PPPoE與802.1X在校園網(wǎng)中的應(yīng)用分析

PPPoE和802.1X是較常見的兩種寬帶網(wǎng)絡(luò)接入認證方式。兩種方法的用戶使用體驗非常類似，但兩種協(xié)議卻有很大的差異，并帶來不同的優(yōu)缺點。本文分析了兩種協(xié)議在實際應(yīng)用中的特點以及在部署過程中可能引發(fā)的安全問題，結(jié)合校園網(wǎng)絡(luò)的特點，提出兩種協(xié)議在校園網(wǎng)絡(luò)中的部署建議。

PPPoE和802.1X的分析

PPPoE(以太網(wǎng)上點對點協(xié)議，PPPover Ethernet)是在以太網(wǎng)上傳送PPP分組的協(xié)議，沿用了傳統(tǒng)PSTN窄帶撥號接入技術(shù)，同時也繼承了傳統(tǒng)PSTN窄帶撥號接入技術(shù)的特點。PPPoE 認證系統(tǒng)由客戶端和寬帶接入服務(wù)器(BRAS)兩個實體組成，會話過程經(jīng)歷發(fā)現(xiàn)階段和會話階段。在發(fā)現(xiàn)階段，客戶端向網(wǎng)絡(luò)廣播尋找可以連接的BRAS，然后與選定的BRAS建立點對點邏輯鏈路；在會話階段，客戶端收發(fā)的數(shù)據(jù)包都經(jīng)過PPPoE封裝，并通過這唯一鏈路進行傳輸，所有用戶網(wǎng)絡(luò)數(shù)據(jù)包都要經(jīng)過BRAS進行PPPoE的封裝或解封裝，如圖1。

圖1 PPPoE組網(wǎng)示意圖

由于客戶端只通過與BRAS建立的點對點邏輯鏈路收發(fā)數(shù)據(jù)，所有認證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流都必須通過BRAS，簡化了接入安全和管理的工作。在局域網(wǎng)安全方面，減少了IP沖突、ARP攻擊；在用戶管理方面，可以進行基于用戶的帶寬管理。PPPoE在當(dāng)前運營商接入網(wǎng)中得到廣泛的應(yīng)用，并且Windows系統(tǒng)自帶客戶端，更容易被用戶接受。

然而，PPPoE也存在幾方面問題：第一，在網(wǎng)絡(luò)安全方面，存在廣播域的ARP攻擊，假冒BRAS騙取用戶賬號密碼等問題；第二，在網(wǎng)絡(luò)穩(wěn)定方面，容易產(chǎn)生巨包被網(wǎng)絡(luò)中的節(jié)點丟棄，網(wǎng)絡(luò)在BRAS設(shè)備上容易形成單點瓶頸和故障；第三，在協(xié)議支持方面，PPPoE不支持組播BRAS需要將組播包單個封裝后轉(zhuǎn)發(fā)，組播數(shù)據(jù)流大量增加了BRAS的負擔(dān)；第四，在安全審計方面，BRAS只能記錄用戶的IP、MAC、登錄時間，無法進行更詳細定位；第五，在計費策略方面，無法實施分區(qū)域的收費策略。

實際應(yīng)用中，部分PPPoE存在的問題通過結(jié)合一定安全機制是可以得到解決的。在網(wǎng)絡(luò)安全問題上，主要防止BRAS欺騙和廣播包占用帶寬，可以在接入交換機上配置MAC ACL，使以太網(wǎng)類型為0x8863(客戶端尋找BRAS廣播包的以太網(wǎng)類型)的廣播包只能轉(zhuǎn)發(fā)到上聯(lián)接口，同時采用多VLAN隔離廣播包或限制廣播包占用的帶寬。

在網(wǎng)絡(luò)穩(wěn)定方面，調(diào)整接入交換機最大傳輸單元參數(shù)，可以防止巨包被交換機丟棄；采用雙機熱備，或限制設(shè)備管理的網(wǎng)絡(luò)規(guī)模等方式，可以降低單點故障率。

