基于以太网端口用户访问控制技术.docVIP

基于以太网端口用户访问控制技术 　　摘要： 　　文章介绍了IEEE802.1x这一基于以太网端口的用户访问控制协议的内容和特点，论述了采用以太网接入时在以太网交换机上实现用户认证的方法，并给出了一个宽带城域网应用的解决方案。 　　关键词： 　　宽带城域网；802.1x协议；认证 　　ABSTRACT: 　　 ContentsandfeaturesoftheIEEE802.1xprotocol,asubscriberaccesscontrol protocolbasedonEthernetports,areintroduced.Themethodofrealizingsubscriberauth enticationovertheEthernetexchangeisdiscussedandasolutiontotheapplicationo fbroadbandMANisalsoprovided. 　　KEYWORDS: 　　BroadbandMAN;Protocol802.1x;Authentication　 　　目前中国各地宽带城域网的建设正如火如荼地进行，各电信运营商都在争夺宽带城域网这个未来电信竞争的制高点。从电信运营的角度来分析，目前的宽带城域网与传统的计算机网络领域MAN(城域网)的概念存在较大的差异。其中最显著的区别是，宽带城域网应该是一个可运营、可管理的城域电信网络，而不再是简单的免费开放的城域计算机网络平台。 　　可运营、可管理的宽带城域网的基础就是用户管理，没有用户管理能力的城域网平台，其业务的推广前景和赢利能力都值得怀疑。在目前大量采用的FTTx+LAN的建网方式中，采用BAS(宽带接入服务器)和PPPoE(基于以太网的点到点协议)认证方法实现对用户的管理是常见的思路(如图1所示)。 　　BAS是宽带接入服务器，它通常安装在端局的POP(接入点)节点，负责终结由用户PC机发起的PPPoE进程。在BAS的后面，连接了运营商的RADIUS(远端授权拨号上网用户服务)认证服务器和RADIUS计费服务器。但是，采用宽带接入服务器和PPPoE技术的用户管理方式也带来了如下问题： 　　(1)由于宽带接入服务器要终结大量的PPP会话，并转发IP数据包，使宽带接入服务器成为网络性能的巨大“瓶颈”。 　　(2)宽带接入服务器通常放置在端局的位置，其下是巨大的广播域，从用户安全角度考虑，需要通过VLAN(虚拟局域网)技术来实现用户的隔离，但是目前的设备只能支持最大4096个虚拟局域网，无法支持端局以下巨大的用户群体(虚拟局域网数超过4096个)。 　　(3)PPPoE+LAN的方式实现用户隔离，由于PPPoE的点到点特性，使城域网主要的业务方向――组播视频业务的开展受到极大地限制。 　　(4)由于宽带接入服务器是在通常数据网络设备之外额外增加的设备，采用BAS和PPPoE方式无形之中增加了城域网建设的投资。 　　有鉴于此，考虑采用一种基于以太网端口的用户访问控制技术，可以克服PPPoE方式带来的诸多问题，同时完成城域网中LAN接入的用户管理认证功能，避免引入宽带接入服务器所带来的巨大投资。 　　 　　1基于以太网端口的用户访问控制技术 　　 　　1.1技术介绍 　　基于以太网端口的用户管理认证技术通过3个部分的功能实体来实现(如图2所示)。 　　(1)用户PC上的客户端软件 　　输入用户ID(标识)和密码，实现认证的客户端主要功能。 　　(2)靠近用户侧的以太网交换机 　　在普通以太网交换机上进行扩展，实现远端授权拨号上网用户服务认证代理功能，并根据RADIUS服务器的认证结果，开放用户连接以太网业务端口的访问权限。 　　(3)RADIUS服务器 　　进行用户ID和密码的认证，并返回结果给以太网交换机。 　　初始状态下，与最终用户相连的以太网交换机(放置在楼道的交换机)的所有业务端口是关闭的，只有管理和认证的端口是开放的。用户通过客户端软件登录交换机，交换机将用户提供的ID和密码传送到后台的RADIUS服务器(可以在本地，也可以通过广域网设备连到远地)上，如果用户ID和密码认证通过，则以太网交换机相应的业务端口打开，允许用户访问城域网络。 　　通过这种基于L2(二层)以太网交换机的用户管理方法，可以使城域网整体的组网变得非常简单，通过L2以太网交换机和路由器两种设备即基本实现，可同时实现业务的集中控制(以RADIUS为核心的业务中心控制)和分散实现(靠近用户的以太网交换机实现)，满足可运营、可管理宽带城域网的用户管理认证要求。 　　 　　1.2IEEE802.1x协议 　　基于端口的网络访问控制技术，在传统以太网设备的基础上，采用IEEE802.1x协议提供对基