信息技术XINXUISHU2021年第3期—种适合BRAS的Captive Portal方案
解攀科-郭伟秀S万力勇',徐斌“
(1.华中师范大学信息化办公室,武汉430079;2.华中师范大学第一附属中学,武汉430073;3.中南民族大学教育学院,武汉430074;4.湖北科技学院计算机科学与技术学院,湖北咸宁437100)
摘要:随着我国“互联网+”战略的推进,大型宽带网络发展迅速。BRAS设备在宽带网络中得到广泛使用,并通过IPoE方案组网,Portal认证是常用的网络准入解决方案。如何提升Portal系统性能,业界进行了广泛的研究。针对BRAS设备组建的宽带网,文中提出一种使用终端识别+网址判断的二元过滤方案,可有效地进行Portal的前置过滤,从而大幅降低无关的Portal请求,提升Portal认证系统的性能。 关键词:BRAS;Captive Portal;IPoE;Portal过滤
中图分类号:TP393文献标识码:A文章编号:1009-2552(2021)03-0007-04
DOI:10.13274/jki.hdzj.2021.03.002
A captive portal solution suitable for BRAS
XIE Pan-ke1,GUO Wei-xiu2,WAN Li-yong3,XU Bin4
(1.Information Office,Central China Normal University,Wuhan430079,China;2.Middle School Affiliated to Central China Normal University,Wuhan430073,China;3.The School of Education,South-Central University for Nationalities,Wuhan430074,China;4.The School of Computer Science and Technology, Hubei University of Science and Technology,Xian9ning437100,Hubei Province,China)
Abstract:With the advancement of the country s Internet+strategy,large-scale broadband networks have developed rapidly.BRAS equipment is widely used in broadband networks and is networked through the IPoE solution.Portal authentication is a common network access solution.The industry has conducted extensive research on how to improve the performance of the Portal system・Aiming at the broadband network built by BRAS equipment,the article proposes a binary filtering scheme using terminal identification +URL filtering,which can effectively perform Portal pre-filtering,thereby greatly reducing Portal irrelevant requests and improving the performance of the Portal authentication system.
Key words:BRAS;Captive Portal;IPoE;Portal Filtering
o引言
我国互联网发展迅速,全面推进了各行业的信息化进程,如电子商务、数字化生产、在线教育、
基金项目:中央高校基本科研业务费专项资金项目(CCNU19IT-0107);湖北省技术创新专项项目(2019ADC145);教
育部科技发展中心产学研创新基金(2020QTO2)
作者简介:解攀科(1981-),男,硕士,工程师,研究方向为教育信息化和数字化学习。电子政务等。中国互联网络信息中心(CNNIC)发布的第45次《中国互联网络发展状况统计报告》⑴表明,我国网民人数已达9.04亿,互联网普及率已达64.5%,百兆以上宽带接入比例已达85.4%,光纤接入网用户规模达4.17亿,占固定互联网宽带接入用户总数的92.9%o我国宽带网络的迅速发展,离不开宽带接入服务器(Broadband Remote Access Server,简称BRAS)的大规模
一种适合BRAS的Captive Portal方案—
—解攀科等
使用。BRAS是适合大型网络的高性能接入网关,在高速光纤网、大学校园网、无线宽带接入网(WLAN)中广泛使用⑵。在宽带网全业务发展的背景下,基于DHCP的IPoE协议被广泛采用。IPoE基于DHCP协议携带信息与Portal系统实现认证交互,通过Option82属性来识别策略,实现预定义策略的下发和Portal策略推送。用户在使用高速宽带网络时,实施网络准入认证是第一步的关键工作,通常
采用Captive Portal的技术向用户推送网络认证登录网页。为保障大型宽带网络的稳定运行,需要设计一套可靠稳定的Captive Portal系统。
1网络Portal认证
1.1Captive Portal简介
