柏　鋼　蔡彤軍　王　正

摘要：

文章介紹了IEEE802.1x這一基于以太網(wǎng)端口的用戶訪問控制協(xié)議的內(nèi)容和特點，論述了采用以太網(wǎng)接入時在以太網(wǎng)交換機上實現(xiàn)用戶認(rèn)證的方法，并給出了一個寬帶城域網(wǎng)應(yīng)用的解決方案。

關(guān)鍵詞：

寬帶城域網(wǎng)；802.1x協(xié)議；認(rèn)證

ABSTRACT:

ContentsandfeaturesoftheIEEE802.1xprotocol,asubscriberaccesscontrol

protocolbasedonEthernetports,areintroduced.Themethodofrealizingsubscriberauth

enticationovertheEthernetexchangeisdiscussedandasolutiontotheapplicationo

fbroadbandMANisalsoprovided.

KEYWORDS:

BroadbandMAN;Protocol802.1x;Authentication

目前中國各地寬帶城域網(wǎng)的建設(shè)正如火如荼地進(jìn)行，各電信運營商都在爭奪寬帶城域網(wǎng)這個未來電信競爭的制高點。從電信運營的角度來分析，目前的寬帶城域網(wǎng)與傳統(tǒng)的計算機網(wǎng)絡(luò)領(lǐng)域MAN(城域網(wǎng))的概念存在較大的差異。其中最顯著的區(qū)別是，寬帶城域網(wǎng)應(yīng)該是一個可運營、可管理的城域電信網(wǎng)絡(luò)，而不再是簡單的免費開放的城域計算機網(wǎng)絡(luò)平臺。

可運營、可管理的寬帶城域網(wǎng)的基礎(chǔ)就是用戶管理，沒有用戶管理能力的城域網(wǎng)平臺，其業(yè)務(wù)的推廣前景和贏利能力都值得懷疑。在目前大量采用的FTTx+LAN的建網(wǎng)方式中，采用BAS(寬帶接入服務(wù)器)和PPPoE(基于以太網(wǎng)的點到點協(xié)議)認(rèn)證方法實現(xiàn)對用戶的管理是常見的思路(如圖1所示)。

BAS是寬帶接入服務(wù)器，它通常安裝在端局的POP(接入點)節(jié)點，負(fù)責(zé)終結(jié)由用戶PC機發(fā)起的PPPoE進(jìn)程。在BAS的后面，連接了運營商的RADIUS(遠(yuǎn)端授權(quán)撥號上網(wǎng)用戶服務(wù))認(rèn)證服務(wù)器和RADIUS計費服務(wù)器。但是，采用寬帶接入服務(wù)器和PPPoE技術(shù)的用戶管理方式也帶來了如下問題：

(1)由于寬帶接入服務(wù)器要終結(jié)大量的PPP會話，并轉(zhuǎn)發(fā)IP數(shù)據(jù)包，使寬帶接入服務(wù)器成為網(wǎng)絡(luò)性能的巨大“瓶頸”。

(2)寬帶接入服務(wù)器通常放置在端局的位置，其下是巨大的廣播域，從用戶安全角度考慮，需要通過VLAN(虛擬局域網(wǎng))技術(shù)來實現(xiàn)用戶的隔離，但是目前的設(shè)備只能支持最大4096個虛擬局域網(wǎng)，無法支持端局以下巨大的用戶群體(虛擬局域網(wǎng)數(shù)超過4096個)。

(3)PPPoE+LAN的方式實現(xiàn)用戶隔離，由于PPPoE的點到點特性，使城域網(wǎng)主要的業(yè)務(wù)方向——組播視頻業(yè)務(wù)的開展受到極大地限制。

(4)由于寬帶接入服務(wù)器是在通常數(shù)據(jù)網(wǎng)絡(luò)設(shè)備之外額外增加的設(shè)備，采用BAS和PPPoE方式無形之中增加了城域網(wǎng)建設(shè)的投資。

有鑒于此，考慮采用一種基于以太網(wǎng)端口的用戶訪問控制技術(shù)，可以克服PPPoE方式帶來的諸多問題，同時完成城域網(wǎng)中LAN接入的用戶管理認(rèn)證功能，避免引入寬帶接入服務(wù)器所帶來的巨大投資。

1基于以太網(wǎng)端口的用戶訪問控制技術(shù)

1.1技術(shù)介紹

基于以太網(wǎng)端口的用戶管理認(rèn)證技術(shù)通過3個部分的功能實體來實現(xiàn)(如圖2所示)。

(1)用戶PC上的客戶端軟件

輸入用戶ID(標(biāo)識)和密碼，實現(xiàn)認(rèn)證的客戶端主要功能。

(2)靠近用戶側(cè)的以太網(wǎng)交換機

在普通以太網(wǎng)交換機上進(jìn)行擴展，實現(xiàn)遠(yuǎn)端授權(quán)撥號上網(wǎng)用戶服務(wù)認(rèn)證代理功能，并根據(jù)RADIUS服務(wù)器的認(rèn)證結(jié)果，開放用戶連接以太網(wǎng)業(yè)務(wù)端口的訪問權(quán)限。

