随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE 802.1x协议对认证方式和认证体系结构进行了优化,解决了传统PPPoE和Web/Portal认证方式带来的问题,更适合在宽带以太网中的使用。
什么是IEEE 802.1x协议
IEEE 802.1x 称为基于端口的访问控制协议(Port based network Access control protocol)。
IEEE 802.1x协议的体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。
客户端系统 一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL(Extensible Authentication Protocol Over LAN)协议。
认证系统 通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。假如用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
认证服务器 通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。
值得注重的是,在IEEE 802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解,设备内部并不存在这样的物理开关。对于每个用户而言,IEEE 802.1x协议均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口打开后被其他用户利用问题。
IEEE 802.1x认证协议已经得到了很多软件厂商的重视,目前微软也在大力推广,并在Windows操作系统中的最新版Windows XP已经整合IEEE 802.1x客户端软件,无需要另外安装客户端软件。
IEEE 802.1x协议技术特点
1.协议实现简单
IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。
2.认证和业务分离
IEEE 802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离。用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有非凡要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
3.和其他认证方式的比较
IEEE 802.1x协议虽然源于IEEE 802.11无线以太网(EAPOW),但是,它在以太网中的引入,解决了传统的PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,简轻了网络封装开销,降低了建网成本。
众所周知,PPPoE是从基于ATM的窄带网引入到宽带以太网的,由此可以看出,PPPoE并不是为宽带以太网量身定做的认证技术,将其应用于宽带以太网,必然会有其局限性,虽然其方式较灵活,在窄带网中有较丰富的应用经验,但是,它的封装方式,也造成了宽带以太网的种种等问题。在PPPoE认证中,认证系统必须将每个包进行拆解才能判定和识别用户是否合法,一旦用户增多或者数据包增大,封装速度必然跟不上,成为了网络瓶颈。其次这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成,这个设备就是我们传统的BAS,每个用户发出的每个数据包BAS必须进行拆包识别和封装转发。为了解决瓶颈问题,厂商想出了提高BAS性能,或者采用大量分布式BAS等方式来解决问题,但是BAS的功能就决定了它是一个昂贵的设备,这样一来建设成本就会越来越高。
Web/Portal认证是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。但是由于Web认证走的是7层协议,从逻辑上来说为了达到网络2层的连接而跑到7层做认证,这首先不符合网络逻辑。其次由于认证走的是7层协议,对设备必然提出更高要求,增加了建网成本。第三,Web是在认证前就为用户分配了IP地址,对目前网络珍贵的IP地址来说造成了浪费,而且分配IP地址的DHCP对用户而言是完全裸露的,轻易造成被恶意攻击,一旦受攻击瘫痪,整网就没法认证;为了解决易受攻击问题,就必须加装一个防火墙,这样一来又大大增加了建网成本。Web/Portal认证用户连接性差,不轻易检测用户离线,基于时间的计费较难实现;用户在访问网络前,不管是 Telnet、FTP还是其他业务,必须使用浏览器进行Web认证,易用性不够好;而且认证前后业务流和数据流无法区分。所以,在以太网中,Web/Portal认证目前只是限于在酒店等非凡网络环境中使用。
总结起来IEEE 802.1x有以下五大优点。
简洁高效:纯以太网技术内核,保持IP网络无连接特性,去除冗余昂贵的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业务。
轻易实现:可在普通L3、L2、IP DSLAM上实现,网络综合造价成本低。
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户和密码等;绑定技术具有很高的安全性。
行业标准:IEEE标准,微软操作系统内置支持。
易于运营:控制流和业务流完全分离,易于实现多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络。