柏　鋼　蔡彤軍　王　正

摘要：

文章介紹了IEEE802.1x這一基于以太網(wǎng)端口的用戶訪問控制協(xié)議的內(nèi)容和特點(diǎn)，論述了采用以太網(wǎng)接入時(shí)在以太網(wǎng)交換機(jī)上實(shí)現(xiàn)用戶認(rèn)證的方法，并給出了一個(gè)寬帶城域網(wǎng)應(yīng)用的解決方案。

關(guān)鍵詞：

寬帶城域網(wǎng)；802.1x協(xié)議；認(rèn)證

ABSTRACT:

ContentsandfeaturesoftheIEEE802.1xprotocol,asubscriberaccesscontrol

protocolbasedonEthernetports,areintroduced.Themethodofrealizingsubscriberauth

enticationovertheEthernetexchangeisdiscussedandasolutiontotheapplicationo

fbroadbandMANisalsoprovided.

KEYWORDS:

BroadbandMAN;Protocol802.1x;Authentication

目前中國各地寬帶城域網(wǎng)的建設(shè)正如火如荼地進(jìn)行，各電信運(yùn)營商都在爭奪寬帶城域網(wǎng)這個(gè)未來電信競爭的制高點(diǎn)。從電信運(yùn)營的角度來分析，目前的寬帶城域網(wǎng)與傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域MAN(城域網(wǎng))的概念存在較大的差異。其中最顯著的區(qū)別是，寬帶城域網(wǎng)應(yīng)該是一個(gè)可運(yùn)營、可管理的城域電信網(wǎng)絡(luò)，而不再是簡單的免費(fèi)開放的城域計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)。

可運(yùn)營、可管理的寬帶城域網(wǎng)的基礎(chǔ)就是用戶管理，沒有用戶管理能力的城域網(wǎng)平臺(tái)，其業(yè)務(wù)的推廣前景和贏利能力都值得懷疑。在目前大量采用的FTTx+LAN的建網(wǎng)方式中，采用BAS(寬帶接入服務(wù)器)和PPPoE(基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議)認(rèn)證方法實(shí)現(xiàn)對(duì)用戶的管理是常見的思路(如圖1所示)。

BAS是寬帶接入服務(wù)器，它通常安裝在端局的POP(接入點(diǎn))節(jié)點(diǎn)，負(fù)責(zé)終結(jié)由用戶PC機(jī)發(fā)起的PPPoE進(jìn)程。在BAS的后面，連接了運(yùn)營商的RADIUS(遠(yuǎn)端授權(quán)撥號(hào)上網(wǎng)用戶服務(wù))認(rèn)證服務(wù)器和RADIUS計(jì)費(fèi)服務(wù)器。但是，采用寬帶接入服務(wù)器和PPPoE技術(shù)的用戶管理方式也帶來了如下問題：

(1)由于寬帶接入服務(wù)器要終結(jié)大量的PPP會(huì)話，并轉(zhuǎn)發(fā)IP數(shù)據(jù)包，使寬帶接入服務(wù)器成為網(wǎng)絡(luò)性能的巨大“瓶頸”。

(2)寬帶接入服務(wù)器通常放置在端局的位置，其下是巨大的廣播域，從用戶安全角度考慮，需要通過VLAN(虛擬局域網(wǎng))技術(shù)來實(shí)現(xiàn)用戶的隔離，但是目前的設(shè)備只能支持最大4096個(gè)虛擬局域網(wǎng)，無法支持端局以下巨大的用戶群體(虛擬局域網(wǎng)數(shù)超過4096個(gè))。

(3)PPPoE+LAN的方式實(shí)現(xiàn)用戶隔離，由于PPPoE的點(diǎn)到點(diǎn)特性，使城域網(wǎng)主要的業(yè)務(wù)方向——組播視頻業(yè)務(wù)的開展受到極大地限制。

