802.1x協(xié)議及其在寬帶接入中的應用

引言

近年來，寬帶網接入逐漸成為網絡技術的熱點，寬帶網建設蓬勃發(fā)展，業(yè)務如火如荼，成為網絡運營商新的經濟增長點。目前，廣泛采用的寬帶接入方式有HFC、xDSL、LAN接入等，其中，交換式以太網接入作為園區(qū)網建設的主流方案，以高帶寬，技術成熟，成本低廉，易于建設和易于管理的優(yōu)點，成為網絡運營商優(yōu)先采用的接入方式。但是，傳統(tǒng)的以太網接入方式由于采用廣播機制，其安全性較差，限制了它在公用接入網絡中的應用。為了解決這個問題，目前廣泛使用PPPoE或Web＋DHCP的方案，但這兩種方案都不能有效地解決認證安全問題。IEEE802．1委員會提出的802．1x協(xié)議，其實現(xiàn)基于以太網交換機，可以對用戶進行認證、授權，從而為運營商提供了一種更實用、更安全的用戶管理方式。本文主要介紹802．1x協(xié)議的基本原理及其在寬帶接入網中的應用實例。

1802．1x協(xié)議結構和基本原理

1．1802．1x協(xié)議

90年代后期，IEEE802LAN／WAN委員會為解決無線局域網網絡安全問題，提出了802．1x協(xié)議。后來，802．1x協(xié)議作為局域網端口的一個普通接入控制機制用在以太網中，主要解決以太網內認證和安全方面的問題。802．1x協(xié)議稱為基于端口的訪問控制協(xié)議（portbasednetwork access controlprotocol），該協(xié)議的核心內容如圖1所示。

靠近用戶一側的以太網交換機上放置一個EAP（extensibleauthenticationprotocol）代理，用戶PC機運行EAPoE（EAPoverEthernet）的客戶端軟件與交換機通信。初始狀態(tài)下，交換機上的所有端口處于關閉狀態(tài)，只有802．1x數(shù)據(jù)流才能通過，而另外一些類型的網絡數(shù)據(jù)流，如動態(tài)主機配置協(xié)議、超文本傳輸協(xié)議（HTTP）、文件傳輸協(xié)議（FTP）、簡單郵件傳輸協(xié)議（SMTP）和郵局協(xié)議（POP3）等都被禁止傳輸。

當用戶通過EAPoE登錄交換機時，交換機將用戶同時提供的用戶名口令傳送到后臺的Radius認證服務器上。如果用戶名及口令通過了驗證，則相應的以太網端口打開，允許用戶訪問。

1．2802．1x協(xié)議的體系結構

802．1x協(xié)議的體系結構包括3個重要部分：客戶端（supplicantsystem）、認證系統(tǒng)（authenticatorsystem）、認證服務器（authenticationserversystem）。圖2描述了三者之間的關系以及互相之間的通信?？蛻粝到y(tǒng)安裝一個客戶端軟件，用戶通過啟動客戶端軟件發(fā)起802．1x協(xié)議的認證過程。為支持基于端口的接入控制，客戶端系統(tǒng)須支持EAPoL（EAPoverLAN）協(xié)議。

認證系統(tǒng)通常為支持802．1x協(xié)議的網絡設備。該設備有2個邏輯端口：受控端口和不受控端口，對應于不同用戶的端口。不受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，保證客戶端始終可以發(fā)出或接受認證；受控端口只有在認證通過之后才打開，用于傳遞網絡資源和服務。如果用戶未通過認證，受控端口處于未認證狀態(tài)，則用戶無法訪問認證系統(tǒng)提供的服務。受控端口可配置為雙向受控、僅輸入受控2種方式，以適應不同的應用環(huán)境。

認證系統(tǒng)的端口訪問實體通過不受控端口與客戶端端口訪問實體進行通信，二者之間運行EAPoL協(xié)議。認證系統(tǒng)的端口訪問實體與認證服務器之間運行EAP協(xié)議。EAP協(xié)議并不是認證系統(tǒng)和認證服務器通信的唯一方式，其他的通信通道也可以使用。例如，如果認證系統(tǒng)和認證服務器集成在一起，2個實體之間的通信就可以不采用EAP協(xié)議。

