IEEE802.1x技术白皮书V10.docx

IEEE 802.1x技术白皮书V10北京港湾网络有限公司产品部2002年2月目录第一部分 IEEE 802.1X协议介绍11 协议的开发背景12 几个名词的定义13 工作机制33.1 各组成部分的功能33.2 受控和非受控的访问（Controlled and uncontrolled access）53.3 IEEE 802.1x协议的体系结构93.4 IEEE 802.1x协议的工作机制113.5 协议实现内容153.6 基本的认证过程193.7 几个注意的问题204 几种认证方式的比较214.1 PPPOE认证214.2 WEB认证224.3 802.1x认证244.4 小结几种认证方式的比较26第二部分 IEEE 802.1X协议在港湾网络的应用271 IEEE 802.1x解决方案271.1 端口控制模式271.2 802.1x解决方案282 IEEE 802.1x应用方案292.1 802.1x认证应用在新建小区292.2 802.1x认证应用在旧小区313 港湾 802.1x认证计费系统介绍343.1 计费管理系统功能353.2 港湾计费管理系统解决方案36第三部分 港湾802.1X认证应用案例411 802.1x在宁波网通的应用412 802.1X在通化电信的应用42 IEEE 802.1x技术白皮书V10第一部分 IEEE 802.1x协议介绍1 协议的开发背景在IEEE 802 LAN 所定义的局域网环境中，只要存在物理的连接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。例如：一个可以访问公共网络的大厦的办公网，或者是某个组织机构与其他组织连接的网络。在这样的网络环境中，往往不希望未经授权的设备或用户连接到网络，使用网络提供的服务。后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol）。基于端口的访问控制（Port based network access control）能够在利用IEEE 802 LAN的优势基础上提供一种对连接到局域网（LAN）设备或用户进行认证和授权的手段。通过这种方式的认证，能够在 LAN 这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或网络设备连接LAN的物理端口，或者是在 IEEE 802.11 无线 LAN 环境中定义的工作站和访问点。2 几个名词的定义以下的名词为802.1x协议中的重要组成部分：l Supplicant 客户端客户端指LAN所连接的一端的实体（entity），它向认证系统（Authenticator 如下）发起请求，对其身份的合法性进行检验。l Authenticator认证系统认证系统指在LAN连接的一端用于认证另一端设备的实体（entity）。l Authentication Server 认证服务器认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务。注意认证服务器与认证系统配合工作，可以集成在一起，也可以分开放在认证系统通过网络可以远程访问的地方。l Network Access Port 网络访问端口网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址。注意下文所指的端口均可以是物理端口或用户设备的MAC地址，如果设备支持全程VLAN，也可以指VLAN ID。l Port Access Entity (PAE) 端口访问实体指一个端口的相关协议实体。PAE 能够支持的功能包括：客户端（Supplicant）完成的功能、认证系统（Authenticator）完成的功能或者两者功能同时具备。l System 系统系统是指通过一个或更多端口连接到LAN的设备，例如：终端、服务器、交换机或路由器等设备都称为系统。图21 IEEE 802.1X认证体系组成部分3 工作机制下面将描述基于端口访问控制的结构框架，以及访问控制功能和设备实体之间的关系：3.1 各组成部分的功能3.1.1 系统（Systems）、端口（Ports）连接到LAN的设备（这里指2.6定义的系统System）通常与LAN会有一个或多个连接点（这里指2.4定义的网络访问端口）。注意1 一个终端一般通过网卡与LAN有一个连接点（有些终端如服务器可能会有多个网卡，与网络有多个连接）；一个网络设备与网络一般有两个或多个连接点一个系统的端口与网络连接，该系统就可以通过这个端口获得其他系统的服务，同时也可以为其他系统提供服务。基于端口的访问控制能够控制系统的端口状态，以保证只为授权的用户开放自己的服务。注意2 一个系统提供的服务包括根据MAC地址的转发功能，网络层的路由功能，文件服务器的功能等。为了便于描述基于端口的访问控制过程，一个系统的端口（确切的讲应该是协议实体PAE）可以在整个控制过程中充当多个不同的角色。如下为在基于端口访问控制过程中，端口所充当的角色：a) Authenticator (2.2). 在允许用户访问之前执行认证的端口，该端口充当认证系统的角色；b) Supplicant (2.1). 