IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control protocol)。基于端口的访问控制(Port based network access control)能够在利用IEEE 802 LAN的优势基础上提供一种对连接到局域网(LAN)设备或用户进行认证和授权的手段。通过这种方式的认证,能够在 LAN 这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或网络设备连接LAN的物理端口,或者是在 IEEE 802.11 无线 LAN 环境中定义的工作站和访问点。
802.1x认证过程与本质
802.1x协议实质上是基于端口对接入的合法性进行认证,进而决定允许或拒绝资源接入网络。在802.1x的认证体系结构中,引入了“受控端口”与“不受控端口”概念,将一个物理LAN端口定义为“受控端口”与“不受控端口”两类逻辑LAN接入点。不受控端口只能传送认证的协议报文,受控端口传送业务报文。
表1 目前业界有几种认证方式:pppoe、web和802.1x,以下做一个比较:
802.1x认证体系通常由提请认证的客户端系统(Supplicant System)、认证系统(Authenticator System)及认证服务器系统(Authentication Server System)等三部分组成。
图1
其中,客户端系统一般为安装有客户端软件的用户终端系统,用户通过客户端软件发起802.1x协议认证过程,认证通过后可以发起IP地址请求。
认证系统通常为支持802.1x协议的网络设备,该设备对应于不同用户的受控与不受控两个逻辑端口。不受控端口始终处于双向连通状态,主要用来传递 EAPOL协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,用户无法访问认证系统提供的服务。
认证服务器通常为RADIUS服务器,该服务器可以存储诸如用户所属的VLAN、CAR参数、优先级、用户访问控制列表等用户的相关信息。通过认证后,认证服务器把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表。
基本的认证过程
IEEE802.1X协议的认证图参见图1。
基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LAN 设备的端口,如 LanSwitch 的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
IEEE 802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station(基于物理端口); IEEE 802.11定义的无线 LAN 接入方式(基于逻辑端口)等。
连接有多个设备的共享式 LAN 网段如果想要提供每个设备的接入控制,可以使用两种方法:
1.使用任何保护方法,为每一个接入设备建立单独的接入控制,此时相当于每个MAC地址构成了一个逻辑端口。由于共享式网段缺乏保护,每个MAC地址的认证过程都可能被其他设备监听、截获、伪造,安全性比较低。
2.仍然使用每个MAC地址构成逻辑端口,但在认证过程中对认证数据帧进行加密(IEEE 802.1x提供了与加密协议的接口),从而避免其他设备的监听、截获、伪造,提高安全性。需要说明的,由于 MAC 地址比较容易伪造,这种方式并不能提供完善的安全机制。
无线LAN 802.1x认证过程示意
因而,IEEE 802.1x 推荐的使用环境为点对点的物理或逻辑端口。
IEEE 802.1x解决方案
图2为港湾网络关于802.1x协议的一种实现方案。
在此实现方案中,802.1x协议在FlexHammer系列三层交换机上实现,即FlexHammer系列交换机作为认证系统。FlexHammer将不同的MAC地址作为不同的端口进行控制。如果设备支持全程VLAN,Flex也可将不同的VLAN作为不同的端口进行控制,用户接入层交换机是普通的以太网交换机,需要对EAPOL帧作透传,不能丢弃。
方案特点
由于FlexHammer系列交换机是三层交换机,主要定位在智能小区的中心。以上的解决方案具有如下的优点:
1.FlexHammer系列交换机可以根据网络规模,分散放置在各小区的中心,实现对用户的接入认证。运营商只需要在核心放置一台认证服务器,就可以实现“集中的用户信息存储,分散的用户认证”,方便实现用户的管理。
2.每台网络设备都可以充分发挥各自的功能,各自负责一部分的用户认证,不会因为某台设备的单点故障,而导致全网用户无法访问网络。
图2 港湾802.1x实现方案
3.由于802.1x实现了用户认证流和业务流的有效分离,认证系统的负担很轻,而且由于是分散的用户认证,整个网络不存在瓶颈点。
4.由于802.1x协议是一个二层协议,引入802.1x认证并没有增加多少成本,完全是提供合理成本下的“可运营、可管理”的网络解决方案。
5.对于接入级的二层交换机可以不支持基于802.1q的VLAN,这样可以降低该层设备的成本,并免除因VLAN ID的数量不够用和规划方面的诸多不便。
6.FlexHammer可以提供基于64kbps的带宽控制,不同用户可以根据带宽采取不同的收费策略。
802.1x认证过程与本质