認證服務器通常為RADIUS服務器，該服務器可以存儲有關用戶的信息。例如，用戶的賬號、密碼以及用戶所屬的VLAN、CAR參數(shù)，優(yōu)先級，用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構建動態(tài)的訪問控制列表，用戶的后續(xù)流量將接受上述參數(shù)的監(jiān)管。認證服務器和RADIUS服務器之間通過EAP協(xié)議進行通信。

1．3802．1x協(xié)議的工作機制

802．1x協(xié)議工作機制如圖3所示。由圖3可見，認證的發(fā)起可以由用戶主動發(fā)起，也可以由認證系統(tǒng)發(fā)起。當認證系統(tǒng)探測到未經過認證的用戶使用網絡，就會主動發(fā)起認證；用戶端則可以通過客戶端軟件向認證系統(tǒng)發(fā)送EAPoL－Start開始報文發(fā)起認證。由客戶端發(fā)送EAPoL退出報文，主動下線，退出已認證狀態(tài)的直接結果就是導致用戶下線，如果用戶要繼續(xù)上網則要再發(fā)起一個認證過程。

為了保證用戶和認證系統(tǒng)之間的鏈路處于激活狀態(tài)，而不因為用戶端設備發(fā)生故障造成異常死機，從而影響對用戶計費的準確性，認證系統(tǒng)可以定期發(fā)起重新認證過程，該過程對于用戶是透明的，即用戶無需再次輸入用戶名／密碼。重新認證由認證系統(tǒng)發(fā)起，時間從最近一次成功認證后算起。重新認證時間默認值為3600s，而且默認重新認證是關閉的。

對于認證系統(tǒng)和客戶端之間通信的EAP報文，如果發(fā)生丟失，由認證系統(tǒng)負責進行報文的重傳。在設定重傳的時間時，考慮網絡的實際環(huán)境，通常會認為認證系統(tǒng)和客戶端之間報文丟失的概率比較低以及傳送延遲短，因此一般通過一個超時計數(shù)器來設定，默認重傳時間為30s。

對于有些報文的丟失重傳比較特殊，如EAPoL－Start報文的丟失，由客戶端負責重傳；而對于EAP失敗和EAP成功報文，由于客戶端無法識別，認證系統(tǒng)不會重傳。由于對用戶身份合法性的認證最終由認證服務器執(zhí)行，認證系統(tǒng)和認證服務器之間的報文丟失重傳也很重要。另外，對于用戶的認證，在執(zhí)行802．1x認證時，只有認證通過后，才有DHCP發(fā)起和IP分配的過程。由于客戶終端配置了DHCP自動獲取，則可能在未啟動802．1x客戶端之前，就發(fā)起了DHCP的請求，而此時認證系統(tǒng)處于禁止通行狀態(tài)，這樣認證系統(tǒng)會丟掉初始化的DHCP幀，同時會觸發(fā)認證系統(tǒng)發(fā)起對用戶的認證。

由于DHCP請求超時過程為64s，所以如果802．1x認證過程能在這64s內完成，則DHCP請求不會超時，能順利完成地址請求；如果終端軟件支持認證后再執(zhí)行一次DHCP，就不用考慮64s的超時限制。

本文引用地址：http://butianyuan.cn/article/201706/353680.htm
1．4802．1x協(xié)議的認證過程

802．1x協(xié)議認證過程是用戶與服務器交互的過程，其認證步驟如下。

（1）用戶開機后，通過802．1x客戶端軟件發(fā)起請求，查詢網絡上能處理EAPoL數(shù)據(jù)包的設備。如果某臺驗證設備能處理EAPoL數(shù)據(jù)包，就會向客戶端發(fā)送響應包，并要求用戶提供合法的身份標識，如用戶名及其密碼。

（2）客戶端收到驗證設備的響應后，提供身份標識給驗證設備。由于此時客戶端還未經過驗證，因此認證流只能從驗證設備的未受控的邏輯端口經過。驗證設備通過EAP協(xié)議將認證流轉發(fā)到AAA服務器，進行認證。

（3）如果認證通過，則認證系統(tǒng)的受控邏輯端口打開。

（4）客戶端軟件發(fā)起DHCP請求，經認證設備轉發(fā)到DHCPServer。

（5）DHCPServer為用戶分配IP地址。

（6）DHCPServer分配的地址信息返回給認證系統(tǒng)，認證系統(tǒng)記錄用戶的相關信息，如MAC，IP地址等信息，并建立動態(tài)的ACL訪問列表，以限制用戶的權限。

