导言
近年来,宽带网接入逐步成为网络技能的热门,宽带网建造蓬勃开展,事务如火如荼,成为网络运营商新的经济增长点。现在,广泛选用的宽带接入方法有HFC、xDSL、LAN接入等,其间,交流式以太网接入作为园区网建造的干流计划,以高带宽,技能老练,本钱低价,易于建造和易于办理的长处,成为网络运营商优先选用的接入方法。可是,传统的以太网接入方法因为选用播送机制,其安全性较差,约束了它在共用接入网络中的运用。为了处理这个问题,现在广泛运用PPPoE或Web+DHCP的计划,但这两种计划都不能有用地处理认证安全问题。IEEE802.1委员会提出的802.1x协议,其完结根据以太网交流机,能够对用户进行认证、授权,然后为运营商供给了一种更有用、更安全的用户办理方法。本文首要介绍802.1x协议的基本原理及其在宽带接入网中的运用实例。
1802.1x协议结构和基本原理
1.1802.1x协议
90年代后期,IEEE802LAN/WAN委员会为处理无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个一般接入操控机制用在以太网中,首要处理以太网内认证和安全方面的问题。802.1x协议称为根据端口的拜访操控协议(portbasednetwork access controlprotocol),该协议的核心内容如图1所示。
接近用户一侧的以太网交流机上放置一个EAP(extensibleauthenticationprotocol)署理,用户PC机运转EAPoE(EAPoverEthernet)的客户端软件与交流机通讯。初始状况下,交流机上的一切端口处于封闭状况,只要802.1x数据流才干经过,而别的一些类型的网络数据流,如动态主机装备协议、超文本传输协议(HTTP)、文件传输协议(FTP)、简略邮件传输协议(SMTP)和邮局协议(POP3)等都被制止传输。
当用户经过EAPoE登录交流机时,交流机将用户一起供给的用户名口令传送到后台的Radius认证服务器上。假如用户名及口令经过了验证,则相应的以太网端口翻开,答运用户拜访。
1.2802.1x协议的体系结构
802.1x协议的体系结构包含3个重要部分:客户端(supplicantsystem)、认证体系(authenticatorsystem)、认证服务器(authenticationserversystem)。图2描绘了三者之间的联系以及相互之间的通讯。客户体系装置一个客户端软件,用户经过发动客户端软件建议802.1x协议的认证进程。为支撑根据端口的接入操控,客户端体系须支撑EAPoL(EAPoverLAN)协议。
认证体系一般为支撑802.1x协议的网络设备。该设备有2个逻辑端口:受控端口和不受控端口,对应于不同用户的端口。不受控端口一直处于双向连通状况,首要用来传递EAPoL协议帧,确保客户端一直能够宣布或承受认证;受控端口只要在认证经过之后才翻开,用于传递网络资源和服务。假如用户未经过认证,受控端口处于未认证状况,则用户无法拜访认证体系供给的服务。受控端口可装备为双向受控、仅输入受控2种方法,以习惯不同的运用环境。
认证体系的端口拜访实体经过不受控端口与客户端端口拜访实体进行通讯,二者之间运转EAPoL协议。认证体系的端口拜访实体与认证服务器之间运转EAP协议。EAP协议并不是认证体系和认证服务器通讯的仅有方法,其他的通讯通道也能够运用。例如,假如认证体系和认证服务器集成在一起,2个实体之间的通讯就能够不选用EAP协议。
认证服务器一般为RADIUS服务器,该服务器能够存储有关用户的信息。例如,用户的账号、暗码以及用户所属的VLAN、CAR参数,优先级,用户的拜访操控列表等。当用户经过认证后,认证服务器会把用户的相关信息传递给认证体系,由认证体系构建动态的拜访操控列表,用户的后续流量将承受上述参数的监管。认证服务器和RADIUS服务器之间经过EAP协议进行通讯。
1.3802.1x协议的作业机制
802.1x协议作业机制如图3所示。由图3可见,认证的建议能够由用户主动建议,也能够由认证体系建议。当认证体系探测到未经过认证的用户运用网络,就会主动建议认证;用户端则能够经过客户端软件向认证体系发送EAPoL-Start开端报文建议认证。由客户端发送EAPoL退出报文,主动下线,退出已认证状况的直接成果便是导致用户下线,假如用户要继续上网则要再建议一个认证进程。
为了确保用户和认证体系之间的链路处于激活状况,而不因为用户端设备产生毛病形成反常死机,然后影响对用户计费的准确性,认证体系能够定时建议从头认证进程,该进程关于用户是通明的,即用户无需再次输入用户名/暗码。从头认证由认证体系建议,时刻从最近一次成功认证后算起。从头认证时刻默许值为3600s,并且默许从头认证是封闭的。
关于认证体系和客户端之间通讯的EAP报文,假如产生丢掉,由认证体系担任进行报文的重传。在设定重传的时刻时,考虑网络的实践环境,一般会以为认证体系和客户端之间报文丢掉的概率比较低以及传送推迟短,因而一般经过一个超时计数器来设定,默许重传时刻为30s。
