PPPoE與802.1X在校園網(wǎng)中的應用分析

PPPoE和802.1X是較常見(jiàn)的兩種寬帶網(wǎng)絡(luò )接入認證方式。兩種方法的用戶(hù)使用體驗非常類(lèi)似，但兩種協(xié)議卻有很大的差異，并帶來(lái)不同的優(yōu)缺點(diǎn)。本文分析了兩種協(xié)議在實(shí)際應用中的特點(diǎn)以及在部署過(guò)程中可能引發(fā)的安全問(wèn)題，結合校園網(wǎng)絡(luò )的特點(diǎn)，提出兩種協(xié)議在校園網(wǎng)絡(luò )中的部署建議。

PPPoE和802.1X的分析

PPPoE(以太網(wǎng)上點(diǎn)對點(diǎn)協(xié)議，PPPover Ethernet)是在以太網(wǎng)上傳送PPP分組的協(xié)議，沿用了傳統PSTN窄帶撥號接入技術(shù)，同時(shí)也繼承了傳統PSTN窄帶撥號接入技術(shù)的特點(diǎn)。PPPoE 認證系統由客戶(hù)端和寬帶接入服務(wù)器(BRAS)兩個(gè)實(shí)體組成，會(huì )話(huà)過(guò)程經(jīng)歷發(fā)現階段和會(huì )話(huà)階段。在發(fā)現階段，客戶(hù)端向網(wǎng)絡(luò )廣播尋找可以連接的BRAS，然后與選定的BRAS建立點(diǎn)對點(diǎn)邏輯鏈路；在會(huì )話(huà)階段，客戶(hù)端收發(fā)的數據包都經(jīng)過(guò)PPPoE封裝，并通過(guò)這唯一鏈路進(jìn)行傳輸，所有用戶(hù)網(wǎng)絡(luò )數據包都要經(jīng)過(guò)BRAS進(jìn)行PPPoE的封裝或解封裝，如圖1。

圖1 PPPoE組網(wǎng)示意圖

由于客戶(hù)端只通過(guò)與BRAS建立的點(diǎn)對點(diǎn)邏輯鏈路收發(fā)數據，所有認證數據流和業(yè)務(wù)數據流都必須通過(guò)BRAS，簡(jiǎn)化了接入安全和管理的工作。在局域網(wǎng)安全方面，減少了IP沖突、ARP攻擊；在用戶(hù)管理方面，可以進(jìn)行基于用戶(hù)的帶寬管理。PPPoE在當前運營(yíng)商接入網(wǎng)中得到廣泛的應用，并且Windows系統自帶客戶(hù)端，更容易被用戶(hù)接受。

然而，PPPoE也存在幾方面問(wèn)題：第一，在網(wǎng)絡(luò )安全方面，存在廣播域的ARP攻擊，假冒BRAS騙取用戶(hù)賬號密碼等問(wèn)題；第二，在網(wǎng)絡(luò )穩定方面，容易產(chǎn)生巨包被網(wǎng)絡(luò )中的節點(diǎn)丟棄，網(wǎng)絡(luò )在BRAS設備上容易形成單點(diǎn)瓶頸和故障；第三，在協(xié)議支持方面，PPPoE不支持組播BRAS需要將組播包單個(gè)封裝后轉發(fā)，組播數據流大量增加了BRAS的負擔；第四，在安全審計方面，BRAS只能記錄用戶(hù)的IP、MAC、登錄時(shí)間，無(wú)法進(jìn)行更詳細定位；第五，在計費策略方面，無(wú)法實(shí)施分區域的收費策略。

實(shí)際應用中，部分PPPoE存在的問(wèn)題通過(guò)結合一定安全機制是可以得到解決的。在網(wǎng)絡(luò )安全問(wèn)題上，主要防止BRAS欺騙和廣播包占用帶寬，可以在接入交換機上配置MAC ACL，使以太網(wǎng)類(lèi)型為0x8863(客戶(hù)端尋找BRAS廣播包的以太網(wǎng)類(lèi)型)的廣播包只能轉發(fā)到上聯(lián)接口，同時(shí)采用多VLAN隔離廣播包或限制廣播包占用的帶寬。

在網(wǎng)絡(luò )穩定方面，調整接入交換機最大傳輸單元參數，可以防止巨包被交換機丟棄；采用雙機熱備，或限制設備管理的網(wǎng)絡(luò )規模等方式，可以降低單點(diǎn)故障率。