(4)由于寬帶接入服務(wù)器是在通常數(shù)據(jù)網(wǎng)絡(luò)設(shè)備之外額外增加的設(shè)備，采用BAS和PPPoE方式無形之中增加了城域網(wǎng)建設(shè)的投資。

有鑒于此，考慮采用一種基于以太網(wǎng)端口的用戶訪問控制技術(shù)，可以克服PPPoE方式帶來的諸多問題，同時(shí)完成城域網(wǎng)中LAN接入的用戶管理認(rèn)證功能，避免引入寬帶接入服務(wù)器所帶來的巨大投資。

1基于以太網(wǎng)端口的用戶訪問控制技術(shù)

1.1技術(shù)介紹

基于以太網(wǎng)端口的用戶管理認(rèn)證技術(shù)通過3個(gè)部分的功能實(shí)體來實(shí)現(xiàn)(如圖2所示)。

(1)用戶PC上的客戶端軟件

輸入用戶ID(標(biāo)識(shí))和密碼，實(shí)現(xiàn)認(rèn)證的客戶端主要功能。

(2)靠近用戶側(cè)的以太網(wǎng)交換機(jī)

在普通以太網(wǎng)交換機(jī)上進(jìn)行擴(kuò)展，實(shí)現(xiàn)遠(yuǎn)端授權(quán)撥號(hào)上網(wǎng)用戶服務(wù)認(rèn)證代理功能，并根據(jù)RADIUS服務(wù)器的認(rèn)證結(jié)果，開放用戶連接以太網(wǎng)業(yè)務(wù)端口的訪問權(quán)限。

(3)RADIUS服務(wù)器

進(jìn)行用戶ID和密碼的認(rèn)證，并返回結(jié)果給以太網(wǎng)交換機(jī)。

初始狀態(tài)下，與最終用戶相連的以太網(wǎng)交換機(jī)(放置在樓道的交換機(jī))的所有業(yè)務(wù)端口是關(guān)閉的，只有管理和認(rèn)證的端口是開放的。用戶通過客戶端軟件登錄交換機(jī)，交換機(jī)將用戶提供的ID和密碼傳送到后臺(tái)的RADIUS服務(wù)器(可以在本地，也可以通過廣域網(wǎng)設(shè)備連到遠(yuǎn)地)上，如果用戶ID和密碼認(rèn)證通過，則以太網(wǎng)交換機(jī)相應(yīng)的業(yè)務(wù)端口打開，允許用戶訪問城域網(wǎng)絡(luò)。

通過這種基于L2(二層)以太網(wǎng)交換機(jī)的用戶管理方法，可以使城域網(wǎng)整體的組網(wǎng)變得非常簡單，通過L2以太網(wǎng)交換機(jī)和路由器兩種設(shè)備即基本實(shí)現(xiàn)，可同時(shí)實(shí)現(xiàn)業(yè)務(wù)的集中控制(以RADIUS為核心的業(yè)務(wù)中心控制)和分散實(shí)現(xiàn)(靠近用戶的以太網(wǎng)交換機(jī)實(shí)現(xiàn))，滿足可運(yùn)營、可管理寬帶城域網(wǎng)的用戶管理認(rèn)證要求。

1.2IEEE802.1x協(xié)議

基于端口的網(wǎng)絡(luò)訪問控制技術(shù)，在傳統(tǒng)以太網(wǎng)設(shè)備的基礎(chǔ)上，采用IEEE802.1x協(xié)議提供對(duì)基于以太網(wǎng)端口點(diǎn)到點(diǎn)連接的用戶進(jìn)行認(rèn)證、授權(quán)的能力，從而使以太網(wǎng)設(shè)備可以達(dá)到電信運(yùn)營的要求，尤其在寬帶城域網(wǎng)的建設(shè)中可以發(fā)揮重大的作用。

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

(1)協(xié)議簡介

基于端口的網(wǎng)絡(luò)訪問技術(shù)的基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)(如以太網(wǎng)連接，網(wǎng)絡(luò)層路由，Internet接入等業(yè)務(wù))。

