802.1x认证技分析及其应用建议.docVIP

802.1x认证技术分析及其应用建议一,技术背景以太网的高性价比和媒体独立的特性使其逐渐成为家庭,企业局域网,电信级城域网的主导接入技术,而且随着10G以太网技术的出现,以太网技术在广域网范围内也将获得一席之地.电信运营商和宽带接入提供商也开始提供基于以太或者纯以太的接入业务,但对于以太网络中多数业务来说,运营商无法从物理上完全控制客户端设备或者媒介.运营商要实现对宽带业务的可运营,可管理,就必须从逻辑上对用户或者用户设备进行控制.该控制过程主要通过对用户和用户设备的认证和授权完成.一般来说,需要进行认证和授权的业务种类包括:1.提供给多用户系统的以太城域网业务,这些业务包括典型的TLS业务,L2或者是L3的VPN,在该业务组网环境中,客户前端交换机由同一建筑物内的多个用户共享;2.在以IEEE802.11a和IEEE802.11b提供无线以太接入的热点地区,像机场,商场,学校和餐厅等,需要基于每个用户设备或者用户进行接入认证,防止非授权用户接入;3.基于ATMRFC1483的xDSL业务和IP以太接入网;4.基于EFM(Ethernetinthe First Mile,IEEE 802.3ah) EPON接入和EoVDSL等业务;5.基于以太Cable的共享RF信道接入方式.二,电信级IP宽带网用户接入认证技术需求分析随着基于以太业务应用的日益广泛,迫切需要一种能适应以太网多业务承载需求,兼顾以太接入灵活性和扩展性好的特点,并能确保以太接入安全性,支持运营商对接入用户进行控制和管理的接入认证技术.以太技术和接入认证技术的结合要求网络接入控制完成以下功能.1.网络的接入控制与网络提供的业务类型无关,即无论是有线接入业务或者是无线接入业务,或者其它形式的公众以太接入业务,都采用一个通用的接入认证解决方案;2.电信级IP接入网络要求对用户进行严格的控制和管理,包括控制用户对网络的访问,用户身份识别3.对于用户来说,只需要面对单一的认证界面,用户可以实现在多种网络接入业务间漫游;4.对于新兴业务的支持也是选择认证技术时要考虑的一个重要因素,认证技术必须保证在现有的认证体系下对新兴业务的支持;5.对于运营商而言,通用的认证解决方案可以简化远程接入VPN的安全管理,将用户认证的范畴延伸到LAN范围内;6.适应电信级IP宽带网接入控制需求的认证技术将简化运营商网络认证的体系结构,降低运营商用于培训和维护的费用,减少运营成本.按照Internet网络分层模型,在协议每一层都可以针对用户或者设备进行网络接入的认证,鉴权.无论从对现有设备的改动,多协议的支持,网络安全还是网络控制能力来看,链路层认证的优势突出,快速,简单和成本低廉也是它的优势.多数的链路层协议像PPP和IEEE802都可以支持基于链路层的认证技术.客户在认证之前不需要进行服务器的定位,不需要获得IP地址.网络接入设备只需要有限的3层功能,可以轻易实现和AAA的结合,从而提供丰富,灵活的认证方式和计费手段.在多协议网络环境中,基于链路层的认证可以实现对上层应用的完全透明,也就是说可以实现和新的网络层协议(比如IPv6)的兼容.链路层认证处理减小了认证包处理的延时,保证了关键性应用的服务质量.三,IEEE802.1x协议技术分析意识到PPPoE在用于纯以太网络环境接入控制中的种种缺陷,IEEE在2001正式颁布了IEEE802.1x标准,用于基于以太的局域网,城域网和各种宽带接入手段的用户/设备接入认证.该协议最初假定的应用环境是交换式以太网中,但是在标准化过程中也考虑到了像801.11b和Cable接入等共享式以太网络应用环境对认证的要求.802.1x认证采用基于以太网端口的用户访问控制技术,可以克服PPPoE方式带来的诸多问题,并避免引入集中式宽带接入服务器所带来的巨大投资.在传统以太网设备基础上,基于端口的网络访问控制技术采用IEEE802.1x协议,提供了对基于以太网的点到点连接的端口用户进行认证和授权的能力,从而使以太网设备达到电信运营要求.用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理,用户PC机运行EAPoL(EAPoverLAN)的客户端软件与交换机通信.基于端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等业务).802.1x协议是基于Client/Server的访问控制和认证协议.它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN.在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证.在认证通过之前,802.1x只允许EAPoL(基于