寬帶接入的認(rèn)證管理方式分析

深圳市中興通訊股份有限公司　陳曉濤

　　電信運(yùn)營商的網(wǎng)絡(luò)是一個(gè)可運(yùn)營可管理的網(wǎng)絡(luò)，前期網(wǎng)絡(luò)的泡沫不在于我們的網(wǎng)絡(luò)規(guī)模是否超前，我們的帶寬是否太大，而是我們?nèi)绾喂芾砗瓦\(yùn)營我們的網(wǎng)絡(luò)，從中真正得到應(yīng)有的效益，同時(shí)讓不同需求的用戶得到不同的服務(wù)，還有就是充分挖掘現(xiàn)有網(wǎng)絡(luò)的潛力，在目前的網(wǎng)絡(luò)中提供更多的服務(wù)。有必要強(qiáng)調(diào)：寬帶城域網(wǎng)應(yīng)該是一個(gè)可運(yùn)營、可管理的城域電信網(wǎng)絡(luò)，而不再是簡單的免費(fèi)開放的城域計(jì)算機(jī)網(wǎng)絡(luò)平臺。



　　所以我們必須重新審視寬帶城域網(wǎng)建設(shè)中的認(rèn)證、計(jì)費(fèi)、業(yè)務(wù)開展等。



　　一、寬帶接入認(rèn)證技術(shù)概述


　　目前寬帶接入的方式主要有xDSL、LMDS、HomePNA、LAN、HFC、WLAN等，根據(jù)不同電信運(yùn)營商的基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)，目前重點(diǎn)應(yīng)用的有LAN、ADSL、WLAN。


　　以太網(wǎng)接入是指接入網(wǎng)用戶側(cè)采用以太網(wǎng)協(xié)議的接入技術(shù)，其簡單高效，能兼容所有帶標(biāo)準(zhǔn)以太網(wǎng)接口的終端，用戶不需要另配新的接口卡或協(xié)議軟件，因而是一種十分廉價(jià)的寬帶接入技術(shù)。因傳統(tǒng)以太網(wǎng)主要針對小型的專用網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)，強(qiáng)調(diào)資源共享，所以在用戶信息的隔離、用戶傳輸質(zhì)量的保證、業(yè)務(wù)管理和網(wǎng)絡(luò)可靠性方面考慮不太全面，這對以太網(wǎng)用于公用電信網(wǎng)很不利。目前一些設(shè)備制造商和運(yùn)營商已注意到這些問題，提出了一些有效的解決方案：如通過VLAN進(jìn)行用戶隔離，用IGMP Snooping(互聯(lián)網(wǎng)組管理協(xié)議竊聽)技術(shù)以及優(yōu)先級控制、Tagged VLAN(帶標(biāo)記的虛擬局域網(wǎng))等功能支持有實(shí)時(shí)與組播要求的視頻點(diǎn)播業(yè)務(wù)等；在用戶管理方面常用兩種以太網(wǎng)接入認(rèn)證技術(shù)--基于BNAS(寬帶接入服務(wù)器)和PPPoE(基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議)認(rèn)證方法以及基于以太網(wǎng)端口的用戶訪問控制技術(shù)IEEE 802.1x協(xié)議。


　　另外一種方式為WEB/Portal 認(rèn)證方式，各設(shè)備廠商具體實(shí)現(xiàn)并不完全一致，但其認(rèn)證過程可以歸納為：用戶開機(jī)并通過DHCP服務(wù)器分配認(rèn)證IP地址，局端設(shè)備通過對該IP地址進(jìn)行強(qiáng)制URL訪問到登陸頁面，用戶輸入用戶賬號信息并發(fā)往認(rèn)證服務(wù)器, 認(rèn)證服務(wù)器獲得用戶MAC/IP/VLAN ID作為用戶標(biāo)識，認(rèn)證服務(wù)器反饋認(rèn)證成功信息，局端設(shè)備將用戶VLAN ID、用戶端口、用戶IP地址和MAC地址進(jìn)行可選擇性的綁定并開放用戶的上網(wǎng)功能。這種方式認(rèn)證和業(yè)務(wù)流也實(shí)現(xiàn)了分離，并可以方便地利用WEB服務(wù)器推出Portal和廣告等增值業(yè)務(wù)，對用戶進(jìn)行業(yè)務(wù)宣傳及業(yè)務(wù)引導(dǎo)。