关于有些报文的丢掉重传比较特别,如EAPoL-Start报文的丢掉,由客户端担任重传;而关于EAP失利和EAP成功报文,因为客户端无法辨认,认证体系不会重传。因为对用户身份合法性的认证终究由认证服务器履行,认证体系和认证服务器之间的报文丢掉重传也很重要。别的,关于用户的认证,在履行802.1x认证时,只要认证经往后,才有DHCP建议和IP分配的进程。因为客户终端装备了DHCP主动获取,则可能在未发动802.1x客户端之前,就建议了DHCP的恳求,而此刻认证体系处于制止通行状况,这样认证体系会丢掉初始化的DHCP帧,一起会触发认证体系建议对用户的认证。
因为DHCP恳求超时进程为64s,所以假如802.1x认证进程能在这64s内完结,则DHCP恳求不会超时,能顺利完结地址恳求;假如终端软件支撑认证后再履行一次DHCP,就不必考虑64s的超时约束。
1.4802.1x协议的认证进程
802.1x协议认证进程是用户与服务器交互的进程,其认证进程如下。
(1)用户开机后,经过802.1x客户端软件建议恳求,查询网络上能处理EAPoL数据包的设备。假如某台验证设备能处理EAPoL数据包,就会向客户端发送呼应包,并要求用户供给合法的身份标识,如用户名及其暗码。
(2)客户端收到验证设备的呼应后,供给身份标识给验证设备。因为此刻客户端还未经过验证,因而认证流只能从验证设备的未受控的逻辑端口经过。验证设备经过EAP协议将认证流通发到AAA服务器,进行认证。
(3)假如认证经过,则认证体系的受控逻辑端口翻开。
(4)客户端软件建议DHCP恳求,经认证设备转发到DHCPServer。
(5)DHCPServer为用户分配IP地址。
(6)DHCPServer分配的地址信息回来给认证体系,认证体系记载用户的相关信息,如MAC,IP地址等信息,并树立动态的ACL拜访列表,以约束用户的权限。
(7)当认证设备检测到用户的上网流量,就会向认证服务器发送计费信息,开端对用户计费。
(8)假如用户退出网络,能够经过客户端软件建议退出进程,认证设备检测到该数据包后,会告诉AAA服务器中止计费,并删去用户的相关信息(如物理地址和IP地址),受控逻辑端口封闭;用户进入再认证状况。
(9)验证设备经过定时的检测确保链路的激活。假如用户反常死机,则验证设备在建议屡次检测后,主动以为用户现已下线,所以向认证服务器发送停止计费的信息。
2几种认证方法比较
现在,在接入网中的认证方法除802.1x之外,还有PPPoE和Web+DHCP两种方法,在此把这几种认证方法做一比较。
PPPoE的实质便是在以太网上跑PPP协议。因为PPP协议认证进程的第一阶段是发现阶段,播送只能在二层网络,才干发现宽带接入服务器。因而,也就决议了在用户主机和服务器之间,不能有路由器或三层交流机。别的,因为PPPoE点对点的实质,在用户主机和服务器之间,约束了组播协议存在。这样,将会在必定程度上,影响视频事务的展开。除此之外,PPP协议需求再次封装到以太网中,所以功率很低。
Web+DHCP选用旁路方法网络架构时,不能对用户进行相似带宽办理。别的,DHCP是动态分配IP地址,但其自身的老练度加上设备对这种方法支撑力度还较小,故在避免用户盗用IP地址等方面,还需求额定的手法来操控。除此之外,用户衔接性差,易用性不够好。
802.1x协议为二层协议,不需求抵达三层,并且接入交流机无须支撑802.1q的VLAN,对设备的全体功用要求不高,能够有用下降建网本钱。事务报文直接承载在正常的二层报文上;用户经过认证后,事务流和认证流完结别离,对后续的数据包处理没有特别要求。在认证进程中,802.1x不必封装帧到以太网中,功率相对较高。
3802.1x协议在宽带接入中的运用
以小区宽带接入为例,讨论802.1x协议在宽带接入中的运用。
小区宽带接入中运用802.1x协议并不杂乱,接入所用交流机要支撑802.1x协议,并需RadiusServer和DHCP服务器存在,以完结认证功用。关于用户数量较少的小区,只需在整个小区出口处装置一台支撑802.1x交流机;关于用户数量较多的小区,则能够在每个楼栋放置一台支撑802.1x交流机,每台交流机都接入会聚中心即可。
图4是一个根据802.1x协议的小区宽带接入网络拓扑图。这种计划和一般交流机接入计划在功用上是彻底等效的,可是在安全性方面有一般计划无与伦比的长处。用户在接入宽带网进程中,用户与交流机的认证进程与802.1x协议认证进程相同。
需求指出的是,用户宣布认证报文,是运用特定的组播MAC地址,设备发送用户的报文运用单播MAC地址,处理了认证报文的播送的问题,其他用户不能侦听到认证进程,然后无法知道用户的暗码、账号,无法知道用户的MAC地址。
认证经往后的MAC地址与端口进行绑定。在通讯进程中,能够确保用户运用网络的途径是仅有的。这样,经过认证的用户的数据包就不会走漏,确保了用户数据的安全性。
4结束语
本文扼要剖析了802.1x协议及其作业原理,规划了一个根据802.1x的小区宽带接入体系的计划,该计划在充分发挥交流式以太网接入长处的前提下,能够有用地处理网络认证、安全问题。考虑接入网络安全性的需求,能够必定,作为宽带网接入的安全处理计划,802.1x必将是未来的开展干流。