802.1x协议实质上是基于端口对接入的合法性进行认证,进而决定允许或拒绝资源接入网络。在802.1x的认证体系结构中,引入了“受控端口”与“不受控端口”概念,将一个物理LAN端口定义为“受控端口”与“不受控端口”两类逻辑LAN接入点。不受控端口只能传送认证的协议报文,受控端口传送业务报文。
| 认证方式 | web/portal | pppoe | 802.1x |
| 标准程度 | 厂家私有 | rfc2516 | ieee标准 |
| 封装开销 | 小 | 较大 | 小 |
| 接入控制方式 | 设备端口 | 用户 | 用户 |
| ip地址 | 认证前分配 | 认证后分配 | 认证后分配 |
| 多播支持 | 好 | 差 | 好 |
| vlan数目要求 | 多 | 无 | 无 |
| 支持多isp | 较差 | 好 | 好 |
| 客户端软件 | 不需要 | 需要 | 需要 |
| 设备支持 | 厂家私有 | 业界设备 | 业界设备 |
| 用户连接性 | 差 | 好 | 好 |
| 对设备的要求 | 高(全程vlan) | 较高(bas) | 低 |
802.1x认证体系通常由提请认证的客户端系统(Supplicant System)、认证系统(Authenticator System)及认证服务器系统(Authentication Server System)等三部分组成。
图1
其中,客户端系统一般为安装有客户端软件的用户终端系统,用户通过客户端软件发起802.1x协议认证过程,认证通过后可以发起IP地址请求。
认证系统通常为支持802.1x协议的网络设备,该设备对应于不同用户的受控与不受控两个逻辑端口。不受控端口始终处于双向连通状态,主要用来传递 EAPOL协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,用户无法访问认证系统提供的服务。
认证服务器通常为RADIUS服务器,该服务器可以存储诸如用户所属的VLAN、CAR参数、优先级、用户访问控制列表等用户的相关信息。通过认证后,认证服务器把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表。
基本的认证过程
IEEE802.1X协议的认证图参见图1。
基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LAN 设备的端口,如 LanSwitch 的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
IEEE 802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station(基于物理端口); IEEE 802.11定义的无线 LAN 接入方式(基于逻辑端口)等。
连接有多个设备的共享式 LAN 网段如果想要提供每个设备的接入控制,可以使用两种方法:
1.使用任何保护方法,为每一个接入设备建立单独的接入控制,此时相当于每个MAC地址构成了一个逻辑端口。由于共享式网段缺乏保护,每个MAC地址的认证过程都可能被其他设备监听、截获、伪造,安全性比较低。
2.仍然使用每个MAC地址构成逻辑端口,但在认证过程中对认证数据帧进行加密(IEEE 802.1x提供了与加密协议的接口),从而避免其他设备的监听、截获、伪造,提高安全性。需要说明的,由于 MAC 地址比较容易伪造,这种方式并不能提供完善的安全机制。
无线LAN 802.1x认证过程示意
因而,IEEE 802.1x 推荐的使用环境为点对点的物理或逻辑端口。
IEEE 802.1x解决方案
图2为港湾网络关于802.1x协议的一种实现方案。
在此实现方案中,802.1x协议在FlexHammer系列三层交换机上实现,即FlexHammer系列交换机作为认证系统。FlexHammer将不同的MAC地址作为不同的端口进行控制。如果设备支持全程VLAN,Flex也可将不同的VLAN作为不同的端口进行控制,用户接入层交换机是普通的以太网交换机,需要对EAPOL帧作透传,不能丢弃。
方案特点
由于FlexHammer系列交换机是三层交换机,主要定位在智能小区的中心。以上的解决方案具有如下的优点:
1.FlexHammer系列交换机可以根据网络规模,分散放置在各小区的中心,实现对用户的接入认证。运营商只需要在核心放置一台认证服务器,就可以实现“集中的用户信息存储,分散的用户认证”,方便实现用户的管理。
2.每台网络设备都可以充分发挥各自的功能,各自负责一部分的用户认证,不会因为某台设备的单点故障,而导致全网用户无法访问网络。
图2 港湾802.1x实现方案
3.由于802.1x实现了用户认证流和业务流的有效分离,认证系统的负担很轻,而且由于是分散的用户认证,整个网络不存在瓶颈点。
4.由于802.1x协议是一个二层协议,引入802.1x认证并没有增加多少成本,完全是提供合理成本下的“可运营、可管理”的网络解决方案。
5.对于接入级的二层交换机可以不支持基于802.1q的VLAN,这样可以降低该层设备的成本,并免除因VLAN ID的数量不够用和规划方面的诸多不便。
6.FlexHammer可以提供基于64kbps的带宽控制,不同用户可以根据带宽采取不同的收费策略。
扫一扫
1353
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
