802.1x協(xié)議及其在寬帶接入中的應用

引言

近年來(lái)，寬帶網(wǎng)接入逐漸成為網(wǎng)絡(luò )技術(shù)的熱點(diǎn)，寬帶網(wǎng)建設蓬勃發(fā)展，業(yè)務(wù)如火如荼，成為網(wǎng)絡(luò )運營(yíng)商新的經(jīng)濟增長(cháng)點(diǎn)。目前，廣泛采用的寬帶接入方式有HFC、xDSL、LAN接入等，其中，交換式以太網(wǎng)接入作為園區網(wǎng)建設的主流方案，以高帶寬，技術(shù)成熟，成本低廉，易于建設和易于管理的優(yōu)點(diǎn)，成為網(wǎng)絡(luò )運營(yíng)商優(yōu)先采用的接入方式。但是，傳統的以太網(wǎng)接入方式由于采用廣播機制，其安全性較差，限制了它在公用接入網(wǎng)絡(luò )中的應用。為了解決這個(gè)問(wèn)題，目前廣泛使用PPPoE或Web＋DHCP的方案，但這兩種方案都不能有效地解決認證安全問(wèn)題。IEEE802．1委員會(huì )提出的802．1x協(xié)議，其實(shí)現基于以太網(wǎng)交換機，可以對用戶(hù)進(jìn)行認證、授權，從而為運營(yíng)商提供了一種更實(shí)用、更安全的用戶(hù)管理方式。本文主要介紹802．1x協(xié)議的基本原理及其在寬帶接入網(wǎng)中的應用實(shí)例。

1802．1x協(xié)議結構和基本原理

1．1802．1x協(xié)議

90年代后期，IEEE802LAN／WAN委員會(huì )為解決無(wú)線(xiàn)局域網(wǎng)網(wǎng)絡(luò )安全問(wèn)題，提出了802．1x協(xié)議。后來(lái)，802．1x協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機制用在以太網(wǎng)中，主要解決以太網(wǎng)內認證和安全方面的問(wèn)題。802．1x協(xié)議稱(chēng)為基于端口的訪(fǎng)問(wèn)控制協(xié)議（portbasednetwork access controlprotocol），該協(xié)議的核心內容如圖1所示。

靠近用戶(hù)一側的以太網(wǎng)交換機上放置一個(gè)EAP（extensibleauthenticationprotocol）代理，用戶(hù)PC機運行EAPoE（EAPoverEthernet）的客戶(hù)端軟件與交換機通信。初始狀態(tài)下，交換機上的所有端口處于關(guān)閉狀態(tài)，只有802．1x數據流才能通過(guò)，而另外一些類(lèi)型的網(wǎng)絡(luò )數據流，如動(dòng)態(tài)主機配置協(xié)議、超文本傳輸協(xié)議（HTTP）、文件傳輸協(xié)議（FTP）、簡(jiǎn)單郵件傳輸協(xié)議（SMTP）和郵局協(xié)議（POP3）等都被禁止傳輸。

當用戶(hù)通過(guò)EAPoE登錄交換機時(shí)，交換機將用戶(hù)同時(shí)提供的用戶(hù)名口令傳送到后臺的Radius認證服務(wù)器上。如果用戶(hù)名及口令通過(guò)了驗證，則相應的以太網(wǎng)端口打開(kāi)，允許用戶(hù)訪(fǎng)問(wèn)。

1．2802．1x協(xié)議的體系結構

802．1x協(xié)議的體系結構包括3個(gè)重要部分：客戶(hù)端（supplicantsystem）、認證系統（authenticatorsystem）、認證服務(wù)器（authenticationserversystem）。圖2描述了三者之間的關(guān)系以及互相之間的通信?？蛻?hù)系統安裝一個(gè)客戶(hù)端軟件，用戶(hù)通過(guò)啟動(dòng)客戶(hù)端軟件發(fā)起802．1x協(xié)議的認證過(guò)程。為支持基于端口的接入控制，客戶(hù)端系統須支持EAPoL（EAPoverLAN）協(xié)議。