访问认证系统所提供服务的端口，该端口充当客户端的角色；c) Authentication Server (2.3). 认证服务器代表认证系统执行对用户身份的合法性进行检验功能从以上描述可以看出，为了完成一个认证过程，所有的三个角色是必须的。一个特定系统可以承担一种或多种角色；例如：一个认证系统和认证服务器能集成在一个系统中，实现认证功能而无需设置专门的外置认证服务器。同样，一个端口在一个认证过程中充当客户端的角色，而在另一个认证过程中可能充当认证系统的角色，例如：在一个桥接LAN中，一个新的交换设备添加到网络中，这个设备要能够对连接到其端口的设备实现认证，自身必须先通过其上端设备的认证（该新设备通过上端设备接入到LAN中）。注意3 尽管理论上认证服务器可以和认证系统集成在一起，但实际使用中都是分开成两个体系。3.1.2 端口访问实体（PAE, Port Access Entity）在客户端中，PAE主要负责响应来自认证系统建立信任关系的请求，称为客户端PAE。在认证系统中，PAE负责与客户端的通信，把从客户端收到的信息传送给认证服务器以便完成认证。该PAE称为认证系统PAE。认证系统PAE根据认证服务器提供的关于用户合法性的信息来控制受控端口（controlled下面会讲述）的状态是认证状态或未认证状态。3.2 受控和非受控的访问（Controlled and uncontrolled access）IEEE 802.1x协议的精华就是关于受控和非受控的访问，以下将详细描述关于受控和非受控的访问。3.2.1 端口的类型图31 受控端口（Controlled Port）和不受控端口（Uncontrolled Port）如图31 所示，认证系统的端口分成两个逻辑端口：受控端口和不受控端口。不受控端口只能传送认证的协议报文，而不管此时受控端口的状态是已认证状态（Autherized）还是未认证状态（Unautherized）。受控端口传送业务报文。如果用户通过认证，则受控端口的状态为已认证状态，可以传送业务报文。如果用户未通过认证，则受控端口的状态为未认证状态，不能传送业务报文。图32 受控端口的状态变化如图32所示，当用户未通过认证时，受控端口处于开路，端口状态为未认证状态，此时交换机的交换功能是关闭的，也就是说交换机无法像传统的通过查找目标MAC地址来进行交换，如果用户有业务报文是无法通过的。当用户通过认证后，受控端口闭合，端口状态为通过认证状态，此时交换机的交换功能打开，就和传统的交换方式一致了，用户的业务报文就可以顺利通过。端口的状态受相关的协议参数控制，如AuthControlledPortStatus参数控制交换功能的打开和关闭等，这里不做详细讲解。3.2.2 端口控制方式对于端口的控制，可以有很多种方式。端口可以是物理的端口，也可以是用户设备的MAC地址，如果设备支持全程的VLAN，也可以把VLAN ID看成是端口。基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受控端口和不受控端口。不受控端口传递认证的协议报文，受控端口传递业务报文。采用这种端口控制方式，则必须在与最终用户直接相连的交换机实现802.1x认证，在相应的端口进行控制。这样会导致低端交换机的成本上升，势必增加整个网络的建网成本。图33 MAC地址的激活和禁止另一种端口控制方式就是基于用户设备的MAC地址进行控制。把用户设备的MAC地址看成端口，每个MAC地址有两个逻辑端口：受控和不受控端口。如果用户要访问LAN的资源，则首先其MAC地址必须处于激活状态，然后才能有协议报文通过不受控的端口传递，开始整个认证过程。如果其MAC地址未激活或者被管理性的禁止，则无法进行认证。3.3 IEEE 802.1x协议的体系结构图34 802.1x协议的体系结构IEEE 802.1x协议的体系结构（通过上文的说明可以知道）包括三个重要的部分：Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。图34描述了三者之间的关系以及互相之间的通信。客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统 需支持EAPOL（Extensible Authentication Protocol Over LAN）协议。认证系统通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址）有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证客户端 始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。图中认证系统的受控端口处于未认证状态，因此无法访问认证系统提供的服务。认证系统的PAE通过不受控端口与Supplicant PAE进行通信，二者之间运行EAPOL协议。认证系统的PAE与认证服务器之间运行EAP（Extensible Authentication Protocol）协议。