圖2 802.1X認證過程示意圖

802.1X協(xié)議是一種基于端口的接入控制協(xié)議。如圖2，802.1X認證系統(tǒng)一般包含三個實體：客戶端(Supplicant)、認證系統(tǒng)(authenticator system，通常為支持802.1X的接入交換機)、認證服務(wù)器(authenticatorserver)。客戶端向認證系統(tǒng)發(fā)起接入請求；認證服務(wù)器驗證用戶賬戶，并通知認證系統(tǒng)是否開放業(yè)務(wù)數(shù)據(jù)接入端口。802.1X的認證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流是分開的。在認證前，客戶端只能發(fā)送認證數(shù)據(jù)包，直接屏蔽了ARP 廣播；認證成功后，對該主機開放交換機端口的業(yè)務(wù)數(shù)據(jù)接入通道，不改變用戶的數(shù)據(jù)包格式和傳輸路徑。目前，大部分主流交換機均支持802.1X，可以較為方便地實施802.1X認證的分布式部署。

在不結(jié)合其他機制的情況下，802.1X認證會出現(xiàn)以下問題：第一，接入交換機作為認證者，只能綁定用戶主機的網(wǎng)卡物理地址MAC，只要MAC是通過認證的數(shù)據(jù)包都被允許通過，因此IP沖突、ARP攻擊等各類局域網(wǎng)安全問題依然存在；第二，802.1X無法進行基于用戶的帶寬控制。

針對上述802.1X的問題，大部分支持802.1X 的交換機同時也能夠從DHCP包中獲取主機IP地址，因此可以在部署了DHCP 的情況下，實現(xiàn)IP+MAC+端口的綁定，解決IP沖突、ARP攻擊等網(wǎng)絡(luò)安全問題。在使用固定IP的情況下，目前部分廠商交換機可以通過私有機制使認證交換機獲取用戶IP地址，但通常要求認證系統(tǒng)和交換機是由同個廠商提供才能實現(xiàn)該功能。

兩種協(xié)議在高校網(wǎng)絡(luò)中應(yīng)用的建議

校園網(wǎng)中用戶數(shù)龐大，局域網(wǎng)內(nèi)數(shù)據(jù)交換多且頻繁，如文件傳輸、局域網(wǎng)游戲；校內(nèi)資源豐富，希望達到高速資源共享，如校園數(shù)據(jù)中心資源、圖書館資源等；網(wǎng)絡(luò)應(yīng)用復(fù)雜，組播流量大，特別是視頻流量；用戶群活躍，喜歡嘗試對網(wǎng)絡(luò)的攻擊；不同區(qū)域的用戶群體不同，網(wǎng)絡(luò)流量特征有差別，管理需求相異。

從前面的分析可以總結(jié)出PPPoE認證更側(cè)重于管理，802.1X認證則可以更好維護網(wǎng)絡(luò)性能。校園網(wǎng)中認證模式可以基于用戶群體特點和管理需求進行選擇。

表1 高校中不同群體網(wǎng)絡(luò)流量的特性

如表1所列，高校網(wǎng)絡(luò)群體一般可以分為學(xué)生群體、辦公群體、家屬群體。學(xué)生群體較熟練掌握計算機的使用，網(wǎng)絡(luò)使用頻繁，數(shù)據(jù)流量大、局域網(wǎng)內(nèi)數(shù)據(jù)交互頻繁，隱藏大量網(wǎng)絡(luò)攻擊行為，如果針對這樣群體部署PPPoE，要求BRAS有很大的業(yè)務(wù)處理能力，實施成本高；反之，如果部署802.1X話，網(wǎng)絡(luò)利用率較高，實施成本比較低廉。辦公群體以網(wǎng)頁瀏覽、文檔傳輸為主，對網(wǎng)絡(luò)的要求是安全性高和帶寬穩(wěn)定，在辦公場合部署PPPoE，則更方便管理，網(wǎng)絡(luò)穩(wěn)定性較高。家屬群體是消費型的群體，用戶間數(shù)據(jù)傳輸較少，用戶希望能夠根據(jù)自己的需求選擇帶寬，并愿意為此差別付費，因此部署PPPoE會更為合理。

PPPoE 同時管理了用戶接入認證和用戶數(shù)據(jù)傳輸，適用于對帶寬管理要求較高的場合。802.1X 只對用戶接入進行控制，適用于內(nèi)部數(shù)據(jù)流量較大，用戶帶寬管理需求低的場合。兩種認證的實施都要結(jié)合一定的網(wǎng)絡(luò)安全手段，才能更好體現(xiàn)協(xié)議優(yōu)勢，防止協(xié)議漏洞引起的安全問題。PPPoE 的寬帶接入服務(wù)器BRAS 和802.1X的認證服務(wù)器，都要做好DDOS攻擊防御。