認證系統通常為支持802．1x協(xié)議的網(wǎng)絡(luò )設備。該設備有2個(gè)邏輯端口：受控端口和不受控端口，對應于不同用戶(hù)的端口。不受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPoL協(xié)議幀，保證客戶(hù)端始終可以發(fā)出或接受認證；受控端口只有在認證通過(guò)之后才打開(kāi)，用于傳遞網(wǎng)絡(luò )資源和服務(wù)。如果用戶(hù)未通過(guò)認證，受控端口處于未認證狀態(tài)，則用戶(hù)無(wú)法訪(fǎng)問(wèn)認證系統提供的服務(wù)。受控端口可配置為雙向受控、僅輸入受控2種方式，以適應不同的應用環(huán)境。

認證系統的端口訪(fǎng)問(wèn)實(shí)體通過(guò)不受控端口與客戶(hù)端端口訪(fǎng)問(wèn)實(shí)體進(jìn)行通信，二者之間運行EAPoL協(xié)議。認證系統的端口訪(fǎng)問(wèn)實(shí)體與認證服務(wù)器之間運行EAP協(xié)議。EAP協(xié)議并不是認證系統和認證服務(wù)器通信的唯一方式，其他的通信通道也可以使用。例如，如果認證系統和認證服務(wù)器集成在一起，2個(gè)實(shí)體之間的通信就可以不采用EAP協(xié)議。

認證服務(wù)器通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶(hù)的信息。例如，用戶(hù)的賬號、密碼以及用戶(hù)所屬的VLAN、CAR參數，優(yōu)先級，用戶(hù)的訪(fǎng)問(wèn)控制列表等。當用戶(hù)通過(guò)認證后，認證服務(wù)器會(huì )把用戶(hù)的相關(guān)信息傳遞給認證系統，由認證系統構建動(dòng)態(tài)的訪(fǎng)問(wèn)控制列表，用戶(hù)的后續流量將接受上述參數的監管。認證服務(wù)器和RADIUS服務(wù)器之間通過(guò)EAP協(xié)議進(jìn)行通信。

1．3802．1x協(xié)議的工作機制

802．1x協(xié)議工作機制如圖3所示。由圖3可見(jiàn)，認證的發(fā)起可以由用戶(hù)主動(dòng)發(fā)起，也可以由認證系統發(fā)起。當認證系統探測到未經(jīng)過(guò)認證的用戶(hù)使用網(wǎng)絡(luò )，就會(huì )主動(dòng)發(fā)起認證；用戶(hù)端則可以通過(guò)客戶(hù)端軟件向認證系統發(fā)送EAPoL－Start開(kāi)始報文發(fā)起認證。由客戶(hù)端發(fā)送EAPoL退出報文，主動(dòng)下線(xiàn)，退出已認證狀態(tài)的直接結果就是導致用戶(hù)下線(xiàn)，如果用戶(hù)要繼續上網(wǎng)則要再發(fā)起一個(gè)認證過(guò)程。

為了保證用戶(hù)和認證系統之間的鏈路處于激活狀態(tài)，而不因為用戶(hù)端設備發(fā)生故障造成異常死機，從而影響對用戶(hù)計費的準確性，認證系統可以定期發(fā)起重新認證過(guò)程，該過(guò)程對于用戶(hù)是透明的，即用戶(hù)無(wú)需再次輸入用戶(hù)名／密碼。重新認證由認證系統發(fā)起，時(shí)間從最近一次成功認證后算起。重新認證時(shí)間默認值為3600s，而且默認重新認證是關(guān)閉的。

對于認證系統和客戶(hù)端之間通信的EAP報文，如果發(fā)生丟失，由認證系統負責進(jìn)行報文的重傳。在設定重傳的時(shí)間時(shí)，考慮網(wǎng)絡(luò )的實(shí)際環(huán)境，通常會(huì )認為認證系統和客戶(hù)端之間報文丟失的概率比較低以及傳送延遲短，因此一般通過(guò)一個(gè)超時(shí)計數器來(lái)設定，默認重傳時(shí)間為30s。