　　二、WEB/Portal 認(rèn)證過程


　　WEB/Portal 認(rèn)證過程可以簡單描述如下：


　　1．用戶通過Web/Portal server內(nèi)置DHCP獲得IP地址。


　　2．用戶通過Explore訪問WEB/Portal Server,輸入用戶名和密碼。


　　3． WEB/Portal Server獲得用戶MAC/IP/VID作為用戶標(biāo)識。


　　4．通過Server給某個(gè)MAC/IP/VID以上網(wǎng)權(quán)限，并檢驗(yàn)每個(gè)數(shù)據(jù)流是否滿足權(quán)限要求。


　　5．用戶下線，需要在WEB/PORTAL的Explore界面上注銷，通知系統(tǒng)停止計(jì)費(fèi)。


　　6．系統(tǒng)定期檢測用戶在線情況，發(fā)現(xiàn)用戶下線，停止計(jì)費(fèi)。


　　傳統(tǒng)的Web/Portal認(rèn)證是基于業(yè)務(wù)類型的認(rèn)證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認(rèn)證需要7層協(xié)議支持，從邏輯上來說為了達(dá)到網(wǎng)絡(luò)2層的連接和認(rèn)真而跑到7層，這首先不符合網(wǎng)絡(luò)邏輯。


　　由于Web/Portal認(rèn)證是基于7層的認(rèn)證，4層以下的網(wǎng)絡(luò)問題往往檢測不到。如斷電、突發(fā)故障等異常離線情況必須在2層做檢測，而Web/Portal對此束手無策。因此Web/Portal認(rèn)證用戶連接性差，不容易檢測用戶離線，基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)。


　　如果用戶是異常下線，接入服務(wù)器需要根據(jù)設(shè)置的用戶空閑最長時(shí)間來判斷用戶的狀態(tài)。如果超過最長空閑時(shí)間，則認(rèn)為用戶已下線。這種判斷用戶異常下線的方式，可能導(dǎo)致計(jì)費(fèi)結(jié)束時(shí)間晚于用戶實(shí)際的下線時(shí)間。要解決這個(gè)問題，就可能需要將用戶空閑的最長時(shí)間設(shè)短，但此時(shí)間如果太短，必然又有可能讓用戶在上網(wǎng)的過程中出現(xiàn)多次需要重新進(jìn)行認(rèn)證，帶來使用的不方便。


　　Web/Portal認(rèn)證中，無論什么用戶都可以先獲得IP地址，再上網(wǎng)通過客戶端認(rèn)證，對目前網(wǎng)絡(luò)珍貴的IP地址來說造成了浪費(fèi)，而且分配IP地址的Web認(rèn)證服務(wù)器對用戶而言是完全裸露的，容易造成被惡意攻擊，并使得整網(wǎng)無法認(rèn)證。


　　目前， Web/Portal認(rèn)證在酒店、校園等網(wǎng)絡(luò)環(huán)境中有應(yīng)用。



　　三、PPPoE認(rèn)證


　　基于BNAS和PPPoE的認(rèn)證方法是較早出現(xiàn)也是最常見的一種用戶管理手段。


　　采用安裝在端局POP節(jié)點(diǎn)的BNAS，負(fù)責(zé)終結(jié)由用戶PC機(jī)發(fā)起的PPPoE進(jìn)程，并在BNAS后面連接運(yùn)營商的RADIUS(遠(yuǎn)程認(rèn)證撥入用戶服務(wù))認(rèn)證服務(wù)器和RADIUS計(jì)費(fèi)服務(wù)器。當(dāng)用戶登錄時(shí)，BNAS將用戶名和口令傳送到認(rèn)證服務(wù)器，驗(yàn)證通過后，BNAS將允許用戶接入網(wǎng)絡(luò)，并啟動計(jì)費(fèi)服務(wù)器對用戶進(jìn)行計(jì)費(fèi)。BNAS投資昂貴，采用BNAS+PPPoE這一認(rèn)證方法將增加城域網(wǎng)建設(shè)的投資。


　　BNAS的業(yè)務(wù)接入方式與窄帶撥號接入服務(wù)器相同，采用PPP方式。采用PPP協(xié)議的好處是：成熟，便于實(shí)現(xiàn)，可以支持多協(xié)議，容易與ISP設(shè)施配合，支持加密、認(rèn)證、記賬等功能。


　　1． PPP終結(jié)方式和PPP隧道方式


　　由于PPP連接的終結(jié)地方不同，RADIUS或者AAA功能的提供點(diǎn)不同，PPP連接可以分為PPP終結(jié)方式和PPP隧道（續(xù)傳）方式。


