通過以上實驗說明,在SDN 控制器上實♀現了已授權用戶列表的支持,並且實現了 RADIUS 客戶端功能,能夠將用戶的▼▼MAC 地址作為用戶名和密碼通過RADIUS 協議進行接 入認證。 290 多接入認證服務器要實現多RADIUS 接入認證服務器的支持,需要再添加一個︻用戶分組表User_Group, 該表存儲了用戶的特征以及用戶分組,根據用戶的分組將用戶的接入認證請求發送到不同的 接入認證服務器上。 首先取得用戶的MAC地址,然後去User_ACL 表中查找是否存在該MAC 地址,如果 295 存在,則表明該用戶已通過RADIUS 授權,具有網絡接入權限,NOX 控制器會執行接下來 流表生成等任務。 如果在User_ACL 表中沒有查到該用戶的MAC 地址,則表明該用戶未通過用戶授權。 在調用NOX 控制器的RADIUS 客戶端功能之前,先根據用戶的MAC 地址去User_Group 表中查詢該用戶所屬的RADIUS 接入認證服務器。host02 用戶屬於RADIUS 服務器,當300 用戶host02 進行網絡訪問時,會將用戶的接入請求信息發送到RADIUS 服務器;host03用戶屬於RADIUS 服務器,當用戶host03進行網絡訪問時,會將用戶的接入請求信息發 送到RADIUS 服務器。srv=Client(server="對應的RADIUS 服務器地◤址",secret="對應的RADIUS 服務器加】密碼 ",dict=Dictionary("nox/coreapps/examples/dictionary")) 305 NOX 控制器會調用RADIUS 客戶端功能將用戶的MAC 地址作為用戶名和密碼根據 RADIUS 協議打包成對應的Access-Request 數據包發送到RADIUS 服務器,RADIUS 服務器 會根據NOX 控制器發送過來的Access-Request 包進行解包,然後在RADIUS 服務器上的數 http://www.paper.edu.cn 中國科技論文在線據庫用〗戶表中查找相應的用戶(該用戶名和密碼都是用戶的MAC 地址)。 如果查詢到該用戶信息,則授權通過,RADIUS 服務器會返回Access-Accept 給NOX 310 控制器,控制器收到該回應後ω會將該用戶加入到已授權用戶表╳中User_ACL。這時在NOX 中就完成的用戶的接入認證功能。下次用戶再接入網絡時就能直接查詢到已授權繼而實現網 絡的接入。如果未查詢到該用戶信息,則授權不通ξ過,RADIUS 服務器會返回Access-Reject 給NOX 控制器,控制器收到該回應後會將該用戶的上網請求修改成Portal 服務器的地址, 將用戶請求轉到Portal 服務器,此時用戶√就會訪問到上網登陸頁面。 315 結論本論文中分析了當前WLAN 組網模式中存在的問題,結合SDN 提出了基於SDN 架構 的WLAN 組網方案。將傳統網絡中的無線管理和接入管理功能統一提取到♂控制層面來實現, 然後數據的轉發交給交換機。這樣就能充分發揮交換機的數據轉發能力。在NOX 控制器中 實現了RADIUS 客戶端功能,能夠根據用戶信息預先對用戶的接入權限進行驗證,提升用 320 戶的網絡接入體◤驗,同時更能提供靈活的接入認證方式。由於NOX 控制器能夠掌握用戶信 息,可以根據用戶信息進行分類,完成多◆接入認證服務器的支持。同時由於NOX 控制器能 夠掌握▓整個網絡的實時狀態,能夠根據各個接入認證服務器的狀態分配用戶的接入認證請 求,提升網絡接入的效率。 325 [參考文獻] (References) BrandonHeller. OpenFlow Switch Specification v1.1.0[OL]. [2011-2-28]. http:// www.OpenFlowswitch.org. etal. OpenFlow: enabling innovation campusnetworks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74. WirelessLAN access network architecture mobileoperators[J]. 330 Communications Magazine, IEEE, 2001, 39(11): 82-89. aaabased service customization framework publicwlans[C]//Wireless Communications NetworkingConference, 2005 IEEE. IEEE, 2005, etal. Flexible Access Management System CampusVLAN Based Internet(SAINT), 2011 IEEE/IPSJ 11th International Symposium IEEE,335 2011: 347-351. etal. Implementation OpenFlow-BasedAccess Control System WirelessLAN Roaming[C]//Computer Software ApplicationsConference Workshops (COMPSACW), 2012 IEEE 36th Annual. IEEE, 2012: 82-87. etal. Flexible Access Control Framework Considering IdP-Side's 340 Authorization Policy RoamingEnvironment[C]//Computer Software ApplicationsConference Workshops (COMPSACW), 2012 IEEE 36th Annual. IEEE, 2012: 76-81. etal. SplitArchitecture: Applying SoftwareDefined Networking Concept CarrierNetworks[C]//World Telecommunications Congress (WTC), 2012. IEEE, 2012: 1-6. 345