20190眾銳參考學(xué)習(xí)-認(rèn)證計(jì)費(fèi)

高教/普教IPv6解決方案認(rèn)證計(jì)費(fèi)產(chǎn)品事業(yè)部2018年12月與場(chǎng)景親密接觸做方案創(chuàng)新專家IPv6基礎(chǔ)知識(shí)IPv6過(guò)渡技術(shù)現(xiàn)有認(rèn)證方案的問題IPv6認(rèn)證方案Contents

目錄21.為什么IPv6對(duì)現(xiàn)有認(rèn)證方案不支持；答：參考PPT22頁(yè)，現(xiàn)有方案的問題2.有狀態(tài)/無(wú)狀態(tài)是否都支持呢；答：參考PPT28-31頁(yè)，都支持

三層無(wú)狀態(tài)有使用場(chǎng)景限制（PPT46頁(yè)說(shuō)明）3.IPv6對(duì)其他廠家設(shè)備有什么要求；答：設(shè)備支持標(biāo)準(zhǔn)radius報(bào)文中上傳Framed-IPv6-Address屬性即可，支持解析多個(gè)Framed-IPv6-Address字段。案例：哈工大MX960，石油大學(xué)ME603幾個(gè)重要的問題4IPv6基礎(chǔ)知識(shí)5IPv6地址共128b，是IPv4地址長(zhǎng)度的4倍。于是IPv4點(diǎn)分十進(jìn)制格式不再適用，采用十六進(jìn)制表示。因此地址空間是相當(dāng)龐大的，可提供給PC、無(wú)線IP電話、機(jī)頂盒、視頻設(shè)備、安保監(jiān)控設(shè)備等等IPv6協(xié)議主要定義了三種地址類型：?jiǎn)尾サ刂?、組播地址和任播地址。與原來(lái)在IPv4地址相比，新增了“任播地址”類型，取消了原來(lái)IPv4地址中的廣播地址，因?yàn)樵贗Pv6中的廣播功能是通過(guò)組播來(lái)完成的。IPv6地址IPv6地址IPv6地址與IPv4地址表示方法有所不同，用十六進(jìn)制表示，4位一組，中間用“:”隔開。IPv6地址的壓縮表示：IPv6地址=前綴+接口標(biāo)識(shí)前綴：相當(dāng)于IPv4地址中的網(wǎng)絡(luò)ID，前綴長(zhǎng)度用“/xx”來(lái)表示：2001：da8：207：：8207/64接口標(biāo)識(shí)：相當(dāng)于IPv4地址中的主機(jī)ID地址前綴部分,或者有固定的值,或者是路由或子網(wǎng)的標(biāo)識(shí)。IPv6地址-單播地址全球單播地址等同于IPv4中的公網(wǎng)地址，可以在IPv6Internet上進(jìn)行全局路由和訪問。這種地址類型允許路由前綴的聚合，從而限制了全球路由表項(xiàng)的數(shù)量。本地單播地址鏈路本地地址和唯一本地地址都屬于本地單播地址，在IPv6中，本地單播地址就是指本地網(wǎng)絡(luò)使用的單播地址，也就是IPV4地址中局域網(wǎng)專用地址。每個(gè)接口上至少要有一個(gè)鏈路本地單播地址。(1)鏈路本地地址（FE80::/64）：僅用于單個(gè)鏈路（鏈路層不能跨VLAN），不能在不同子網(wǎng)中路由。結(jié)點(diǎn)使用鏈路本地地址與同一個(gè)鏈路上的相鄰結(jié)點(diǎn)進(jìn)行通信。例如，在沒有路由器的單鏈路IPv6網(wǎng)絡(luò)上，主機(jī)使用鏈路本地地址與該鏈路上的其他主機(jī)進(jìn)行通信。(2)唯一本地地址（FC00::/7）：唯一本地地址是本地全局的，它應(yīng)用于本地通信，但不通過(guò)Internet路由，將其范圍限制為組織的邊界。打個(gè)比方你就明白了：現(xiàn)在有個(gè)企業(yè)內(nèi)網(wǎng)全網(wǎng)ipv6，分財(cái)務(wù)部和市場(chǎng)部，很顯然財(cái)務(wù)部和市場(chǎng)部是兩個(gè)不同的子網(wǎng)，財(cái)務(wù)部和市場(chǎng)部之間交流用本地唯一地址，這個(gè)特點(diǎn)體現(xiàn)了它的組織內(nèi)部特點(diǎn)，因?yàn)樗鼈兌紝儆谄髽I(yè)內(nèi)部。財(cái)務(wù)部和財(cái)務(wù)部或者市場(chǎng)部和市場(chǎng)部之間交流用鏈路本地地址，這個(gè)體現(xiàn)了他的本地子網(wǎng)特點(diǎn)。兼容性地址在IPv6的轉(zhuǎn)換機(jī)制中還包括了一種通過(guò)IPv4路由接口以隧道方式動(dòng)態(tài)傳遞IPv6包的技術(shù)。這樣的IPv6結(jié)點(diǎn)會(huì)被分配一個(gè)在低32位中帶有全球IPv4單播地址的IPv6全局單播地址。另有一種嵌入IPv4的IPv6地址，用于局域網(wǎng)內(nèi)部，這類地址用于把IPv4結(jié)點(diǎn)當(dāng)作IPv6結(jié)點(diǎn)。此外，還有一種稱為“6to4”的IPv6地址，用于在兩個(gè)通過(guò)Internet同時(shí)運(yùn)行IPv4和IPv6的結(jié)點(diǎn)之間進(jìn)行通信。特殊地址包括未指定地址和環(huán)回地址。::/96