　　PPP連接終結(jié)在BNAS側(cè)，稱為PPP終結(jié)方式。


　　PPP連接終結(jié)在ISP，即PPP分組從用戶終端經(jīng)過BNAS透明穿過，直接到達(dá)ISP節(jié)點(diǎn)，稱為PPP隧道方式或者PPP續(xù)傳方式。


　　2．PPPoE


　　通過PPPoE，在一個(gè)共享的以太網(wǎng)上的多個(gè)主機(jī)，可以通過一個(gè)或多個(gè)簡單的橋接入設(shè)備，與遠(yuǎn)程接入集中器進(jìn)行多個(gè)PPP會話。使用這種模型，每個(gè)主機(jī)使用它自己的PPP協(xié)議棧，并且提供給用戶一個(gè)熟悉的用戶接口。接入控制、計(jì)費(fèi)和服務(wù)類型能夠基于每用戶，而不是每站點(diǎn)來處理。PPPoE包含發(fā)現(xiàn)和PPP會話兩個(gè)階段，發(fā)現(xiàn)階段是無狀態(tài)的Client/Server模式，目的是獲得PPPoE終結(jié)端的以太網(wǎng)MAC地址，并建立一個(gè)唯一的PPPoE SESSION_ID。發(fā)現(xiàn)階段結(jié)束后，就進(jìn)入標(biāo)準(zhǔn)的PPP會話階段。


　　PPPoE有兩個(gè)不同的階段：發(fā)現(xiàn)階段和PPP會話階段。當(dāng)一個(gè)主機(jī)想開始一個(gè)PPPoE會話，它必須首先進(jìn)行發(fā)現(xiàn)階段以識別對端的以太網(wǎng)MAC地址，并建立一個(gè)PPPoE SESSION_ID。在發(fā)現(xiàn)階段，基于網(wǎng)絡(luò)的拓?fù)�，主機(jī)可以尋找到多個(gè)接入集中器。發(fā)現(xiàn)階段允許主機(jī)尋找到所有的接入集中器，然后選擇一個(gè)。當(dāng)發(fā)現(xiàn)階段成功完成，主機(jī)和選擇的接入集中器都有了他們在以太網(wǎng)上建立PPP連接的信息。直到PPP會話建立，發(fā)現(xiàn)階段一直保持無狀態(tài)的狀態(tài)。一旦PPP會話建立，主機(jī)和接入集中器都必須為PPP虛接口分配資源。


　　（1）發(fā)現(xiàn)階段


　　發(fā)現(xiàn)階段有四個(gè)步驟，當(dāng)此階段完成，通信的兩端都知道PPPoE SESSION_ID和對端的以太網(wǎng)地址，他們一起唯一定義PPPoE會話。這些步驟包括：主機(jī)廣播一個(gè)發(fā)起分組（PADI），一個(gè)或多個(gè)接入集中器發(fā)送給予分組（PADO），主機(jī)發(fā)送單播會話請求分組（PADR），選擇的接入集中器發(fā)送一個(gè)確認(rèn)分組（PADS）。當(dāng)主機(jī)接收到確認(rèn)分組，它可以開始進(jìn)行PPP會話階段。當(dāng)接入集中器發(fā)送出確認(rèn)分組，它可以開始進(jìn)行PPP會話階段。


　　當(dāng)主機(jī)在指定的時(shí)間內(nèi)沒有接收到PADO，它應(yīng)該重新發(fā)送它的PADI分組，并且加倍等待時(shí)間，這個(gè)過程會被重復(fù)期望的次數(shù)。如果主機(jī)正在等待接收PADS，應(yīng)該使用具有主機(jī)重新發(fā)送PADR的相似超時(shí)機(jī)制。在重試指定的次數(shù)后，主機(jī)應(yīng)該重新發(fā)送PADI分組。


　　PPPoE還有一個(gè)PADT分組，它可以在會話建立后的任何時(shí)候發(fā)送，來終止PPPoE會話。它可以由主機(jī)或者接入集中器發(fā)送。當(dāng)接收到一個(gè)PADT，不再允許使用這個(gè)會話來發(fā)送PPP業(yè)務(wù)。在發(fā)送或接收PADT后，即使正常的PPP終止分組也不必發(fā)送。PPP對端應(yīng)該使用PPP協(xié)議自身來終止PPPoE會話，但是當(dāng)PPP不能使用時(shí)，可以使用PADT。