在大规模网络中,为解决用户网络身份认证的问题,通常采用Captive Portal技术来实现。Captive Portal是一种特殊的网络认证门户,通过由网络运营机构通过网关策略执行,在用户上网设备上自动弹出。联网终端发起接入请求时, BRAS网关系统对其网络会话状态进行识别,若其状态未获取认证授权标记,则会在用户终端强制弹岀网络登录网页。用户只有在弹出的Captive Portal上输入正确的认证信息,获取授权后,方可正常访问网络。由于Captive Portal采用在浏览器弹出网页的方式实施网络认证,具有良好的设备兼容性,因此在各大类型的网络系统中均得以广泛地应用。
1.2Captive Portal实现模式
Captive Portal需要采用合适的机制强制弹出认证网页⑶,通过可采用HTTP重定向、DNS拦截、IP策略等模式实现。使用HTTP重定向模式时,联网设备默认发岀的任意HTTP请求均被网关通过重定向策略转向到认证门户,直到用户认证成功后,便不再实施该操作,用户可正常上网。使用DNS拦截模式
时,联网设备默认发出的任意DNS请求均被网关策略强制解析为认证门户的IP,从而弹出认证网络,用户认证成功后,恢复正常的DNS解析,用户可正常上网。使用IP策略时,初始状态未认证时,网关通过DNAT机制将IP包的目标地址改为Portal地址,从而弹出认证网页,认证通过后,网关设备会下发正常上网策略,用户即可正常上网。
1.3传统模式下的Captive Portal存在的不足
在大规模网络部署的情况下,联网设备会大量接入,特别是在WLAN场景下MW,终端设备的Portal请求会爆发性增长。Portal的爆发性请求会对认证服务器产生高并发的压力,可能会导致认证系统崩溃,从而严重影响用户接入网络,甚至有可能引发网络系统的连锁型崩溃效应。传统模式下的Captive Portal部署,特别是采用某些厂商的集成化产品,往往存在单一化部署、Portal程序笨重的缺点,可能导致Captive Portal系统性能低下,弹岀Portal网页缓慢,无法实现全网Portal 认证的稳定运行。
2BRAS系统的Porta]优化与改进
2.1BRAS部署模式优化
在由BRAS作为核心设备组建的大型网络中,Portal服务器通常以旁路模式部署,依据BRAS触发Portal请求的过程不同,部署模式可分为内置集中式和外置分离式。在采用内置集中式Portal时,BRAS等网
关设备由专门的Portal处理进程来处理Portal请求,需要消耗核心设备的计算资源。内置式Portal为保障设备正常运行,通常会将内置Portal请求限制在指定参数内,以避免大量Portal请求对设备造成压力。外置分离式Portal则较为灵活,BRAS设备可通过Portal策略将实际Portal请求转发给外置Portal设备,从而将压力分离出去,BRAS设备则可以专注于路由交换及QoS等核心业务。外置分离式Portal可以灵活地基于软件模式部署,通过虚拟机技术可方便地实现高可用性集扩展,可实现较低成本的灵活性扩展。表1对内置集中式Portal和外置分离式Portal进行了具体的对比说明。
2.2Portal处理机制优化
针对传统Portal的不足,应考虑一种新的机制更高效地处理Portal请求。Portal服务器应可识别正常Portal请求和异常Portal请求。后台APP高频度尝试联网发起的Portal请求可视为异常请求,若处理不当,会导致Portal服务器计算资源紧张,甚至导致系统宕机。可构建专门的Porlal
一种适合BRAS的Captive Portal方案—
—解攀科等
过滤模块,过滤程序仅支持在标准浏览器执行,判断其为APP或其它类型的Web请求时,该组件则不执行,初步过滤掉一批异常请求。为实现更好的过滤效果,可配置BRAS策略携带URL,过滤程序通
过规则库识别URL特征,将各类广告URL 或黑名单异常URL深度过滤,从而进一步减少非法Portal请求。经过二次过滤处理后,预处理模块才将真正的Portal请求发送给Portal处理程序,从而提升Portal系统的处理性能。过滤程序采用标准JavaScript和HTML构建,因此可以部署在高性能的Nginx服务器上运行,Nginx仅开启轻量级的标准模块,从而可以保障高性能,并支持按需扩展,可构建一套高性能的前置Portal过滤集。图1对加载Portal过滤模块后的Portal处理过程
表1内置集中式Portal和外置分离式Portal对比
Portal策略
硬件消耗及影响
内置集中式Portal
网关核心设备内置式处理。
占用网关核心设备资源,可能影响网络核心业务。
外置分离式Portal
网关核心设备轻量级处理,策略转发给外置Portal处理器。
不占用网关核心设备资源,不影响网络核心业务。
图1Portal过滤处理流程
进行了说明。
2.3Portal过滤模块具体实现过程
为有效的过滤异常Portal请求,Portal过滤模块可通过识别终端设备类型和筛选网址来实现深度过滤。Portal请求通常是Web请求,因此可以通过用户代理(User Agent)的模式来识别用户类型2J。〕。User Agent是终端发起Web请求时,向服务器端发送的一系列字符串,从这些字符串的特定规律即可判断用户的终端类型。表2列举了常见的终端User Agent类型。
表2常见的手机User Agent举例
User Agent
Chrome浏览器Mozilla/5.0(Linux;Android10;Pixel3)Apple W ebKit/537.36(KHTML,like Gecko)Chrome/80.0.3987.87Mobile Safari/537.36
iPhone浏览器Mozilla/5.0(iPhone;CPU iPhone OS13_0like Mac OS X)AppleWebKit/605.1.15(KHTML,like Gecko)Version/ 11.2Mobile/15E148Safari/604.1
MIUI浏览器Mozilla/5.0(Linux;U;Android10;zh-cn;Red m i8)AppleWebKit/537.36(KHTML,like Gecko)Version/4.0 Chrome/71.0.3578.141Mobile Safari/537.36XiaoMi/MiuiBrowser/11.7.34