圖2 802.1X認證過(guò)程示意圖

802.1X協(xié)議是一種基于端口的接入控制協(xié)議。如圖2，802.1X認證系統一般包含三個(gè)實(shí)體：客戶(hù)端(Supplicant)、認證系統(authenticator system，通常為支持802.1X的接入交換機)、認證服務(wù)器(authenticatorserver)?？蛻?hù)端向認證系統發(fā)起接入請求；認證服務(wù)器驗證用戶(hù)賬戶(hù)，并通知認證系統是否開(kāi)放業(yè)務(wù)數據接入端口。802.1X的認證數據流和業(yè)務(wù)數據流是分開(kāi)的。在認證前，客戶(hù)端只能發(fā)送認證數據包，直接屏蔽了ARP 廣播；認證成功后，對該主機開(kāi)放交換機端口的業(yè)務(wù)數據接入通道，不改變用戶(hù)的數據包格式和傳輸路徑。目前，大部分主流交換機均支持802.1X，可以較為方便地實(shí)施802.1X認證的分布式部署。

在不結合其他機制的情況下，802.1X認證會(huì )出現以下問(wèn)題：第一，接入交換機作為認證者，只能綁定用戶(hù)主機的網(wǎng)卡物理地址MAC，只要MAC是通過(guò)認證的數據包都被允許通過(guò)，因此IP沖突、ARP攻擊等各類(lèi)局域網(wǎng)安全問(wèn)題依然存在；第二，802.1X無(wú)法進(jìn)行基于用戶(hù)的帶寬控制。

針對上述802.1X的問(wèn)題，大部分支持802.1X 的交換機同時(shí)也能夠從DHCP包中獲取主機IP地址，因此可以在部署了DHCP 的情況下，實(shí)現IP+MAC+端口的綁定，解決IP沖突、ARP攻擊等網(wǎng)絡(luò )安全問(wèn)題。在使用固定IP的情況下，目前部分廠(chǎng)商交換機可以通過(guò)私有機制使認證交換機獲取用戶(hù)IP地址，但通常要求認證系統和交換機是由同個(gè)廠(chǎng)商提供才能實(shí)現該功能。

兩種協(xié)議在高校網(wǎng)絡(luò )中應用的建議

校園網(wǎng)中用戶(hù)數龐大，局域網(wǎng)內數據交換多且頻繁，如文件傳輸、局域網(wǎng)游戲；校內資源豐富，希望達到高速資源共享，如校園數據中心資源、圖書(shū)館資源等；網(wǎng)絡(luò )應用復雜，組播流量大，特別是視頻流量；用戶(hù)群活躍，喜歡嘗試對網(wǎng)絡(luò )的攻擊；不同區域的用戶(hù)群體不同，網(wǎng)絡(luò )流量特征有差別，管理需求相異。

從前面的分析可以總結出PPPoE認證更側重于管理，802.1X認證則可以更好維護網(wǎng)絡(luò )性能。校園網(wǎng)中認證模式可以基于用戶(hù)群體特點(diǎn)和管理需求進(jìn)行選擇。

表1 高校中不同群體網(wǎng)絡(luò )流量的特性

如表1所列，高校網(wǎng)絡(luò )群體一般可以分為學(xué)生群體、辦公群體、家屬群體。學(xué)生群體較熟練掌握計算機的使用，網(wǎng)絡(luò )使用頻繁，數據流量大、局域網(wǎng)內數據交互頻繁，隱藏大量網(wǎng)絡(luò )攻擊行為，如果針對這樣群體部署PPPoE，要求BRAS有很大的業(yè)務(wù)處理能力，實(shí)施成本高；反之，如果部署802.1X話(huà)，網(wǎng)絡(luò )利用率較高，實(shí)施成本比較低廉。辦公群體以網(wǎng)頁(yè)瀏覽、文檔傳輸為主，對網(wǎng)絡(luò )的要求是安全性高和帶寬穩定，在辦公場(chǎng)合部署PPPoE，則更方便管理，網(wǎng)絡(luò )穩定性較高。家屬群體是消費型的群體，用戶(hù)間數據傳輸較少，用戶(hù)希望能夠根據自己的需求選擇帶寬，并愿意為此差別付費，因此部署PPPoE會(huì )更為合理。

PPPoE 同時(shí)管理了用戶(hù)接入認證和用戶(hù)數據傳輸，適用于對帶寬管理要求較高的場(chǎng)合。802.1X 只對用戶(hù)接入進(jìn)行控制，適用于內部數據流量較大，用戶(hù)帶寬管理需求低的場(chǎng)合。兩種認證的實(shí)施都要結合一定的網(wǎng)絡(luò )安全手段，才能更好體現協(xié)議優(yōu)勢，防止協(xié)議漏洞引起的安全問(wèn)題。PPPoE 的寬帶接入服務(wù)器BRAS 和802.1X的認證服務(wù)器，都要做好DDOS攻擊防御。