　�。�2） PPP會話階段


　　一旦PPPoE會話開始，PPP數(shù)據(jù)就可以像其它的PPP封裝形式一樣發(fā)送。所有的以太網(wǎng)幀都是單播的。PPPoE會話的 SESSION_ID一定不能改變，并且必須是發(fā)現(xiàn)階段分配的值。


　　PPP連接可以分為PPP終結(jié)方式和PPP續(xù)傳方式。PPP連接終結(jié)在BNAS側(cè)，成為PPP終結(jié)方式。PPP連接終結(jié)在ISP，即PPP分組從用戶終端經(jīng)過BNAS透明穿過，直接到達(dá)ISP節(jié)點(diǎn)，相當(dāng)于用戶終端到ISP是一個(gè)PPP連接的隧道，所以也稱為L2TP VPN方式。



　　四、IEEE 802.1x認(rèn)證


　　采用寬帶接入服務(wù)器BNAS和PPPoE技術(shù)的用戶管理方式目前存在如下問題：


　　由于寬帶接入服務(wù)器要終結(jié)大量的PPP會話，并轉(zhuǎn)發(fā)IP數(shù)據(jù)包，使寬帶接入服務(wù)器成為網(wǎng)絡(luò)性能的"瓶頸"，這可以通過合理的組網(wǎng)方式部分解決問題。


　　寬帶接入服務(wù)器通常放置在端局的位置，其下是巨大的廣播域，從用戶安全角度考慮，需要通過VLAN(虛擬局域網(wǎng))技術(shù)來實(shí)現(xiàn)用戶的隔離，但是目前的設(shè)備只能支持最大4096個(gè)虛擬局域網(wǎng)。


　　由于PPPoE的點(diǎn)到點(diǎn)特性，使城域網(wǎng)組播業(yè)務(wù)的開展受到極大的限制。


　　采用BNAS和PPPoE方式增加了城域網(wǎng)建設(shè)的投資。


　　采用基于以太網(wǎng)端口的用戶訪問控制技術(shù)，可以克服PPPoE方式帶來的諸多問題，并避免引入寬帶接入服務(wù)器所帶來的巨大投資。


　　在傳統(tǒng)以太網(wǎng)設(shè)備基礎(chǔ)上，基于端口的網(wǎng)絡(luò)訪問控制技術(shù)采用IEEE 802.1x協(xié)議，提供了對基于以太網(wǎng)的點(diǎn)到點(diǎn)連接的端口用戶進(jìn)行認(rèn)證和授權(quán)的能力，從而使以太網(wǎng)設(shè)備達(dá)到電信運(yùn)營要求。用戶側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)擴(kuò)展認(rèn)證協(xié)議(EAP)代理，用戶PC機(jī)運(yùn)行EAPoE(EAP over Ethernet)的客戶端軟件與交換機(jī)通信。當(dāng)用戶通過EAPoE登錄交換機(jī)時(shí)，交換機(jī)將用戶名和口令傳送到后臺的RADIUS認(rèn)證服務(wù)器上，如果用戶名／口令通過驗(yàn)證，則相應(yīng)以太網(wǎng)端口打開，允許用戶訪問；如果認(rèn)證失敗，端口接入將被阻止。


　　基于端口的訪問控制技術(shù)(IEEE 802.1x協(xié)議)是為運(yùn)營商提供的一種較為經(jīng)濟(jì)實(shí)用的認(rèn)證方式，可實(shí)現(xiàn)用戶設(shè)備在城域網(wǎng)邊緣的分散用戶集中認(rèn)證管理，替代寬帶接入服務(wù)器實(shí)現(xiàn)城域網(wǎng)范圍內(nèi)的用戶管理功能。


　　1． 技術(shù)介紹


　　基于以太網(wǎng)端口的用戶管理認(rèn)證技術(shù)通過3個(gè)部分的功能實(shí)體來實(shí)現(xiàn)以太網(wǎng)端口用戶管理認(rèn)證的模式


　　(1) 用戶PC上的客戶端軟件


　　輸入用戶ID(標(biāo)識)和密碼，實(shí)現(xiàn)認(rèn)證的客戶端主要功能。


　　(2) 靠近用戶側(cè)的以太網(wǎng)交換機(jī)