QQ浏览器Mozilla/5.0(Linux;U;Android10;zh-cn;ALP-AL00Build/HUAWEIALP-ALOO)AppleWebKit/537.36(KHTML, like Gecko)Version/4.0Chrome/66.0.3359.126MQQBrowser/10.1Mobile Safari/537.36
一种适合BRAS的Captive Portal方案—
—解攀科等
通过JavaScript代码对User Agent进行识别,即可比较方便的识别终端及其浏览器类型,识别为设备默认浏览器时,才执行正常的Portal请求。User Agent识別过程详见算法1。
双翅目蠓科
算法1:通过浏览器内核判断设备类型
输入:设备UserAgent
返回:设备类型
1:var Browser=\
2:UserAgent:function(){
3:var UA=navigator.userAgent;//获取userAgent 4:return{
5:android:UA.indexOf(Android)>-1II
UA.indexOf(Mac)>-1,//android设备6:iPhone:UA.indexOf(iPhone)>-1II
UA.indexOf(Mac)>-1,//iPhone
7:iPad:UA.indexOf(iPad)>-1,//iPad 8:QQbrw:UA.indexOf(MQQBrowser)>-
1,//QQ手机浏览器
9:webview:!(UA.match(/Chrome\/([\d.]
+)/)||UA.match(/CriOS\/([\d.]
+)/))&&
10:UA.match(/(iPhone I iPod I iPad)・*AppleWebKit(?!.漏泄同轴电缆
*Safari)/)//webview组件
1;
除识别终端的User Agent夕卜,还需要结合用户URL进行深度过滤,然后才向实际的Portal服务器发送认证请求。用户LRL需要在BRAS设备上进行设置,开启其发送用户URL的使能开关,URL以参数的方式附加在发往Portal的请求路径中。通过构造相应的正则表达式,URL过滤程序可依据广告关键字过
滤掉此类请求。通过两种过滤策略的叠加使用,可以达到较好的Portal 过滤效果,其实现过程详见算法2。
算法2:过滤异常Portal请求
输入:Portal请求参数
返回:Portal处理结果
//通过正则表达式过滤广告URL
1:functionis Adv(user_url)!
2:return/ad1adv1ads H ad]+1adv]+1[ads]+/.test (user_url);|
3:function Keq R eal Portal()|
4:if(isAdv(User__URL)==true)
I
5:
1
//判断广告URL,则终止跳转。
6:else
1
〃判断是否正常Portal请求
7:if(Browser.UserAgent.android==Irue)]
8:var xhp=new XMLHttpRequest();
9:adystatechange=function()|
10:adyState==4&&this,status=
=200)]//返冋Portal处理结果
ElementByld(”ACK_AUTH_TAG H)・
减四线油innerHTMI,=sponseText;
i
1;
〃请求实际的Portal服务器
12:xhp.open("GET","http://[REAL-PORTAL-
SERVER]",true);
13:xhp.send();
i
14:
f
〃…判断其它类型的异常Portal请求,则忽略
操作,减轻Portal压力。
3结束语
大型网络实施全网准入认证时,传统的Captive Portal服务器可能存在性能瓶颈,从而导致Portal页面无法流畅弹出。在BRAS组网的宽带网环境中,针对BRAS可设计合理的Captive Portal策略,考虑采用外置式Captive Portal构建高性能的Web认证系统。文中提出了一种基于用户终端识别+网址侦测的二元过滤方案,通过双层过滤机制屏蔽掉大量无效的Portal请求,从而为Captive Portal服务器大幅降低处理压力。该过滤方案通过JavaScript执行,从而将Portal前置过滤组件分布在用户设备上执行,可进一步有效降低Captive Portal服务器系统的斥力。该方案在一体化的IPoE+WLAN大学校园网中使用后,处理效果良好,缓解了前期的Portal压力,并采用外置式的虚拟机软件集方案,进一步(下转第15页)
无人机自主定位无线电干扰的最佳速度研究—
菌—周超等微透析
增多及框架的完善,定位过程所需时间会缩短。
多点定位方式需要持续观测,不受距离限制,但是方向偏差会导致较大定位误差;自主定位误差小,
但计算量大,在复杂环境下对系统的自动飞行性能提出严峻考验。在复杂地理环境,如机场周边、航路航线上开展定位无线电干扰作业时首先应确保安全报备,遵守飞行规定,其次快速准确的定位不仅需要合理规划飞行参数,还要根据实际场景选择多种监测定位方式协作进行。
4结束语
本文基于部分可观测马尔科夫决策过程理论构建了一套无人机自主定位仿真框架,根据框架模型控制变量参数分析给出在不同区域下的最佳速度,并与实际手动测试的数据进行对比,说明了在特定场景下最佳速度参数的有效性,在一定程度上为无人机监测无线电干扰源过程标准化提供了一些依据。针对距离差距明显时仿真数据不准确问题需要对框架模块进行优化,下一步将搭建测试系统,改进框架模型,结合控制理论实现自主定位测试。
参考文献:
[1]崔铠韬•多旋翼无线电监测空中机器人关键技术研
究[D].成都:西华大学,2015.
