802.1x协议..docVIP

802．1X协议简介 　近来，随着802.1x协议的标准化，一些L2/L3厂家开始推广802.1x认证，又称EAPOE认证。这种认证技术能否广泛应用于宽带IP城域网，是许多同行普遍关注的问题。本文从802.1x认证技术的起源、适用场合和局限性等方面对该项技术进行全面和客观的探讨。 一、802.1x认证技术的起源 　　802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。 　　有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题，802.1x正是基于这一需求而出现的一种认证技术。也就是说，对于有线局域网，该项认证没有存在的意义。 　　由此可以看出，802.1x协议并不是为宽带IP城域网量身定做的认证技术，将其应用于宽带IP城域网，必然会有其局限性，下面将详细说明该认证技术的特点，并与PPPOE认证、VLAN＋WEB认证进行比较，并分析其在宽带IP城域网中的应用。 一、802.1x认证技术的特点 　　802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。 　　802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入网络。对于无线局域网接入而言，认证之后建立起来的信道（端口）被独占，不存在其它用户再次使用的问题，但是，如果802.1x认证技术用于宽带IP城域网的认证，就存在端口打开之后，其它用户（合法或非法）可自由接入和无法控制的问题。 　　接入认证通过之后，IP数据包在二层普通MAC帧上传送，认证后的数据流和没有认证的数据流完全一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。表1和表2分别罗列出802.1x协议与PPPOE、VLAN＋WEB的性能比较。 　　表1：802.1x与PPPOE认证的技术比较 　　表2：802.1x与VLAN＋WEB认证的技术比较 　　三、宽带IP城域网中的认证技术分析 　　宽带IP城域网建设越来越强调网络的可运营性和可管理性，具体包括：对用户的认证、计费，IP地址分配、全方位安全机制，对业务的支持能力和运营能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲，认证功能包括：识别和鉴权，对用户的准确有效识别，对用户权限的下发、确认和控制，这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。因此，宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管理要求。 　　实践证明，PPPOE认证技术、VLAN＋WEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。对于802.1x认证技术，根据其定位和特点，在宽带城域网中实现用户认证远远达不到可运营、可管理要求，加之应用又少，为了完备用户的认证、管理功能，还需要进行大量协议之外的工作，目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式，将802.1x技术附着在L2/L3产品上，使L2/L3产品具备BAS用户认证和管理功能。如上所述，这种认证方式仅仅能够基于端口的认证，而且不是全程认证，与其它BAS功能（计费、安全机制、多业务支持）难以融合，因而不能称为电信级认证解决方案。 　　在城域网建设初期，大家对可运营、可管理性的认识还不是很一致，802.1x认证技术可能会有一定的市场空间，随着宽带IP城域网建设的逐步成熟和对可管理的关注，基于端口开关状态的802.1x认证技术不会成为主流。 802.1X体系介绍 802.1X是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。 IEEE 802 LAN 协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如 传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。 IEEE 802.1X是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LANSWITCH设备的端口。连接在该类端口上的用户设