　　在普通以太網(wǎng)交換機(jī)上進(jìn)行擴(kuò)展，實(shí)現(xiàn)遠(yuǎn)端授權(quán)撥號上網(wǎng)用戶服務(wù)認(rèn)證代理功能，并根據(jù)RADIUS服務(wù)器的認(rèn)證結(jié)果，開放用戶連接以太網(wǎng)業(yè)務(wù)端口的訪問權(quán)限。


　　(3) RADIUS服務(wù)器


　　進(jìn)行用戶ID和密碼的認(rèn)證，并返回結(jié)果給以太網(wǎng)交換機(jī)。


　　初始狀態(tài)下，與最終用戶相連的以太網(wǎng)交換機(jī)(放置在樓道的交換機(jī))的所有業(yè)務(wù)端口是關(guān)閉的，只有管理和認(rèn)證的端口是開放的。用戶通過客戶端軟件登錄交換機(jī)，交換機(jī)將用戶提供的ID和密碼傳送到后臺的RADIUS服務(wù)器(可以在本地，也可以通過廣域網(wǎng)設(shè)備連到遠(yuǎn)地)上，如果用戶ID和密碼認(rèn)證通過，則以太網(wǎng)交換機(jī)相應(yīng)的業(yè)務(wù)端口打開，允許用戶訪問城域網(wǎng)絡(luò)。


　　通過這種基于L2(二層)以太網(wǎng)交換機(jī)的用戶管理方法，可以使城域網(wǎng)整體的組網(wǎng)變得非常簡單，通過L2以太網(wǎng)交換機(jī)和路由器兩種設(shè)備即基本實(shí)現(xiàn)，可同時(shí)實(shí)現(xiàn)業(yè)務(wù)的集中控制(以RADIUS為核心的業(yè)務(wù)中心控制)和分散實(shí)現(xiàn)(靠近用戶的以太網(wǎng)交換機(jī)實(shí)現(xiàn))，滿足可運(yùn)營、可管理寬帶城域網(wǎng)的用戶管理認(rèn)證要求。


　　2． IEEE 802.1x協(xié)議


　　基于端口的網(wǎng)絡(luò)訪問控制技術(shù)，在傳統(tǒng)以太網(wǎng)設(shè)備的基礎(chǔ)上，采用IEEE 802.1x協(xié)議提供對基于以太網(wǎng)端口點(diǎn)到點(diǎn)連接的用戶進(jìn)行認(rèn)證、授權(quán)的能力，從而使以太網(wǎng)設(shè)備可以達(dá)到電信運(yùn)營的要求，尤其在寬帶城域網(wǎng)的建設(shè)中可以發(fā)揮重大的作用。


　　802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。


　　(1) 協(xié)議簡介


　　基于端口的網(wǎng)絡(luò)訪問技術(shù)的基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)(如以太網(wǎng)連接，網(wǎng)絡(luò)層路由，Internet接入等業(yè)務(wù))。


　　網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實(shí)體)。在訪問控制流程中，端口訪問實(shí)體包含3部分：


　　認(rèn)證者--對接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；


　　請求者--被認(rèn)證的用戶/設(shè)備；


　　認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。


　　以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制"受控端口"的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口，拒絕用戶/設(shè)備的訪問。


　　(2)以太網(wǎng)端口的受控和非受控接入


　　認(rèn)證者1(可能是以太網(wǎng)交換機(jī)的某個(gè)端口)的受控端口處于未授權(quán)狀態(tài)，因此受控端口對連接在物理端口上的用戶MAC(媒體訪問控制)是關(guān)閉的，用戶的幀無法通過受控端口訪問網(wǎng)絡(luò)資源；認(rèn)證者2(以太網(wǎng)交換機(jī)的另一個(gè)端口)的受控端口已經(jīng)授權(quán)，因此連接的端口是開放的，用戶可以自由訪問網(wǎng)絡(luò)資源。


　　(3)受控和非受控端口在用戶認(rèn)證中的應(yīng)用


　　用戶對網(wǎng)絡(luò)資源的正常訪問都是在認(rèn)證、授權(quán)以后，通過受控端口進(jìn)行的；而非受控的端口用于認(rèn)證之前，傳遞認(rèn)證所需的各種信息。認(rèn)證者PAE根據(jù)認(rèn)證過程的結(jié)果，改變受控端口的授權(quán)狀態(tài)，從而實(shí)現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。


