网络工程规划与设计案例教程项目三_任务三_802.1x认证技术介绍.doc

802.1x认证技术介绍 目 录 1. 背景 1 2. IEEE 802.1x协议技术分析 1 2.1 802.1x认证特点 2 2.2 802.1x应用环境 2 2.2.1 交换式以太网络环境 2 2.2.2 共享式网络环境 2 2.3 802.1x认证的安全性分析 3 2.4 802.1x认证的优势 4 3. 802.1x在电信级IP宽带网络中的应用建议 4 3.1 以WLAN为应用突破口 4 3.2 认证边缘化、分布化 4 3.3 用户管理集中化 5 3.4 多业务接入，兼顾网络技术特点 5 3.5 逐步取代PPPoE 5 4. 结论 5 背景 以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术，而且随着10 Gbit/s以太网技术的出现，以太网技术在广域网范围内也将获得一席之地，电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。对于以太网络中多数业务来说，运营商无法从物理上完全控制客户端设备或者媒介。运营商要实现对宽带业务的可运营、可管理，就必须从逻辑上对用户或者用户设备进行控制。该控制过程主要通过对用户和用户设备的认证和授权来实施。一般来说，需要进行认证和授权的业务种类包括： (1)提供给多用户系统的以太城域网业务。这些业务包括典型的TLS业务、L2或者L3的VPN业务。在该业务组网环境中，客户前端交换机由同一建筑物内的多个用户共享。 (2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等)，需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。 (3)基于ATM RFC 1483的DSL业务和IP以太接入网。 (4)基于EFM(Ethernet in the First Mile，IEEE 802.3ah)EPON接入和EoVDSL等业务。 (5)基于以太的cahle的共享RF信道接入方式。 IEEE 802.1x协议技术分析 IEEE在2001正式颁布了IEEE 802.1x标准，用于基于以太的局域网、城域网和各种宽带接入手段的用户/设备接入认证。这种认证采用基于以太网端口的用户访问控制技术，只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接、网络层路由、Internet接入等业务)，既可以克服PPPoE方式的诸多问题，又避免了引入集中式宽带接入服务器所带来的巨大投资。 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理，用户PC机运行EAPoL(EAP over LAN)的客户端软件与交换机通信。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中，端口访问实体包括：认证者(对接入的用户/设备进行认证的端口)、请求者(被认证的用户/设备)和认证服务器(根据认证者的信息，对请求访问网络资源的用户/设备执行实际认证功能的设备)3部分。 以太网的每个物理端口分为受控和不受控两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问，受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果，控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口，拒绝用户/设备的访问。 802.1x认证特点 基于以太网端口认证的802.1x协议有如下特点： (1)IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。 (2)借用了在RAS系统中常用的EAP(扩展认证协议)，可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容。 (3)802 1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，其通过认证后的数据包是无需封装的纯数据包。 (4)可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持。 (5)可以映射不同的用户认证等级到不同的VLAN。 (6)可以使交换端口和无线LAN具有安全的认证接入功能。 802.1x应用环境 交换式以太网络环境 随着以太网技术的不断演进，局域网和城域网的网络架构演变为一种全交换的网络环境。在交换式以太网络中，用户