基于Web认证的用户无感知热备切换技术研究和实现

蔡钟鸣

摘要：该文提出一种基于Web认证的用户无感知热备切换方案，用以解决VRRP组热备切换后，已认证用户需经过再次认证以及大量用户同时认证给认证设备造成相应的性能影响的问题，提高Web认证稳定性和可靠性。

关键词：web认证；vRRp；热备切换；无感知

1概述

目前，随着互联网技术的迅猛发展，网络安全已经成为一个全球性的问题。从目前市场应用来看，对访问网络的用户进行身份认证已成为了保障网络安全的重要手段。因此，安全、有效、便捷的接人认证技术成为了近年的研究热点。目前，主要的接入认证方式有PPPoE、IEEE 802.1x和Web认证。其中，Web认证以其无需用户安装任何认证软件的优点，得到了越来越广泛的应用。同时随着移动互联网的兴起，组网中的用户量与日俱增，如何保证在大量认证用户下Web认证的可靠性和稳定性成为了业界亟待解决的问题。

当前主流热备组网中，备机仅通过VRRP进行链路备份，当主机发生故障时，能在无需修改动态路由协议、路由发现协议等配置信息的情况下保持链路畅通。但在接人认证场景中，用户认证成功后需要在认证设备上设置相应用户权限以放行用户的报文，而备机上并没有设置相应的权限信息。因此，在主机出现故障后，已认证用户通过备机进行网络访问时，会出现不得不进行再次认证的情况。当已认证用户数量在几万个甚至十万以上时，短时间大量用户同时重定向很容易给设备造成极大负担。

因此，在Web认证热备组网的环境下，如何保证在主备切换时，已认证用户能够无需再次认证以及批量同时认证造成的性能瓶颈是當前亟待解决的重要问题。

2已认证用户无感知热备切换技术

鉴于以上所述现有技术的缺陷，本文提出一种基于Web认证的已认证用户无感知热备切换方案，用以解决热备切换后导致所有已认证用户掉线，需要重新认证以及相应产生的性能问题。

2.1已认证用户无感知热备切换技术原理

由两台认证设备间建立2个VRRP组，两台设备互为主备关系，提高网络稳定性。该技术原理的核心在于：在每个VRRP上建立热备通道，主机通过热备通道将用户信息备份到备机Web认证模块中。由于备机上备份信息的存在，当发生VRRP主备切换时，已认证用户能够直接在原备机上线，相应流量能够通过原备机转发出去，不需要用户再次认证，避免给认证设备造成负担。信息热备分为实时热备和批量热备两种方式，实时热备是用户认证上下线时的信息热备，批量热备是主备断开重新连上等情况下的热备。

2.2实时通告热备流程

当用户认证上下线时，用户认证信息变化由主机通过实时热备同步给备机。当用户认证成功后，主机向备机的Web认证模块同步该用户信息，备机将该用户的状态信息STATUS置为backup。此时备机并不向下层模块下发用户信息，以避免主机大量用户上下线时各下层模块频繁地、不必要地更新信息，统一在备机切换成主机时下发。用户认证上线实时热备流程如图1所示。

当用户下线成功后，主机删除相应用户信息，并同时通告备机删除该用户信息。用户认证下线实时热备流程如图2所示。

2.3批量通告热备流程

当VRRP组热备切换或断开重新建立热备组时，主备机通过批量热备通告认证用户信息。原主机切换为备机后，将本机相应认证用户状态由在线变为备份状态，原备机切换为主机后，将原先状态为备份的用户切换成在线，并向底层模块下发相应用户信息，以放行该用户报文。批量通告热备流程如图3所示。

2.4热备切换流程

VRRP主备机进行热备切换后，已在线用户在原先备设备直接上线，由于此时原备设备还未下发用户表项，因此在转为VRRP主设备后，还需要放行本VRRP的虚网关MAC地址（源和目的），用于放行原主设备备份过来的用户表项，此时有一段时间网关在此VRRP上的用户可以直接使用网络资源。当切换后的主设备上的VRRP备份用户表项全部安装完毕后，会删除VRRP的虚网关MAC直通，此时在此VRRP网关转发的报文需要经过认证。热备切换流程如图4所示。

3性能仿真测试分析

本方案与无VRRP组用户信息热备方案的对比性能仿真测试结果如下：

使用TestCenter测试仪模拟测试5万认证用户在线时，无热备通道备份方案下进行VRRP切换，图5中可以看到断流大约40秒，直到5万认证用户重新认证完毕后，才可访问外网，流量全部打通。

认证设备CPU如图6所示，处于较高的水平。

相同测试条件下，本方案的仿真测试情况如图7，图8所示，VRRP组进行热备切换时不断流，用户可以直接访问网络无需再次认证，且认证设备CPU保持在较低水平。

4结束语

综上所述，本文提出的认证用户无感知热备切换方案，能够在VRRP主设备出现故障，需主备进行热备切换时，使已在线用户在原先备设备无需经过再次认证直接上线，达到用户无感知热备切换的目的，并且减少切换过程对认证设备的CPU性能影响。最终达到提高Web认证稳定性和可靠性的目的。