網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實(shí)體)。在訪問控制流程中，端口訪問實(shí)體包含3部分：

●認(rèn)證者——對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；

●請(qǐng)求者——被認(rèn)證的用戶/設(shè)備；

●認(rèn)證服務(wù)器——根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。

以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。對(duì)受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制“受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口，拒絕用戶/設(shè)備的訪問。

(2)以太網(wǎng)端口的受控和非受控接入

圖3示意了受控端口的認(rèn)證狀態(tài)對(duì)訪問的影響。認(rèn)證者1(可能是以太網(wǎng)交換機(jī)的某個(gè)端口)的受控端口處于未授權(quán)狀態(tài)，因此受控端口對(duì)連接在物理端口上的用戶MAC(媒體訪問控制)是關(guān)閉的，用戶的幀無法通過受控端口訪問網(wǎng)絡(luò)資源；認(rèn)證者2(以太網(wǎng)交換機(jī)的另一個(gè)端口)的受控端口已經(jīng)授權(quán)，因此連接的端口是開放的，用戶可以自由訪問網(wǎng)絡(luò)資源。

(3)受控和非受控端口在用戶認(rèn)證中的應(yīng)用

圖4示意了受控和非受控端口在認(rèn)證過程中的應(yīng)用。用戶對(duì)網(wǎng)絡(luò)資源的正常訪問都是在認(rèn)證、授權(quán)以后，通過受控端口進(jìn)行的；而非受控的端口用于認(rèn)證之前，傳遞認(rèn)證所需的各種信息。認(rèn)證者PAE根據(jù)認(rèn)證過程的結(jié)果，改變受控端口的授權(quán)狀態(tài)，從而實(shí)現(xiàn)對(duì)用戶訪問網(wǎng)絡(luò)資源的限制。

(4)用戶以太網(wǎng)端口認(rèn)證流程

用戶、以太網(wǎng)端口和認(rèn)證服務(wù)器之間認(rèn)證者(以太網(wǎng)端口)的受控端口處于未授權(quán)狀態(tài)，用戶/設(shè)備是無法享用認(rèn)證者(以太網(wǎng)端口)提供的網(wǎng)絡(luò)接入業(yè)務(wù)的。認(rèn)證者PAE利用非受控的端口，通過EAPoL協(xié)議與請(qǐng)求者PAE進(jìn)行認(rèn)證信息交互，并采用EAP協(xié)議與認(rèn)證服務(wù)器進(jìn)行通信。認(rèn)證者PAE根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果，開放或關(guān)閉受控端口的授權(quán)，從而控制最終用戶對(duì)網(wǎng)絡(luò)的訪問。

認(rèn)證者PAE的作用相當(dāng)于認(rèn)證服務(wù)器的代理。它可以與認(rèn)證服務(wù)器位于同一物理設(shè)備，也可以通過LAN、WAN與認(rèn)證服務(wù)器進(jìn)行本地和遠(yuǎn)程認(rèn)證。

(5)IEEE802.1x的主要內(nèi)容

端口訪問控制的應(yīng)用前提是在用戶(請(qǐng)求者)和認(rèn)證者(以太網(wǎng)端口)之間提供一條點(diǎn)到點(diǎn)的連接，這樣使認(rèn)證以端口的形式進(jìn)行。

基于端口的網(wǎng)絡(luò)訪問控制定義了3方面內(nèi)容：

●規(guī)定了請(qǐng)求者與認(rèn)證者之間的認(rèn)證信息通信協(xié)議；

●認(rèn)證者與認(rèn)證服務(wù)器之間的通信協(xié)議；

●根據(jù)協(xié)議交換的結(jié)果，控制認(rèn)證者端口狀態(tài)的機(jī)制。

由于以太網(wǎng)設(shè)備(認(rèn)證者)只是RADIUS的認(rèn)證代理，負(fù)責(zé)傳遞認(rèn)證信息，并根據(jù)認(rèn)證服務(wù)器給出的結(jié)果進(jìn)行操作，并不參與其實(shí)際的認(rèn)證。因此，以太網(wǎng)認(rèn)證可采用多種靈活的機(jī)制(包括：SmartCard、Kerberos、PublicKeyEncryption、OneTimePassword等)。