即0:0:0:0:0:d:d:d:d兼容IPv4地址::/128

即0:0:0:0:0:0:0:0:0

不確定地址。它不能分配給任何節(jié)點(diǎn)。它的一個(gè)應(yīng)用示例是初始化主機(jī)時(shí)，在主機(jī)未取得自己的地址以前，可在它發(fā)送的任何IPv6包的源地址字段放上不確定地址。不確定地址不能在IPv6包中用作目的地址，也不能用在IPv6路由頭中::1/128即0:0:0:0:0:0:0:0:1回環(huán)地址。節(jié)點(diǎn)用它來(lái)向自身發(fā)送IPv6包。它不能分配給任何物理接口。功能很像我們熟悉的127.0.0.12001:db8::/32即2001:db8:0:0:0:d:d:d:d

可以理解為保留地址，共特殊目的使用。fe80::/64即鏈路本地地址，它是一種自動(dòng)分配的IP地址，類似于在IPv4中的自動(dòng)專用IP地址（APIPA）。如果看到接口分配了一個(gè)這樣的地址，表示DHCPv6服務(wù)器不可用8IPv6地址-單播地址IPv6使用兩種地址自動(dòng)配置方式，分別為無(wú)狀態(tài)地址自動(dòng)配置和IPv6動(dòng)態(tài)主機(jī)配置（DHCPv6）。無(wú)狀態(tài)地址自動(dòng)配置不需要服務(wù)器對(duì)地址進(jìn)行管理，主機(jī)直接根據(jù)網(wǎng)絡(luò)中的路由器通告信息與本機(jī)MAC地址結(jié)合計(jì)算出本機(jī)IPv6地址，實(shí)現(xiàn)地址自動(dòng)配置；DHCPv6由DHCPv6服務(wù)器管理地址池，用戶主機(jī)從服務(wù)器請(qǐng)求并獲取IPv6地址及其他信息，達(dá)到地址自動(dòng)配置的目的。9IPv6地址配置IPv6地址配置方式-無(wú)狀態(tài)地址自動(dòng)配置無(wú)狀態(tài)自動(dòng)配置即自動(dòng)生成鏈路本地地址，主機(jī)使用ND（NeighborDiscovery）協(xié)議中的RS和RA報(bào)文交互完成地址獲取，客戶端發(fā)送RS報(bào)文，路由器收到RS（路由請(qǐng)求）報(bào)文后，回應(yīng)RA（路由應(yīng)答）報(bào)文，客戶端收到RA報(bào)文后，若RA報(bào)文中指定使用地址自動(dòng)配置，并且地址配置M標(biāo)記為0，攜帶了正確的鏈路前綴，使用這些前綴和接口地址生成全球單播地址，完成無(wú)狀態(tài)地址配置。接口地址實(shí)際上就是MAC地址，由于MAC地址是48位的，所以這里要用到一個(gè)IEEE提供的EUI64轉(zhuǎn)換算法，可以將48位的MAC地址換算為64位。然后主機(jī)向該地址發(fā)送一個(gè)鄰居發(fā)現(xiàn)請(qǐng)求（NeighborDiscoveryRequest），如果無(wú)響應(yīng)，則證明網(wǎng)絡(luò)地址是唯一的。IPv6地址配置方式-無(wú)狀態(tài)無(wú)狀態(tài)地址自動(dòng)配置：使用EUI64轉(zhuǎn)換算法得到的接口ID是隨機(jī)器硬件固定的，也是全局惟一的。該算法實(shí)現(xiàn)簡(jiǎn)單，是一種