（7）當認證設備檢測到用戶的上網流量，就會向認證服務器發(fā)送計費信息，開始對用戶計費。

（8）如果用戶退出網絡，可以通過客戶端軟件發(fā)起退出過程，認證設備檢測到該數(shù)據(jù)包后，會通知AAA服務器停止計費，并刪除用戶的相關信息（如物理地址和IP地址），受控邏輯端口關閉；用戶進入再認證狀態(tài)。

（9）驗證設備通過定期的檢測保證鏈路的激活。如果用戶異常死機，則驗證設備在發(fā)起多次檢測后，自動認為用戶已經下線，于是向認證服務器發(fā)送終止計費的信息。

2幾種認證方式比較

目前，在接入網中的認證方式除802．1x之外，還有PPPoE和Web＋DHCP兩種方式，在此把這幾種認證方式做一比較。

PPPoE的本質就是在以太網上跑PPP協(xié)議。由于PPP協(xié)議認證過程的第一階段是發(fā)現(xiàn)階段，廣播只能在二層網絡，才能發(fā)現(xiàn)寬帶接入服務器。因此，也就決定了在用戶主機和服務器之間，不能有路由器或三層交換機。另外，由于PPPoE點對點的本質，在用戶主機和服務器之間，限制了組播協(xié)議存在。這樣，將會在一定程度上，影響視頻業(yè)務的開展。除此之外，PPP協(xié)議需要再次封裝到以太網中，所以效率很低。

Web＋DHCP采用旁路方式網絡架構時，不能對用戶進行類似帶寬管理。另外，DHCP是動態(tài)分配IP地址，但其本身的成熟度加上設備對這種方式支持力度還較小，故在防止用戶盜用IP地址等方面，還需要額外的手段來控制。除此之外，用戶連接性差，易用性不夠好。

802．1x協(xié)議為二層協(xié)議，不需要到達三層，而且接入交換機無須支持802．1q的VLAN，對設備的整體性能要求不高，可以有效降低建網成本。業(yè)務報文直接承載在正常的二層報文上；用戶通過認證后，業(yè)務流和認證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求。在認證過程中，802．1x不用封裝幀到以太網中，效率相對較高。

3802．1x協(xié)議在寬帶接入中的應用

以小區(qū)寬帶接入為例，探討802．1x協(xié)議在寬帶接入中的應用。

小區(qū)寬帶接入中應用802．1x協(xié)議并不復雜，接入所用交換機要支持802．1x協(xié)議，并需RadiusServer和DHCP服務器存在，以完成認證功能。對于用戶數(shù)量較少的小區(qū)，只需在整個小區(qū)出口處安裝一臺支持802．1x交換機；對于用戶數(shù)量較多的小區(qū)，則可以在每個樓棟放置一臺支持802．1x交換機，每臺交換機都接入匯聚中心即可。

圖4是一個基于802．1x協(xié)議的小區(qū)寬帶接入網絡拓撲圖。這種方案和普通交換機接入方案在性能上是完全等效的，但是在安全性方面有普通方案無可比擬的優(yōu)點。用戶在接入寬帶網過程中，用戶與交換機的認證步驟與802．1x協(xié)議認證步驟一樣。

需要指出的是，用戶發(fā)出認證報文，是使用特定的組播MAC地址，設備發(fā)送用戶的報文使用單播MAC地址，解決了認證報文的廣播的問題，其他用戶不能偵聽到認證過程，從而無法知道用戶的密碼、賬號，無法知道用戶的MAC地址。

認證通過后的MAC地址與端口進行綁定。在通信過程中，可以保證用戶使用網絡的路徑是唯一的。這樣，通過認證的用戶的數(shù)據(jù)包就不會泄露，保證了用戶數(shù)據(jù)的安全性。

4結束語

本文簡要分析了802．1x協(xié)議及其工作原理，設計了一個基于802．1x的小區(qū)寬帶接入系統(tǒng)的方案，該方案在充分發(fā)揮交換式以太網接入優(yōu)點的前提下，可以有效地解決網絡認證、安全問題。考慮接入網絡安全性的需要，可以肯定，作為寬帶網接入的安全解決方案，802．1x必將是未來的發(fā)展主流。