认证系统和认证服务器之间的通信可以通过网络进行，也可以使用其他的通信通道，例如如果认证系统和认证服务器集成在一起，二个实体之间的通信就可以不采用EAP协议。认证服务器通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。对于终端用户的认证可以采用如上所示的机制进行，而对于网络设备之间的认证则采用如下的方式：图35描述了这样一种情况：当一个网络设备A要求访问网络设备B所提供的服务，则系统A的PAE就成为客户端（Suppliant），系统B的PAE为认证系统（Authenticator）；如果B要求访问A所提供的服务，则B的PAE就成为客户端，A的PAE就成为认证系统。图35 系统的两种工作模式3.4 IEEE 802.1x协议的工作机制802.1x作为一个认证协议，在实现的过程中有很多重要的工作机制。图36 IEEE 802.1x协议的工作机制3.4.1 认证发起认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探测到未经过认证的用户使用网络，就会主动发起认证；用户端则可以通过客户端软件向认证系统发送EAPOL-Start报文发起认证。l 由认证系统发起的认证当认证系统检测到有未经认证的用户使用网络时，就会发起认证。在认证开始之前，端口的状态被强制为未认证状态。如果客户端的身份标识不可知，则认证系统会发送EAP-Request/Identity报文，请求客户端发送身份标识。这样，就开始了典型的认证过程。客户端在收到来自认证系统的EAP-Request报文后，将发送EAP-Response报文响应认证系统的请求。认证系统支持定期的重新认证，可以随时对一个端口发起重新认证的过程。如果端口状态为已认证状态，则当认证系统发起重新认证时，该端口通过认证，那么状态保持不便；如果未通过认证，则端口的状态改变为未认证状态l 由客户端发起认证如果用户要上网，则可以通过客户端软件主动发起认证。客户端软件会向认证系统发送EAPOL-Start报文主动发起认证。认证系统在收到客户端发送的EAPOL-Start报文后，会发送EAP-Request/Identity报文响应用户请求，要求用户发送身份标识，这样就启动了一个认证过程。3.4.2 退出已认证态有几种方式可以造成认证系统把端口状态从已认证状态改变成未认证状态：a)客户端未通过认证服务器的认证；b)由于管理性的控制端口始终处于未认证状态，而不管是否通过认证；c)与端口对应的MAC地址出现故障（管理性禁止或硬件故障）；d)客户端与认证系统之间的连接失败，造成认证超时；e)重新认证超时；f)客户端未响应认证系统发起的认证请求；g)客户端发送EAPOL-Logoff报文，主动下线；退出已认证状态的直接结果就是导致用户下线，如果用户要继续上网则要再发起一个认证过程。为什么要专门提供一个EAPOL-Logoff机制，是处于如下安全的考虑：当一个用户从一台终端退出后，很可能其他用户不通过发起一个新的登录请求，就可以利用该设备访问网络。提供专门的退出机制，以确保用户与认证系统专有的会话进程被中止，可以防止用户的访问权限被他人盗用。通过发送EAPOL-Logoff报文，可以使认证系统将对应的端口状态改变为未认证状态。3.4.3 重新认证（根据时间）为了保证用户和认证系统之间的链路处于激活状态，而不因为用户端设备发生故障造成异常死机，从而影响对用户计费的准确性，认证系统可以定期发起重新认证过程，该过程对于用户是透明的，也即用户无需再次输入用户名/密码。重新认证由认证系统发起，时间是从最近一次成功认证后算起。重新认证可以激活或关闭，协议状态参数reAuthEnabled控制是否定期进行重新认证。重新认证的时间由参数reAuthPeriod控制，默认值为3600秒（一个小时）而且默认重新认证是关闭的。注意 重新认证的时间设定需要认真的规划，认证系统对端口进入的MAC地址的检测能力会影响到该时间的设定。如果对MAC地址的检测比较可靠，则重新认证时间可以设长一些。3.4.4 认证报文丢失重传对于认证系统和客户端之间通信的EAP报文，如果发生丢失，由认证系统负责进行报文的重传。在设定重传的时间时，考虑网络的实际环境，通常会认为认证系统和客户端之间报文丢失的几率比较低以及传送延迟低，因此一般通过一个超时计数器来设定，默认重传时间为30秒钟。对于有些报文的丢失重传比较特殊，如EAPOL-Star报文的丢失,由客户端负责重传；而对于EAP-Failure和EAP-Success报文，由于客户端无法识别，认证系统不会重传。如果EAP-Failure或EAP-Success报文发生丢失，则客户端会在auth-While计数器超时后，自动转变为CONNECTING状态。由于对用户身份合法性的认证最终由认证服务器执行，认证系统和认证服务器之间的报文丢失重传也很重要。另外注意，对于用户的认证，在执行802.1x认证时，只有认证通过后，才有DHCP发起（如果配置为DHCP的自动获取） 和IP分配的过程。由于客户终端配置了DHCP自动获取，则可能在未启动802.1x客户端之前，就发起了DHCP的请求，而此时认证系统处于禁止通行状态，这样认证系统会丢掉初始化的DHCP帧，同时会触发认证系统发起对用户的认证。