802.1X协议.doc

1、第一章 8021X协议简介近来，随着802.1x协议的标准化，一些L2/L3厂家开始推广802.1x认证，又称EAPOE认证。这种认证技术能否广泛应用于宽带IP城域网，是许多同行普遍关注的问题。本文从802.1x认证技术的起源、适用场合和局限性等方面对该项技术进行全面和客观的探讨。一、802.1x认证技术的起源802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线

2、局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题，802.1x正是基于这一需求而出现的一种认证技术。也就是说，对于有线局域网，该项认证没有存在的意义。由此可以看出，802.1x协议并不是为宽带IP城域网量身定做的认证技术，将其应用于宽带IP城域网，必然会有其局限性，下面将详细说明该认证技术的特点，并与PPPOE认证、VLANWEB认证进行比较，并分析其在宽带IP城域网中的应用。一、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据

3、帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入网络。对于无线局域网接入而言，认证之后建立起来的信道（端口）被独占，不存在其它用户再次使用的问题，但是，如果802.1x认证技术用于宽带IP城域网的认证，就存在端口打开之后，其它用户（合法或非法）可自由接入和无法控制的问题。接入认证通过之后，IP数据包在二层

4、普通MAC帧上传送，认证后的数据流和没有认证的数据流完全一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。表1和表2分别罗列出802.1x协议与PPPOE、VLANWEB的性能比较。表1：802.1x与PPPOE认证的技术比较表2：802.1x与VLANWEB认证的技术比较三、宽带IP城域网中的认证技术分析宽带IP城域网建设越来越强调网络的可运营性和可管理性，具体包括：对用户的认证、计费，IP地址分配、全方位安全机制，对业务的支持能力和运营能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲，认证功能包括：识别和鉴权，对用户的准确有效识别，对用户权限

5、的下发、确认和控制，这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。因此，宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管理要求。实践证明，PPPOE认证技术、VLANWEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。对于802.1x认证技术，根据其定位和特点，在宽带城域网中实现用户认证远远达不到可运营、可管理要求，加之应用又少，为了完备用户的认证、管理功能，还需要进行大量协议之外的工作，目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式，将802.1x技术附着在L2/L3产品上，使L2/L3产品具备BAS用户认证和管理功能。如上所述

6、，这种认证方式仅仅能够基于端口的认证，而且不是全程认证，与其它BAS功能（计费、安全机制、多业务支持）难以融合，因而不能称为电信级认证解决方案。在城域网建设初期，大家对可运营、可管理性的认识还不是很一致，802.1x认证技术可能会有一定的市场空间，随着宽带IP城域网建设的逐步成熟和对可管理的关注，基于端口开关状态的802.1x认证技术不会成为主流。802.1X体系介绍 802.1X是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。IEEE 802 LAN 协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如 传统的LanSwitch，用户就可以访问局域网中的设备或资

7、源，这是一个安全隐患。对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。IEEE 802.1X是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LANSWITCH设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。IEEE 802.1X定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方

8、式有：LanSwitch 的一个物理端口仅连接一个 End Station（基于物理端口）； IEEE 802.11定义的无线 LAN 接入方式（基于逻辑端口）。802.1X的体系结构如下图： IEEE 802.1X的体系结构中包括三个部分：Supplicant System，用户接入设备；Authenticator System，接入控制单元；Authentication Sever System，认证服务器。在用户接入层设备（如LANSWITCH)实现 802.1X的认证系统部分，即Authenticator；802.1X的客户端一般安装在用户PC中，典型为Windows XP操作系统自带

9、的客户端； 802.1X的认证服务器系统一般驻留在运营商的AAA中心。Supplicant与Authenticator间运行 IEEE 802.1X定义的EAPOL协议；Authenticator 与 Authentication Sever 间同样运行 EAP 协议，EAP 帧中封装了认证数据，将该协议承载在其他高层次协议中，如 Radius，以便穿越复杂的网络到达 认证服务器（EAP Relay）。 Authenticator每个物理端口内部有受控端口（Controlled Port）和非受控端口（unControlled Port）。非受控端口始终处于双向连通状态，主要用来传递 EAPO

10、L 协议帧，可保证随时接收 Supplicant发出的认证EAPoL报文。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合，例如管理员远程唤醒一台计算机(supplicant)。1.1.1.1 2. 802.1X认证过程简介 图2 802.1X的认证过程802.1X 通过 EAP 承载认证信息，共定义了如下 EAP 包类型：1）EAP-Packet，认证信息帧，用于承载认证信息；2）EAPOL-Start，认证发起帧，Supplicant 和 Authenticator 均可以

11、发起；3）EAPOL-Logoff，退出请求帧，可主动终止已认证状态；4）EAPOL-Key，密钥信息帧，支持对 EAP 报文的加密；5）EAPOL-Encapsulated-ASF-Alert，用于支持 Alert Standard Forum （ASF）的 Alerting 消息；其中 EAPOL-Start，EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在，在交换机和认证服务器间，EAP-Packet报文重新封装承载于Radius协议之上，以便穿越复杂的网络到达 认证服务器。 EAPOL-Encapsulated-ASF

12、-Alert 封装与网管相关信息，例如各种告警信息，由 Authenticator 终结。3. 802.1X的特点认证协议承载于二层网络上，不需要到达三层 通过接入认证，控制用户进入网络和获得服务 需要客户端支持(类似于PPPoE) 业务报文直接承载在正常的二层报文上，对后续的网络处理没有特殊要求 802.1X在移动办公中的应用 图 3 802.1X应用于移动办公环境 移动办公为企业网用户带来了灵活方便的使用环境。但同时也带来了相应的安全和管理问题。802.1X协议的出现有效地解决了上述问题。如上图，移动办公环境中的接入层交换机Quidway S3026和Quidway AccessPoint

13、位于在企业网的最边缘，所有接入PC的的端口被配置为802.1X Authenticator管理，这些端口在初始化时处于阻塞状态，除了802.1X的控制协议报文，所有其他报文在端口处都将被丢弃。用户的PC机充当802.1X的supplicant客户端，典型的802.1X客户端是Windows XP自带的身份认证系统。用户的用户名和口令信息(或者证书）被送到认证服务器。在认证服务器认证通过后，服务器将认证结果和相关附属配置下发到边缘交换机，边缘交换机根据认证结果报文打开或继续关闭边缘端口，配置端口属性，例如，此端口（用户）的VLAN-ID，缺省802.1p优先级，ACL访问控制列表，802.11W

14、LAN用户40bit/128bit动态密钥等。其中VLAN配置可以通过动态VLAN协议自动扩散到企业LAN的其他交换机，通过这种方式，一个用户可以搬迁、漫游到企业网的不同工作位置，不需要管理人员参与任何配置工作就能迅速地接入工作网络，同时又保证了用户群组的安全隔离，例如，工作核心人员的便携机即使漫游到开放的休息室也能接入到特定VLAN。网络管理员通过管理集中的认证服务器数据库可以实现对整个企业网用户的有效管理。 Authentication Sever可以采用标准的Radius认证服务器，也可以选用业务交换机来实现，后者主要用在网络规模不大的(300用户左右)情况中，华为的Quidway 3500系列以上交换机在新的软件版本中，都提供内嵌Authentication Sever（认证服务器）的功能，通过华为内部集群通讯协议高效完成对用户的认证配置功能。802.1X通过对Radius的支持，还能提供计费功能，通过监控边缘用户接入端口的会话时间和流量，向计费服务器发出计费报文，从而方便的实现对流量、时间计费等运营需求。四、总结802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过控制接入端口的开/关状态来实现，这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证，而在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。