　　(4) 用戶以太網(wǎng)端口認(rèn)證流程


　　用戶、以太網(wǎng)端口和認(rèn)證服務(wù)器之間認(rèn)證者(以太網(wǎng)端口)的受控端口處于未授權(quán)狀態(tài)，用戶/設(shè)備是無法享用認(rèn)證者(以太網(wǎng)端口)提供的網(wǎng)絡(luò)接入業(yè)務(wù)的。認(rèn)證者PAE利用非受控的端口，通過EAPoL協(xié)議與請求者PAE進(jìn)行認(rèn)證信息交互，并采用EAP協(xié)議與認(rèn)證服務(wù)器進(jìn)行通信。認(rèn)證者PAE根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果，開放或關(guān)閉受控端口的授權(quán)，從而控制最終用戶對網(wǎng)絡(luò)的訪問。


　　認(rèn)證者PAE的作用相當(dāng)于認(rèn)證服務(wù)器的代理。它可以與認(rèn)證服務(wù)器位于同一物理設(shè)備，也可以通過LAN、WAN與認(rèn)證服務(wù)器進(jìn)行本地和遠(yuǎn)程認(rèn)證。


　　(5) IEEE 802.1x的主要內(nèi)容


　　端口訪問控制的應(yīng)用前提是在用戶(請求者)和認(rèn)證者(以太網(wǎng)端口)之間提供一條點(diǎn)到點(diǎn)的連接，這樣使認(rèn)證以端口的形式進(jìn)行。


　　基于端口的網(wǎng)絡(luò)訪問控制定義了3方面內(nèi)容：


　　規(guī)定了請求者與認(rèn)證者之間的認(rèn)證信息通信協(xié)議；


　　認(rèn)證者與認(rèn)證服務(wù)器之間的通信協(xié)議；


　　根據(jù)協(xié)議交換的結(jié)果，控制認(rèn)證者端口狀態(tài)的機(jī)制。


　　由于以太網(wǎng)設(shè)備(認(rèn)證者)只是RADIUS的認(rèn)證代理，負(fù)責(zé)傳遞認(rèn)證信息，并根據(jù)認(rèn)證服務(wù)器給出的結(jié)果進(jìn)行操作，并不參與其實(shí)際的認(rèn)證。


　　(6) 802.1x協(xié)議的特點(diǎn)


　　基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：


　　借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議)；


　　可以使用現(xiàn)有的后臺認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；


　　可以映射不同的用戶認(rèn)證等級到不同的VLAN；


　　可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。



　　五、不同認(rèn)證方式的比較


　　通過上面的論述，可以看出PPPoE認(rèn)證方式屬于較成熟的應(yīng)用；802.1X對組播支持能力較強(qiáng)，但用戶控制能力方面較弱，目前尚未大規(guī)模商業(yè)；WEB/Portal方式則可以實(shí)現(xiàn)較多的增值業(yè)務(wù)，但需要VLAN支持，對VLAN資源消耗較大。


　　PPPoE出現(xiàn)較早，產(chǎn)品支持最多；WEB方式由于無標(biāo)準(zhǔn)，產(chǎn)品實(shí)現(xiàn)技術(shù)不統(tǒng)一；802.1x為新認(rèn)證方式，產(chǎn)品支持最少。


　　三種認(rèn)證技術(shù)各有優(yōu)缺點(diǎn)，需要在實(shí)際應(yīng)用中根據(jù)每種技術(shù)的技術(shù)特點(diǎn)和實(shí)際情況，綜合考慮才會使寬帶城域網(wǎng)發(fā)揮應(yīng)有的效益。


　　總之，WEB/Portal方式浪費(fèi)了網(wǎng)絡(luò)IP地址資源，增加了網(wǎng)絡(luò)投資，目前不能滿足電信運(yùn)營商規(guī)模的大型寬帶城域網(wǎng)，較適合應(yīng)用于園區(qū)網(wǎng)和校園網(wǎng)；PPPoE方式成熟可靠，需要增加投資的寬帶接入服務(wù)器BNAS等設(shè)備目前成本也大幅下降，通過合理的組網(wǎng)方式和設(shè)備性能的提升，可以解決所謂的網(wǎng)絡(luò)瓶頸問題；802.1x推出較晚，標(biāo)準(zhǔn)目前不是很成熟，但其一次性投資低，支持組播等特性使其具有強(qiáng)大的生命力，隨著標(biāo)準(zhǔn)的統(tǒng)一和完善，必然是未來寬帶城域網(wǎng)首選的認(rèn)證管理方式。




摘自《中國光纖網(wǎng)》