由于DHCP请求超时过程为64秒，所以如果802.1x认证过程能在这64秒内完成，则DHCP请求不会超时，能顺利完成地址请求；如果终端软件支持认证后再执行一次DHCP，就不用考虑64秒的超时限制。3.4.5 与不支持 802.1x 的设备的兼容对于从一个没有认证的系统过渡到认证系统，最理想的状态是希望能够平滑的进行过渡。由于802.1x协议是一个比较新的协议，如果应用在原有的旧网络中，则可能会存在与不支持设备的兼容性问题。如果客户端支持802.1x协议，而网络设备不支持（也就是没有认证系统），则客户端是不会收到认证系统响应的EAP-Request/Identity报文。在802.1x认证发起阶段，客户端首先发送EAPOL-Star报文到802.1x协议组申请的组播MAC地址，以查询网络上可以处理802.1x的设备（即认证系统），由于网络中没有设备充当认证系统，所以客户端是得不到响应的。因此客户端在发起多次连接请求无响应后，自动认为已经通过认证。如果客户端不支持802.1x协议，而网络中存在802.1x协议的认证系统，则客户端是不会响应认证系统发送的EAP-Request/Identity报文，因此端口会始终处于未认证状态。在这种情况下，客户端只能根据协议参数OperControlledDirections设定的值通过受控端口访问认证系统，通过未受控端口访问某些通过设置可以访问的服务。3.4.6 EAP 帧的中继转发（Relay）由于认证系统与客户端之间是采用EAPOL协议进行通信，而认证系统与认证服务器之间则是采用EAP协议进行通信，可以看出认证系统充当了把客户端的EAPOL协议帧转变为EAP协议帧的中继功能。客户端将EAPOL-Start和EAPOL-Logoff帧发送给认证系统，而认证系统把EAPOL-Key帧发送给客户端。认证系统不能把这些帧中继给认证服务器。EAP-Request/Identity帧只能由认证系统发送给客户端，而不会发送给认证服务器。除了以上的这些特殊帧外，客户端和认证系统之间通信的其他的帧都可以转发给认证服务器，不过帧格式要从EAPOL格式转变为EAP格式。相反，认证系统会把所有从认证服务器收到的EAP格式的帧转变为EAPOL格式发送给客户端。3.4.7 加密 EAPOL 认证报文的传送EAPOL协议支持在客户端和认证系统之间加密传送认证报文。可以通过协议参数KeyTransmissionEnabled控制是否加密。如果该值为TRUE，表示对认证报文进行加密；如果值为FALSE，则表示不对认证报文加密。如果客户端或认证系统不支持加密，则KeyTransmissionEnabled参数设置为FALSE。3.5 协议实现内容802.1x协议在实现整个安全认证的过程中，其三个关键部分（客户端、认证系统、认证服务器）之间是通过通信协议进行交互的，因此有必要对其相关的通信协议做个介绍。3.5.1 EAP协议802.1x协议采用EAP协议在客户端、认证系统和认证服务器之间进行通信。EAP（Extensible Authentication Protocol 扩展的认证协议，RFC 2284）是PPP认证的一个通用协议，支持多种认证机制，例如smart cards, Kerberos, Public Key Encryption, One Time Passwords等。EAP在链路控制（LCP）阶段并不选择好一种认证机制，而把这一步推迟到认证阶段。这样就允许认证系统在确定某种特定认证机制之前请求更多的信息。通过支持EAP协议，认证系统只需控制其受控端口的状态，但是并不干涉通过非受控端口在客户端和认证服务器之间传递的认证信息。这样，就实现了认证流和业务流的完全分离。可以使用一个“后端”服务器（认证服务器）来实际实现各种认证机制，认证系统仅仅需要传送认证信息，并根据认证返回的结果控制受控端口的状态。3.5.3.1 EAP的简单认证过程在链路建立阶段完成后，认证系统发送一个或多个Request来对对方进行认证。Request中有一个type域表明请求的类型。Request中type的实例包括，Identity, MD5-challenge, One-Time Passwords, Generic Token Card等等。MD5-challenge类型与CHAP认证协议紧紧对应。典型情况下，认证系统将发送一个最初的Identity请求，然后是一个或多个请求认证信息的Request。但是，最初的Identity Request并不是必需的，在identity能被事先假定（如租用的链路，专用拨号线路等等）的情况下可以跳过（bypass）；客户端发送一个Response数据包对每一个Request做出应答。对应于每一个Request数据包，Response数据包包含一个type域，与Request中的type域对应；C）认证系统发送一个Success或Failure数据包结束认证阶段；3.5.3.2 EAP帧结构图37 EAP的帧结构Code：1个字节，表示EAP帧类型。EAP代码分配如下：1 Request2 Response3 Success4 FailureIdentifier：1个字节，该值用于匹配requests的请求。Identifier区域和系统端口一起单独标识一个认证过程。