探讨：基于路由器分配保留地址的接入认证

ite802.1x

近日在研究两个项目，分别是：1、基于路由器分配保留地址的接入认证；2、基于多路由器的DHCP分配

项目1主要解决的是认证服务器无法对用户路由器局网端口连接的所用终端进行认证的问题。这个问题想必大家都很明白了，就是说一个宽带账号可以通过使用路由器来让多个终端实现共享上网。

现在要求找出一种对路由器局网端口连接的每个终端进行认证的方式。简单的说，就是要针对路由器内网分配的私有IP地址进行认证，以便阻止共享上网方式。大家不要拍砖啊，这并不是说要阻碍普通家庭的共享上网，而是用在特定环境下的接入控制。

要实现这样的保留IP地址认证，其实牵涉到很多问题，但我怕有遗漏一些细节，所以在此请教各位。

初步的实现方法是在路由器上重新建立一种接入方式，就如同路由器上有PPPOE方式一样，我称这种方式为SAA（Single Access Auth.）。这种接入方式和传统的方式不同，主要表现在以下几点：

1.路由器加电后，传统的所有接入方式，如PPPOE默认所有已分配的IP地址的所有端口全开。而SAA接入方式要求路由器加电后，所有IP地址的所有端口全关。
2.SAA启动后，为任何终端分配IP地址后，都默认将该IP地址与终端MAC地址绑定，用户无权限干预。
3.在仅开通SAA服务的区域中，当路由器拨号接入网络时，运营商认证服务器首先会检查路由器的拨号方式是否为SAA，如果不是SAA则拒绝接入。SAA接入方式由特定标示表示。
4.以SAA方式拨号入网的路由器首先会向运营商的认证服务器请求一个特殊的号码，该号码在路由器接入网络后就与该路由器的MAC临时绑定，直至路由器断开网络，该号码释放。
5.第一个由路由器分配IP地址（假设为192.168.1.2）的终端在拨号接入网络时，将有一个专门的设备读取路由器发送出来的数据包，读取其中的终端MAC地址和内网IP（192.168.1.2）以及宽带账号密码。该设备在逻辑上介于主干网络链路与路由器之间，并与认证服务器相连。当认证通过后，认证服务器向路由器发送一个消息，要求打开该IP（192.168.1.2）地址的所有端口（0-65535端口），同时为路由器MAC地址分配一个公网IP地址，并为该终端所分配的内网IP（192.168.1.2）建立一条链路，实际上是为该公网IP地址建立一条链路。由于只有192.168.1.2的端口被路由器打开了，所以只有192.168.1.2可以使用该条链路。
6.其他终端连接到路由器时，路由器将分配第二个IP地址（假设为192.168.1.3），若这个终端没有发送自己的宽带账号进行认证，则认证服务器不会向路由器发送打开192.168.1.3所有端口的消息，故192.168.1.3无法使用由192.168.1.2建立的链路。
7.认证服务器向路由器发送打开某个IP地址端口的消息中包含了一个数据，用以确认命令的合法性，该数据是一个特殊的号码(见4)。
8.明天我贴个详细的流程上来吧，写的太累了。。。

大家帮忙看看有没有什么问题。

fs290725630

占个位置 下次有时间仔细看看 收藏了

zhe_jiang

ddddddddddddddddddd