重要的接口ID自動(dòng)生成算法，目前Windows，Linux操作系統(tǒng)在對(duì)主機(jī)生成接口ID時(shí)，均使用EUI64轉(zhuǎn)換算法。作為對(duì)該算法的一種改進(jìn)，RFC3041又引入了一種隨機(jī)地址機(jī)制，他包含了用一組隨機(jī)數(shù)字代替由MAC地址轉(zhuǎn)換的接口ID。該地址具有一定的生存周期，隨著生存周期的結(jié)束，該地址會(huì)自動(dòng)更換，較好地解決了節(jié)點(diǎn)的Internet訪問活動(dòng)被跟蹤的問題。IPv6地址是根據(jù)EUI64轉(zhuǎn)換算法獲得的全球唯一單播地址臨時(shí)IPv6地址就是上面提到的RFC3041里面的有壽命的隨機(jī)地址Tips：目前已知XP系統(tǒng)無(wú)法支持無(wú)狀態(tài)地址自動(dòng)配置IPv6地址配置方式-有狀態(tài)有狀態(tài)地址自動(dòng)配置：若路由器在RA報(bào)文中設(shè)置地址配置M標(biāo)記為1，表示需要客戶端使用有狀態(tài)地址配置方式獲取地址和其他配置信息。有狀態(tài)地址配置使用DHCPv6（DynamicHostConfigurationProtocolforIPv6）協(xié)議，由DHCPv6客戶端向服務(wù)器提出配置申請(qǐng)，服務(wù)器根據(jù)策略返回相應(yīng)地址和其他配置信息。地址池的計(jì)算，管理全部是服務(wù)器端在做，客戶端只是簡(jiǎn)單的從服務(wù)器端取得服務(wù)器端已經(jīng)計(jì)算好的地址和其他設(shè)置應(yīng)用到自己身上。Tips：目前已知安卓系統(tǒng)無(wú)法支持有狀態(tài)地址自動(dòng)配置IPv6地址配置方式-有狀態(tài)IPv6動(dòng)態(tài)主機(jī)配置協(xié)議DHCPv6是由IPv4場(chǎng)景下的DHCP發(fā)展而來(lái)?？蛻舳送ㄟ^(guò)向DHCP服務(wù)器發(fā)出申請(qǐng)來(lái)獲取本機(jī)IP地址并進(jìn)行自動(dòng)配置，DHCP服務(wù)器負(fù)責(zé)管理并維護(hù)地址池以及地址與客戶端的映射信息。其中包含3種角色DHCPv6客戶端，用于動(dòng)態(tài)獲取IPv6地址、IPv6前綴或其他網(wǎng)絡(luò)配置參數(shù)；DHCPv6服務(wù)器，負(fù)責(zé)為DHCPv6客戶端分配IPv6地址、IPv6前綴和其他配置參數(shù)；DHCPv6中繼，它是一個(gè)轉(zhuǎn)發(fā)設(shè)備。通常情況下。DHCPv6客戶端可以通過(guò)本地鏈路范圍內(nèi)組播地址與DHCPv6服務(wù)器進(jìn)行通信。若服務(wù)器和客戶端不在同一鏈路范圍內(nèi)，則需要DHCPv6中繼進(jìn)行轉(zhuǎn)發(fā)。DHCPv6中繼的存在使得在每一個(gè)鏈路范圍內(nèi)都部署DHCPv6服務(wù)器不是必要的，節(jié)省成本，并便于集中管理14IPv6過(guò)渡技術(shù)IPv6過(guò)渡技術(shù)15為什么要用過(guò)渡協(xié)議：IPv4網(wǎng)絡(luò)已經(jīng)遍布世界每個(gè)角落，任何國(guó)家、任何組織也無(wú)法立刻、完整地從IPv4網(wǎng)絡(luò)切換到純IPv6，在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，IPv4和IPv6網(wǎng)絡(luò)會(huì)并存，兩種業(yè)務(wù)系統(tǒng)也會(huì)并存，同時(shí)也會(huì)存在大量的純IPv6孤島，直到未來(lái)的某一天，整個(gè)網(wǎng)絡(luò)只留下IPv6，過(guò)渡協(xié)議解決的是并存、孤島的問題雙棧隧道翻譯長(zhǎng)期存在，使用最廣、也最簡(jiǎn)單的過(guò)渡技術(shù)與雙棧同時(shí)使用，解決穿越、孤島等問題最本質(zhì)的IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)互連的技術(shù)IPv6過(guò)渡技術(shù)-雙棧雙棧技術(shù)(Dual-Stack)