Length：2个字节，该值表示EAP帧的总长度Data：0或更多字节，表示数据3.5.2 EAPOL协议在802.1x协议中定义了一种封装技术称为EAPOL（EAP over LANs），主要在客户端和认证系统之间传送EAP协议报文，可以允许EAP协议报文在LAN上传送。3.5.3.1 EAPOL 帧结构图38 EAPOL的帧结构PAE Ethernet Type：2个字节，表示协议类型，802.1x分配的协议类型为888EProtocol Version：1个字节，表示EAPOL 帧的发送方所支持的协议版本号。本规范使用值为0000 0001Packet Type：1个字节，表示传送的帧类型。有如下几种帧类型。a) EAP-Packet. 值为 0000 0000 ，表示为EAP帧b) EAPOL-Start.值为0000 0001 ，表示为EAPOL-Start 帧c) EAPOL-Logoff. 值为0000 0010，表示为EAPOL-Logoff请求帧d) EAPOL-Key. 值为0000 0011 ，表示为EAPOL-Key 帧.e) EAPOL-Encapsulated-ASF-Alert. 值为0000 0100Packet Body Length：2个字节，表示Packet Body的长度Packet Body：如果Packet Type为EAP-Packet, EAPOL-Key, 或EAPOL-Encapsulated-ASF-Alert的值，则Packet Body对应相应的值；对于其他帧类型，则该值为空。3.5.3.2 EAPOL帧的标记在EAPOL帧传送过程中，不带802.1q的VLAN标记，但是可以带802.1p的优先级标记。所有的PAE都能够接收带或不带优先级标记的EAPOL帧。3.5.3.3 EAPOL帧发送的目标地址当一个二层帧发送时，必须要有目标MAC地址。EAPOL帧在发送时也不例外，当客户端和认证系统互相之间不知道发送的目标时，其目标MAC地址为802.1x协议中分配的组播地址01-80-c2-00-00-03。图39 802.1x认证过程3.6 基本的认证过程 如图39认证的步骤如下：l 用户开机后，通过802.1x客户端软件发起请求，查询网络上能处理EAPOL（EAP Over LAN）数据包的设备。如果某台验证设备能处理EAPOL数据包，就会向客户端发送响应包并要求用户提供合法的身份标识，如用户名/密码；l 客户端收到验证设备的响应后，会提供身份标识给验证设备。由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器，进行认证；l 如果认证通过，则认证系统的受控逻辑端口打开；l 客户端软件发起DHCP请求，经认证设备转发到DHCP Server；l DHCP Server 为用户分配IP地址；l DHCP Server分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限；l 当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费；l 如果用户要下网，可以通过客户端软件发起LogOff过程，认证设备检测到该该数据包后，会通知AAA服务器停止计费，并删除用户的相关信息（MAC/IP），受控逻辑端口关闭。用户进入再认证状态；l 验证设备会通过定期的检测来保证链路的激活，如果用户异常死机，则验证设备在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息；3.7 几个注意的问题基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LAN 设备的端口，如 LanSwitch 的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。IEEE 802.1x定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：LanSwitch 的一个物理端口仅连接一个 End Station（基于物理端口）； IEEE 802.11定义的无线 LAN 接入方式（基于逻辑端口）等。连接有多个设备的共享式 LAN 网段如果想要提供每个设备的接入控制，可以使用两种方法：1） 使用任何保护方法，为每一个接入设备建立单独的接入控制，此时相当于每个 MAC 地址构成了一个逻辑端口。由于共享式网段缺乏保护，每个 MAC 地址的认证过程都可能被其他设备监听、截获、伪造，安全性比较低。2） 仍然使用每个 MAC 地址构成逻辑端口，但在认证过程中对认证数据帧进行加密（IEEE 802.1x提供了与加密协议的接口），从而避免其他设备的监听、截获、伪造，提高安全性。需要说明的，由于 MAC 地址比较容易伪造，这种方式并不能提供完善的安全机制。因而，IEEE 802.1x 推荐的使用环境为点对点的物理或逻辑端口。4 几种认证方式的比较目前业界有几种认证方式：PPPOE、WEB和802.1x。