對于有些報文的丟失重傳比較特殊，如EAPoL－Start報文的丟失，由客戶(hù)端負責重傳；而對于EAP失敗和EAP成功報文，由于客戶(hù)端無(wú)法識別，認證系統不會(huì )重傳。由于對用戶(hù)身份合法性的認證最終由認證服務(wù)器執行，認證系統和認證服務(wù)器之間的報文丟失重傳也很重要。另外，對于用戶(hù)的認證，在執行802．1x認證時(shí)，只有認證通過(guò)后，才有DHCP發(fā)起和IP分配的過(guò)程。由于客戶(hù)終端配置了DHCP自動(dòng)獲取，則可能在未啟動(dòng)802．1x客戶(hù)端之前，就發(fā)起了DHCP的請求，而此時(shí)認證系統處于禁止通行狀態(tài)，這樣認證系統會(huì )丟掉初始化的DHCP幀，同時(shí)會(huì )觸發(fā)認證系統發(fā)起對用戶(hù)的認證。

由于DHCP請求超時(shí)過(guò)程為64s，所以如果802．1x認證過(guò)程能在這64s內完成，則DHCP請求不會(huì )超時(shí)，能順利完成地址請求；如果終端軟件支持認證后再執行一次DHCP，就不用考慮64s的超時(shí)限制。

本文引用地址：http://dyxdggzs.com/article/201706/353680.htm
1．4802．1x協(xié)議的認證過(guò)程

802．1x協(xié)議認證過(guò)程是用戶(hù)與服務(wù)器交互的過(guò)程，其認證步驟如下。

（1）用戶(hù)開(kāi)機后，通過(guò)802．1x客戶(hù)端軟件發(fā)起請求，查詢(xún)網(wǎng)絡(luò )上能處理EAPoL數據包的設備。如果某臺驗證設備能處理EAPoL數據包，就會(huì )向客戶(hù)端發(fā)送響應包，并要求用戶(hù)提供合法的身份標識，如用戶(hù)名及其密碼。

（2）客戶(hù)端收到驗證設備的響應后，提供身份標識給驗證設備。由于此時(shí)客戶(hù)端還未經(jīng)過(guò)驗證，因此認證流只能從驗證設備的未受控的邏輯端口經(jīng)過(guò)。驗證設備通過(guò)EAP協(xié)議將認證流轉發(fā)到AAA服務(wù)器，進(jìn)行認證。

（3）如果認證通過(guò)，則認證系統的受控邏輯端口打開(kāi)。

（4）客戶(hù)端軟件發(fā)起DHCP請求，經(jīng)認證設備轉發(fā)到DHCPServer。

（5）DHCPServer為用戶(hù)分配IP地址。

（6）DHCPServer分配的地址信息返回給認證系統，認證系統記錄用戶(hù)的相關(guān)信息，如MAC，IP地址等信息，并建立動(dòng)態(tài)的ACL訪(fǎng)問(wèn)列表，以限制用戶(hù)的權限。

（7）當認證設備檢測到用戶(hù)的上網(wǎng)流量，就會(huì )向認證服務(wù)器發(fā)送計費信息，開(kāi)始對用戶(hù)計費。

（8）如果用戶(hù)退出網(wǎng)絡(luò )，可以通過(guò)客戶(hù)端軟件發(fā)起退出過(guò)程，認證設備檢測到該數據包后，會(huì )通知AAA服務(wù)器停止計費，并刪除用戶(hù)的相關(guān)信息（如物理地址和IP地址），受控邏輯端口關(guān)閉；用戶(hù)進(jìn)入再認證狀態(tài)。

（9）驗證設備通過(guò)定期的檢測保證鏈路的激活。如果用戶(hù)異常死機，則驗證設備在發(fā)起多次檢測后，自動(dòng)認為用戶(hù)已經(jīng)下線(xiàn)，于是向認證服務(wù)器發(fā)送終止計費的信息。