雙棧技術(shù)即是IPv4到IPv6過(guò)渡技術(shù)中的一種，雙棧是在原有網(wǎng)路層(NetworkLayer)上,再增加一個(gè)IPv6的堆棧(Stack)，讓主機(jī)同時(shí)具備IPv4和IPv6通訊能力。雙棧方式的工作機(jī)制簡(jiǎn)單描述為：鏈路層解析出接收到的數(shù)據(jù)包的數(shù)據(jù)段，拆開并檢查包頭。如果IPv4/IPv6包頭中的第一個(gè)字段，即IP包的版本號(hào)是4，該包就由IPv4的協(xié)議棧來(lái)處理；如果版本號(hào)是6，則由IPv6的協(xié)議棧處理。

IPv6過(guò)渡技術(shù)-雙棧優(yōu)點(diǎn)：組網(wǎng)簡(jiǎn)單、維護(hù)便利、技術(shù)實(shí)現(xiàn)容易缺點(diǎn)：所有的途徑設(shè)備都需要支持雙棧，不能解決IPv4和IPv6互通問題，同時(shí)也不能節(jié)省IPv4地址池設(shè)備同時(shí)支持IPv4和IPv6協(xié)議棧兩個(gè)協(xié)議棧獨(dú)立運(yùn)行，互不干擾IPv6過(guò)渡技術(shù)-隧道隧道技術(shù)(Tunneling)隧道是將一種協(xié)議報(bào)文封裝到另一種協(xié)議報(bào)文中，即一種協(xié)議可以通過(guò)另一種協(xié)議的封裝進(jìn)行通信。在IPv6報(bào)文進(jìn)入IPv4的網(wǎng)域時(shí)，將IPv6報(bào)文前面加上IPv4報(bào)頭,再送入IPv4網(wǎng)域。當(dāng)離開IPv4網(wǎng)域進(jìn)入IPv6網(wǎng)域時(shí),再將IPv4的包頭移除，還原回原本的IPv6報(bào)文。但是隧道技術(shù)不能實(shí)現(xiàn)IPv4主機(jī)和IPv6主機(jī)的直接通信。

IPv6過(guò)渡技術(shù)-隧道19隧道技術(shù)：當(dāng)前，在兩個(gè)IPv6孤島之間搭建一條IPv4的虛擬通道，使得IPv6孤島能夠跨越IPv4網(wǎng)絡(luò)通信，開始向IPv6過(guò)渡未來(lái)，在兩個(gè)IPv4孤島之間搭建一條IPv6的虛擬通道，使得IPv4孤島能夠跨越IPv6網(wǎng)絡(luò)通信，IPv6過(guò)渡收尾孤島互聯(lián)：6to4Tunnel，6PE，GRETunnel等IPv6主機(jī)和IPv6服務(wù)器互聯(lián)：ISATAPTunnelIPv6過(guò)渡技術(shù)-協(xié)議轉(zhuǎn)換協(xié)議轉(zhuǎn)換提供IPv4和IPv6的互通動(dòng)作。如NAT-PT等提供IPv6與IPv4互相訪問地技術(shù)，適用于IPv6Inernet與IPv4Internet共存，而兩者又需要互相通訊的要求。