[2]张美红•基于无人机的民航无线电干扰空中监测与
分析研究[D].广汉:中国民航飞行学院,2019.
[3]Dressel L K,Kochenderfer M J.Signal source localization
using partially observable markov decision processes [J].2015.
(上接第10页)有效降低Portal集的实施成本。参考文献:
[1]李政蔵•第43次《中国互联网络发展状况统计报告》
发布[N].光明日报.2019-03-01.
[2]陶浩.基于Portal技术的高校多运营商网络认证系统
研究与实现[J]•江苏科技信息,2019,36(31):43-45.
[3]周江,李贺武.一种面向Portal认证的IPv6可信地址
分配机制[J]•电信科学,2019,35(12):8-14.
[4]王玮.高校WLAN无感知认证系统的设计与实现
[J].软件工程,2019,22(9):23-27.
[5]淡武强.WLAN组网中Portal认证实例[J].网络安全
和信息化,2019(9):83-86.[4]Perkins A,Dressel L,Lo S,et al.Demonstration of UAV
based GPS jammer localization during a live interference exercise[C].29th International Technical Meeting of The Satellite Division of the Institute of Navigation(ION GNSS+2016),2016.
[5J Dressel L,Kochenderfer M J.Efficient decision-theoretic target localization[C].Twenty-Seventh International Conference on Automated Planning and Scheduling,2017. [6]Perkins A,Chen Y H,Lo S,et al.Vision based UAS nav
igation for RFI localization[C].31st International Technical Meeting of The Satellite Division of the Institute of Navigation JON GNSS+2018,2018:2726-2736. [7]史肖冰,郭德贵,曹捷•基于自适应Hata模型的无线
电发射源定位方法[J].吉林大学学报:理学版,2020,58(1):109-112.
[8]Dressel L,Kochenderfer M J.Pseudo-bearing measure
ments for improved localization of radio sources with multirotor uavs[C].2018IEEE International Conference on Robotics and Automation(ICRA).IEEE,2018:6560 -6565.
[9]张博轩,袁晔,郭景阳,等•基于升空无线电监测系统
的最佳监测高度研究[J].中国无线电,2018(1)=41 -42.
[10]刘冰冰.POMDP近似算法的研究与设计[D].合肥:
中国科学技术大学,2017.
[11]张思齐•基于部分可观测马尔科夫决策过程的干扰
决策研究[D].西安:西安电子科技大学,2019. [12]赵明杰•基于无人机平台的黑广播定位与追踪[D].
杭州:浙江理工大学,2019.
(责任编辑:杨静)
[6]陶静烽.基层电大结合Portal技术构建校园WLAN的
实践研究[J].电脑编程技巧与维护,2019(6)=169-171.
[7]杨芸.校园自建无线网络管理系统建设[J].电脑知
孩子我为什么打你阅读答案识与技术,2019(9):59-60.
[8]张地•电信运营商与有线电视宽带合作的探讨[J].
科技视界,2019(14):233-234.
[9]李良盛,段海新,郑晓峰•基于HTTP User-Agent标记
的被动操作系统识别指纹库自动生成方法[J]•计算机应用与软件,2020(5):309-314,326.
[10]桂小林,刘军,乔媛媛,等•基于用户代理及互联网
知识的应用识别[J].北京邮电大学学报,2017(2):
102-105.(责任编辑:丁胡)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议