以下做一个比较：4.1 PPPOE认证4.1.1 简介1998年后期问世的以太网上点对点协议（PPP over Ethernet）技术是由Redback 网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。4.1.2 特点优点：l 是传统PSTN窄带拨号接入技术在以太网接入技术的延伸l 和原有窄带网络用户接入认证体系一致l 最终用户相对比较容易接收缺点：l PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低l PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响l 组播业务开展困难，而视频业务大部分是基于组播的l 需要运营商提供客户终端软件，维护工作量过大 l PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵。4.2 WEB认证4.2.1 简介由于PPPOE技术在应用中存在很多的问题，因此目前开认证的网络主要是以WEB认证为主。WEB认证最初是一种业务类型的认证，通过启动一个WEB页面输入用户名/密码，实现用户认证。用的最多的是在一些门户网站，例如新浪、搜狐等，如果用户申请了WEB邮件服务，就可以通过在其认证的WEB页面上输入用户名/密码进入到门户网站的服务中。WEB认证目前已经成为运营商网络平台的认证方式，通过WEB页面实现对用户是否有使用网络权限的认证。WEB认证的主要过程如下：a)用户机器上电启动，系统程序根据配置，通过DHCP由BAS做DHCP-Relay，向DHCP Server 要IP地址（私网或公网）；b)BAS为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portal server和一些内部服务器，个别外部服务器如DNS）；c)Portal server向用户提供认证页面。在该页面中，用户输入帐号和口令，并单击“log in”按钮。也可不输入由帐号和口令，直接单击“Log in”按钮；d)该按钮启动portal server上的Java程序，该程序将用户信息（IP地址，帐号和口令）送给网络中心设备BAS；e)BAS利用IP地址将到用户的二层地址、物理端口号（如Vlan ID, ADSL PVC ID，PPP session ID）。利用这些信息，对用户的合法性进行检查。如果用户输入了帐号，则认为是卡号用户，使用用户输入的帐号和口令到Radius server对用户进行认证。如果用户未输入帐号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的帐号和口令。将帐号送到Radius server进行认证；f)Radius Server返回认证结果给BAS；g)认证通过后，BAS修改该用户的ACL，用户可以访问外部因特网或特定的网络服务。h)用户离开网络前，连接到portal server上，单击“断开网络”按钮。系统停止计费，删除用记的ACL和转发信息，限制用户不能访问外部网络。i)在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等。4.2.2 特点优点：l 不需要特殊的客户端软件，降低网络维护工作量 l 可以提供Portal等业务认证缺点：l WEB承载在7层协议上，对于设备的要求较高，建网成本高；l 用户连接性差，不容易检测用户离线，基于时间的计费较难实现；l 易用性不够好，用户在访问网络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证；l IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持。l 认证前后业务流和数据流无法区分4.3 802.1x认证前面已经对802.1x协议做了比较详细的介绍，这里总结一下802.1x协议的特点。优点：l 802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。l 通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。l 业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求802.1x与传统认证方式最本质的区别就是控制与交换相分离，一旦认证通过，所有的业务流量就和认证系统分开，有效的解决了网络瓶颈问题。以太网的基本特性是广播（顾名思义，以太就是一种无处不在的物质），IP网络的简单、廉价甚至是快速都基于这一点。但是也正是由于这一基本特性，IP网络也暴露出了安全性弱、流量控制能力差、不易管理等可以说是致命的弱点。针对于此，人们引入了点对点的概念，在一定程度上解决了上述问题。但是点对点和广播在本质上是矛盾的，二者很难出现一种双赢的状态，也就是说在目前的认证方式下，网络的“可运营，可管理”的代价是牺牲了一部分网络的简单、廉价和快速的特性。802.1x则采取一种“认证后不管”的方式，在认证完成，参数设置完成后，交换机对网络流量不做过多的干预，较好的兼顾了矛盾的两个方面，易于实现一种合理成本