IPv6IPv4地址翻譯21現(xiàn)有認(rèn)證方案的問題現(xiàn)有認(rèn)證方案的問題IPv6改造后，相當(dāng)于為教育網(wǎng)絡(luò)提供了另外一條數(shù)據(jù)通路，對(duì)該數(shù)據(jù)通路的管控目前都處于空白狀態(tài)，全部放行，通過(guò)IPv6可以隨意訪問國(guó)外各類被墻網(wǎng)站，同時(shí)無(wú)法做到實(shí)名認(rèn)證和實(shí)名上網(wǎng)行為審計(jì)，違反網(wǎng)絡(luò)安全法對(duì)實(shí)名制的要求高教/普教場(chǎng)景下雙棧認(rèn)證如何實(shí)現(xiàn)準(zhǔn)入準(zhǔn)出管控（IPv4認(rèn)證IPv6放通，IPv6認(rèn)證IPv4放通）純IPv6認(rèn)證如何實(shí)現(xiàn)準(zhǔn)入準(zhǔn)出管控IPv6實(shí)名審計(jì)如何做運(yùn)營(yíng)商場(chǎng)景下在多運(yùn)營(yíng)商場(chǎng)景中，如何實(shí)現(xiàn)運(yùn)營(yíng)商選路問題現(xiàn)有認(rèn)證方案的問題-雙棧認(rèn)證如何實(shí)現(xiàn)準(zhǔn)入準(zhǔn)出管控IPv4認(rèn)證IPv6放通準(zhǔn)入：IPv4認(rèn)證通過(guò)即對(duì)IPv6進(jìn)行準(zhǔn)入準(zhǔn)出：在出口處對(duì)所有IPv6地址進(jìn)行放行IPv6認(rèn)證IPv4放通準(zhǔn)入：IPv6認(rèn)證通過(guò)即對(duì)IPv4進(jìn)行準(zhǔn)入準(zhǔn)出：在出口處對(duì)所有IPv4地址進(jìn)行放行純IPv6認(rèn)證

例如：

用戶訪問百度，設(shè)備重定向至portal登錄頁(yè)，然后用戶輸入用戶名密碼登錄，認(rèn)證成功后，設(shè)備將這個(gè)用戶的MAC地址放行，這樣在接入層不管是用戶使用的是v4地址還是v6地址上網(wǎng)，都可以出去，而在出口處是根據(jù)ip來(lái)放行的，對(duì)于ipv4，是由SAM在認(rèn)證通過(guò)后通知出口將用戶的v4放行的，而v6目前是由出口直接放通的，沒有根據(jù)SAM的通知來(lái)決定放行與否?，F(xiàn)有認(rèn)證方案的問題-

IPv6實(shí)名審計(jì)如何做當(dāng)前認(rèn)證服務(wù)器無(wú)法記錄IPv6終端的用戶實(shí)名信息/認(rèn)證日志信息無(wú)法實(shí)現(xiàn)IPv6出口日志審計(jì)

IPv4通道IPv6通道實(shí)名認(rèn)證訪問管控出口設(shè)備內(nèi)容審計(jì)URL、網(wǎng)絡(luò)搜索外發(fā)文件、郵件微博等內(nèi)容審計(jì)行為管控郵件收發(fā)管理郵件附件過(guò)濾不良網(wǎng)站封堵異常行為告警實(shí)名制上網(wǎng)行為審計(jì)與實(shí)名認(rèn)證系統(tǒng)對(duì)接25現(xiàn)有認(rèn)證方案的問題-

多運(yùn)營(yíng)商如何選路移動(dòng)聯(lián)通電信核心NAS出口設(shè)備業(yè)務(wù)流數(shù)據(jù)流接入NAS匯聚NAS校內(nèi)資源SAM+SAM+portal組件用戶名、v6用戶名、v6每個(gè)運(yùn)營(yíng)商的分配的IPv6地址端前綴不同，需要根據(jù)用戶認(rèn)證時(shí)選擇的運(yùn)營(yíng)商服務(wù)來(lái)分配用戶的地址26IPv6認(rèn)證方案

要想解決現(xiàn)有方案帶來(lái)的兩個(gè)問題，則認(rèn)證用戶的IPv4和IPv6地址就必須經(jīng)過(guò)SAM（SMP），因?yàn)镾AM（SMP）作為整個(gè)網(wǎng)絡(luò)拓?fù)渲械恼J(rèn)證服務(wù)器，它最有權(quán)決定這個(gè)地址該不該放行，并且記錄這個(gè)地址的上網(wǎng)日志。