(6)802.1x協(xié)議的特點(diǎn)

基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：

●借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議)；

●可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；

●可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；

●可以使交換端口和無線LAN具有安全的認(rèn)證接入功能；

●微軟的WindowsXP將支持802.1x用戶認(rèn)證方式。

2在寬帶城域網(wǎng)中的應(yīng)用

在目前寬帶城域網(wǎng)的建設(shè)中，采用LAN接入是非常重要的方式。但是，來自于傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的以太網(wǎng)本身是基于開放的網(wǎng)絡(luò)系統(tǒng)，不能滿足電信級(jí)寬帶城域網(wǎng)對(duì)用戶管理功能的要求，目前大量采用的寬帶接入服務(wù)器和PPPoE方式還存在一些問題。而基于端口訪問控制的技術(shù)可以實(shí)現(xiàn)用戶設(shè)備在城域網(wǎng)邊緣的分散用戶控制和集中的認(rèn)證管理；可以替代寬帶接入服務(wù)器實(shí)現(xiàn)城域網(wǎng)范圍內(nèi)的用戶管理功能。圖5展示了采用基于以太網(wǎng)端口認(rèn)證技術(shù)后的寬帶接入網(wǎng)絡(luò)結(jié)構(gòu)。圖5中采取的解決方案是中興通訊提供的完整的基于以太網(wǎng)端口用戶認(rèn)證的寬帶城域網(wǎng)LAN接入解決方案。圖中ZXB10-S300為中興通訊支持802.1x的以太網(wǎng)交換機(jī)設(shè)備，ZXR10-T32為中興通訊的邊緣路由器設(shè)備。

表1為采用以太網(wǎng)端口認(rèn)證和采用寬帶接入服務(wù)器+PPPoE方式兩種解決方案的比較。從表中可以看出采用基于以太網(wǎng)端口用戶管理的寬帶接入解決方案在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)性能、認(rèn)證機(jī)制、計(jì)費(fèi)方式等方面有其優(yōu)勢。

3結(jié)束語

基于以太網(wǎng)端口的用戶認(rèn)證管理技術(shù)通過簡單的設(shè)備實(shí)現(xiàn)了可管理、可運(yùn)營的寬帶城域網(wǎng)所要求的用戶管理功能，同時(shí)避免了目前所采用的用戶管理認(rèn)證方式帶來的諸多問題，消除了寬帶接入服務(wù)器設(shè)備帶來的巨大性能“瓶頸”，節(jié)省了購置寬帶接入服務(wù)設(shè)備所需的巨大投資，在城域網(wǎng)的建設(shè)中具有廣闊的前景。

參考文獻(xiàn)

1李勇.寬帶城域網(wǎng)實(shí)用手冊(cè).北京:北京郵電大學(xué)出版社,2001

(收稿日期：2001-08-27)

作者簡介

柏鋼，東南大學(xué)畢業(yè)，博士?，F(xiàn)工作于深圳市中興通訊股份有限公司南京研究所，從事數(shù)據(jù)產(chǎn)品的系統(tǒng)設(shè)計(jì)工作。

蔡彤軍，中南民族學(xué)院畢業(yè)?，F(xiàn)工作于深圳市中興通訊股份有限公司南京研究所，從事路由器產(chǎn)品的系統(tǒng)設(shè)計(jì)工作。

王正，東南大學(xué)畢業(yè)?，F(xiàn)工作于深圳市中興通訊股份有限公司南京研究所，從事數(shù)據(jù)產(chǎn)品的規(guī)劃設(shè)計(jì)工作。