2幾種認證方式比較

目前，在接入網(wǎng)中的認證方式除802．1x之外，還有PPPoE和Web＋DHCP兩種方式，在此把這幾種認證方式做一比較。

PPPoE的本質(zhì)就是在以太網(wǎng)上跑PPP協(xié)議。由于PPP協(xié)議認證過(guò)程的第一階段是發(fā)現階段，廣播只能在二層網(wǎng)絡(luò )，才能發(fā)現寬帶接入服務(wù)器。因此，也就決定了在用戶(hù)主機和服務(wù)器之間，不能有路由器或三層交換機。另外，由于PPPoE點(diǎn)對點(diǎn)的本質(zhì)，在用戶(hù)主機和服務(wù)器之間，限制了組播協(xié)議存在。這樣，將會(huì )在一定程度上，影響視頻業(yè)務(wù)的開(kāi)展。除此之外，PPP協(xié)議需要再次封裝到以太網(wǎng)中，所以效率很低。

Web＋DHCP采用旁路方式網(wǎng)絡(luò )架構時(shí)，不能對用戶(hù)進(jìn)行類(lèi)似帶寬管理。另外，DHCP是動(dòng)態(tài)分配IP地址，但其本身的成熟度加上設備對這種方式支持力度還較小，故在防止用戶(hù)盜用IP地址等方面，還需要額外的手段來(lái)控制。除此之外，用戶(hù)連接性差，易用性不夠好。

802．1x協(xié)議為二層協(xié)議，不需要到達三層，而且接入交換機無(wú)須支持802．1q的VLAN，對設備的整體性能要求不高，可以有效降低建網(wǎng)成本。業(yè)務(wù)報文直接承載在正常的二層報文上；用戶(hù)通過(guò)認證后，業(yè)務(wù)流和認證流實(shí)現分離，對后續的數據包處理沒(méi)有特殊要求。在認證過(guò)程中，802．1x不用封裝幀到以太網(wǎng)中，效率相對較高。

3802．1x協(xié)議在寬帶接入中的應用

以小區寬帶接入為例，探討802．1x協(xié)議在寬帶接入中的應用。

小區寬帶接入中應用802．1x協(xié)議并不復雜，接入所用交換機要支持802．1x協(xié)議，并需RadiusServer和DHCP服務(wù)器存在，以完成認證功能。對于用戶(hù)數量較少的小區，只需在整個(gè)小區出口處安裝一臺支持802．1x交換機；對于用戶(hù)數量較多的小區，則可以在每個(gè)樓棟放置一臺支持802．1x交換機，每臺交換機都接入匯聚中心即可。

圖4是一個(gè)基于802．1x協(xié)議的小區寬帶接入網(wǎng)絡(luò )拓撲圖。這種方案和普通交換機接入方案在性能上是完全等效的，但是在安全性方面有普通方案無(wú)可比擬的優(yōu)點(diǎn)。用戶(hù)在接入寬帶網(wǎng)過(guò)程中，用戶(hù)與交換機的認證步驟與802．1x協(xié)議認證步驟一樣。

需要指出的是，用戶(hù)發(fā)出認證報文，是使用特定的組播MAC地址，設備發(fā)送用戶(hù)的報文使用單播MAC地址，解決了認證報文的廣播的問(wèn)題，其他用戶(hù)不能偵聽(tīng)到認證過(guò)程，從而無(wú)法知道用戶(hù)的密碼、賬號，無(wú)法知道用戶(hù)的MAC地址。

認證通過(guò)后的MAC地址與端口進(jìn)行綁定。在通信過(guò)程中，可以保證用戶(hù)使用網(wǎng)絡(luò )的路徑是唯一的。這樣，通過(guò)認證的用戶(hù)的數據包就不會(huì )泄露，保證了用戶(hù)數據的安全性。

4結束語(yǔ)

本文簡(jiǎn)要分析了802．1x協(xié)議及其工作原理，設計了一個(gè)基于802．1x的小區寬帶接入系統的方案，該方案在充分發(fā)揮交換式以太網(wǎng)接入優(yōu)點(diǎn)的前提下，可以有效地解決網(wǎng)絡(luò )認證、安全問(wèn)題?？紤]接入網(wǎng)絡(luò )安全性的需要，可以肯定，作為寬帶網(wǎng)接入的安全解決方案，802．1x必將是未來(lái)的發(fā)展主流。