IPv6認(rèn)證方案-解決思路核心問題：識(shí)別出同一個(gè)用戶使用的IPv4和IPv6地址二層網(wǎng)絡(luò)環(huán)境由認(rèn)證設(shè)備負(fù)責(zé)獲取用戶IPv4地址與IPv6地址關(guān)聯(lián)認(rèn)證設(shè)備是可以獲取到終端的v4和v6地址信息，并且在二層網(wǎng)絡(luò)環(huán)境下可以獲取到用戶的MAC地址，設(shè)備通過(guò)MAC地址即可以把終端的v4和v6關(guān)聯(lián)起來(lái)，在認(rèn)證報(bào)文中一并傳給認(rèn)證服務(wù)器（SAM+及SMP）。三層網(wǎng)絡(luò)環(huán)境，有狀態(tài)地址配置用戶由設(shè)備負(fù)責(zé)獲取用戶IPv4地址與IPv6地址關(guān)聯(lián)

在認(rèn)證設(shè)備上配置DHCPRelay，通過(guò)DHCP報(bào)文獲取用戶客戶端信息（用戶MAC地址），通過(guò)MAC地址即可以把終端的v4和v6關(guān)聯(lián)起來(lái)，在認(rèn)證報(bào)文中一并傳給認(rèn)證服務(wù)器（SAM+及SMP）。IPv6認(rèn)證方案-方案實(shí)現(xiàn)思路如果設(shè)備在認(rèn)證的時(shí)候可以同時(shí)拿到用戶的IPv4和IPv6地址，那么設(shè)備可以在認(rèn)證時(shí)同時(shí)上傳IPv4和IPv6，認(rèn)證服務(wù)器在用戶認(rèn)證成功后通知出口上線用戶的IPv4和IPv6放行。如果是認(rèn)證后獲取IP地址，則設(shè)備在記賬開始上傳用戶IPv4和IPv6，認(rèn)證服務(wù)器通知出口。如果設(shè)備在認(rèn)證的時(shí)候不能同時(shí)拿到用戶的IPv4，IPv6地址，那設(shè)備需要在拿到用戶IPv6后立馬觸發(fā)一次記賬更新，通過(guò)記賬更新報(bào)文上傳用戶IPv6地址，此時(shí)認(rèn)證服務(wù)器獲取用戶IPv6地址并通知出口該IPv6地址放行。29IPv6認(rèn)證方案-方案實(shí)現(xiàn)思路30IPv6認(rèn)證方案-方案實(shí)現(xiàn)思路IPv4及IPv6變更邏輯對(duì)于認(rèn)證后記賬開始中上傳IP、重認(rèn)證、漫游、記賬更新中IP變更的處理邏輯三層網(wǎng)絡(luò)環(huán)境，無(wú)狀態(tài)地址配置用戶由Portal負(fù)責(zé)獲取用戶IPv4地址與IPv6地址關(guān)聯(lián)在web認(rèn)證下，Portal是和用戶終端緊密聯(lián)系的，通過(guò)Portal也可以獲得終端的v4和v6地址關(guān)系，并且既有的中移動(dòng)標(biāo)準(zhǔn)portal協(xié)議也支持IPv6。IPv6認(rèn)證方案原理-三層無(wú)狀態(tài)WEB認(rèn)證IPv6認(rèn)證方案原理-高教場(chǎng)景SAM+出口設(shè)備Portal組件N18K電信三層有狀態(tài)認(rèn)證場(chǎng)景使用DHCPv6有狀態(tài)配置方式向下面的終端分配v6地址，DHCPv6relay到認(rèn)證設(shè)備，認(rèn)證設(shè)備即可可以獲取到v4和MAC，v6和MAC，根據(jù)MAC得到用戶的v4和v6。通過(guò)Radius報(bào)文通知認(rèn)證服務(wù)器，認(rèn)證服務(wù)器通知出口及審計(jì)設(shè)備。支持認(rèn)證設(shè)備：AC18KRSR77支持審計(jì)設(shè)備：UACBDS核心WEB認(rèn)證服務(wù)器認(rèn)證網(wǎng)關(guān)用戶學(xué)校出口集中認(rèn)證教育局WEB認(rèn)證服務(wù)器統(tǒng)一出口用戶學(xué)校出口分布認(rèn)證教育局WEB認(rèn)證服務(wù)器用戶混合認(rèn)證學(xué)校出口教育局統(tǒng)一出口IPv6認(rèn)證方案原理-普教場(chǎng)景三層有狀態(tài)認(rèn)證場(chǎng)景支持認(rèn)證設(shè)備：

EGACRSR77支持審計(jì)設(shè)備：UACBDS34RG-SMP+RG-IPC+RG-ESS+IPv6認(rèn)證方案原理-普教場(chǎng)景IPv6認(rèn)證方案-支持的認(rèn)證方式有線1x認(rèn)證36MAC快速認(rèn)證用戶可以在自助端解綁自己的mac快速認(rèn)證記錄，也可以在portal成功界面快速注冊(cè)和注銷SAM可以控制用戶允許注冊(cè)的mac快速認(rèn)證數(shù)一次MAC認(rèn)證，IPv4和IPv6全部出口放通一次MAC認(rèn)證，IPv4和IPv6全部實(shí)名審計(jì)IPv6認(rèn)證方案-支持的認(rèn)證方式IPv6認(rèn)證方案-支持的認(rèn)證方式無(wú)線1X認(rèn)證IPv6認(rèn)證方案-支持的認(rèn)證方式WEB認(rèn)證啞終端設(shè)備認(rèn)證在SAM管理界面手動(dòng)添加mac綁定信息，綁定信息中mac地址為啞終端設(shè)備的mac地址

啞終端設(shè)備經(jīng)接入層交換機(jī)或ap（放通）接入N18K設(shè)備受控口下（開啟允許mac快速認(rèn)證）；啞終端設(shè)備接入網(wǎng)絡(luò)后，18k自動(dòng)發(fā)起認(rèn)證，告知終端的IPv4及IPv6地址，SAM校驗(yàn)通過(guò)后，即可連接網(wǎng)絡(luò)進(jìn)行審計(jì)及準(zhǔn)出IPv6認(rèn)證方案-支持的認(rèn)證方式IPv6認(rèn)證方案-支持的認(rèn)證場(chǎng)景允許終端重復(fù)登陸允許各種終端類型分別設(shè)置重復(fù)登陸接入時(shí)段控制IPv6認(rèn)證方案-支持的認(rèn)證場(chǎng)景允許終端重復(fù)登陸允許各種終端類型分別設(shè)置重復(fù)登陸接入時(shí)段控制IPv6認(rèn)證方案-支持的認(rèn)證場(chǎng)景用戶名搶占IPv4/IPv6搶占根據(jù)終端類型設(shè)置搶占優(yōu)先級(jí)IPv6認(rèn)證方案-其他管理功能通過(guò)ND協(xié)議中的路由通告來(lái)通告客戶端v6前綴，由終端自己生成v6地址。這種情況下終端可能會(huì)有多個(gè)v6地址，這些地址有如下幾個(gè)特征：這些地址都可以訪問互聯(lián)網(wǎng)多個(gè)v6地址中有一個(gè)臨時(shí)v6地址在上網(wǎng)過(guò)程中是會(huì)變化的終端使用哪個(gè)v6地址去訪問外網(wǎng)沒有規(guī)律，都有可能設(shè)備需要將終端的所有v6地址都上傳給認(rèn)證服務(wù)器（SAM/SMP），認(rèn)證服務(wù)器要支持多IPv6地址的解析與顯示，具體包括以下幾個(gè)方面：在線用戶支持顯示多個(gè)IPv6；上網(wǎng)明細(xì)支持顯示多個(gè)IPv6；認(rèn)證失敗日志支持顯示多個(gè)IPv6；IPv6地址發(fā)生變化時(shí)，認(rèn)證服務(wù)器異步記錄變更日志到認(rèn)證日志并同步出口設(shè)備及審計(jì)設(shè)備。實(shí)名認(rèn)證充分考慮降低建設(shè)成本，充分利用傳統(tǒng)網(wǎng)絡(luò)設(shè)備認(rèn)證支持標(biāo)準(zhǔn)Radius協(xié)議，使用公有屬性獲取用戶名+IPv4+IPv6地址支持交換機(jī)支持路由設(shè)備支持網(wǎng)關(guān)設(shè)備支持JuniperMX960，ME6