(3)RADIUS服務(wù)器

進(jìn)行用戶ID和密碼的認(rèn)證，并返回結(jié)果給以太網(wǎng)交換機。

初始狀態(tài)下，與最終用戶相連的以太網(wǎng)交換機(放置在樓道的交換機)的所有業(yè)務(wù)端口是關(guān)閉的，只有管理和認(rèn)證的端口是開放的。用戶通過客戶端軟件登錄交換機，交換機將用戶提供的ID和密碼傳送到后臺的RADIUS服務(wù)器(可以在本地，也可以通過廣域網(wǎng)設(shè)備連到遠(yuǎn)地)上，如果用戶ID和密碼認(rèn)證通過，則以太網(wǎng)交換機相應(yīng)的業(yè)務(wù)端口打開，允許用戶訪問城域網(wǎng)絡(luò)。

通過這種基于L2(二層)以太網(wǎng)交換機的用戶管理方法，可以使城域網(wǎng)整體的組網(wǎng)變得非常簡單，通過L2以太網(wǎng)交換機和路由器兩種設(shè)備即基本實現(xiàn)，可同時實現(xiàn)業(yè)務(wù)的集中控制(以RADIUS為核心的業(yè)務(wù)中心控制)和分散實現(xiàn)(靠近用戶的以太網(wǎng)交換機實現(xiàn))，滿足可運營、可管理寬帶城域網(wǎng)的用戶管理認(rèn)證要求。

1.2IEEE802.1x協(xié)議

基于端口的網(wǎng)絡(luò)訪問控制技術(shù)，在傳統(tǒng)以太網(wǎng)設(shè)備的基礎(chǔ)上，采用IEEE802.1x協(xié)議提供對基于以太網(wǎng)端口點到點連接的用戶進(jìn)行認(rèn)證、授權(quán)的能力，從而使以太網(wǎng)設(shè)備可以達(dá)到電信運營的要求，尤其在寬帶城域網(wǎng)的建設(shè)中可以發(fā)揮重大的作用。

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

(1)協(xié)議簡介

基于端口的網(wǎng)絡(luò)訪問技術(shù)的基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)(如以太網(wǎng)連接，網(wǎng)絡(luò)層路由，Internet接入等業(yè)務(wù))。

網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包含3部分：

●認(rèn)證者——對接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；

●請求者——被認(rèn)證的用戶/設(shè)備；

●認(rèn)證服務(wù)器——根據(jù)認(rèn)證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實際認(rèn)證功能的設(shè)備。

以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制“受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口，拒絕用戶/設(shè)備的訪問。

(2)以太網(wǎng)端口的受控和非受控接入

圖3示意了受控端口的認(rèn)證狀態(tài)對訪問的影響。認(rèn)證者1(可能是以太網(wǎng)交換機的某個端口)的受控端口處于未授權(quán)狀態(tài)，因此受控端口對連接在物理端口上的用戶MAC(媒體訪問控制)是關(guān)閉的，用戶的幀無法通過受控端口訪問網(wǎng)絡(luò)資源；認(rèn)證者2(以太網(wǎng)交換機的另一個端口)的受控端口已經(jīng)授權(quán)，因此連接的端口是開放的，用戶可以自由訪問網(wǎng)絡(luò)資源。

(3)受控和非受控端口在用戶認(rèn)證中的應(yīng)用

圖4示意了受控和非受控端口在認(rèn)證過程中的應(yīng)用。用戶對網(wǎng)絡(luò)資源的正常訪問都是在認(rèn)證、授權(quán)以后，通過受控端口進(jìn)行的；而非受控的端口用于認(rèn)證之前，傳遞認(rèn)證所需的各種信息。認(rèn)證者PAE根據(jù)認(rèn)證過程的結(jié)果，改變受控端口的授權(quán)狀態(tài)，從而實現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。

(4)用戶以太網(wǎng)端口認(rèn)證流程

用戶、以太網(wǎng)端口和認(rèn)證服務(wù)器之間認(rèn)證者(以太網(wǎng)端口)的受控端口處于未授權(quán)狀態(tài)，用戶/設(shè)備是無法享用認(rèn)證者(以太網(wǎng)端口)提供的網(wǎng)絡(luò)接入業(yè)務(wù)的。認(rèn)證者PAE利用非受控的端口，通過EAPoL協(xié)議與請求者PAE進(jìn)行認(rèn)證信息交互，并采用EAP協(xié)議與認(rèn)證服務(wù)器進(jìn)行通信。認(rèn)證者PAE根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果，開放或關(guān)閉受控端口的授權(quán)，從而控制最終用戶對網(wǎng)絡(luò)的訪問。

認(rèn)證者PAE的作用相當(dāng)于認(rèn)證服務(wù)器的代理。它可以與認(rèn)證服務(wù)器位于同一物理設(shè)備，也可以通過LAN、WAN與認(rèn)證服務(wù)器進(jìn)行本地和遠(yuǎn)程認(rèn)證。

(5)IEEE802.1x的主要內(nèi)容

端口訪問控制的應(yīng)用前提是在用戶(請求者)和認(rèn)證者(以太網(wǎng)端口)之間提供一條點到點的連接，這樣使認(rèn)證以端口的形式進(jìn)行。

基于端口的網(wǎng)絡(luò)訪問控制定義了3方面內(nèi)容：

●規(guī)定了請求者與認(rèn)證者之間的認(rèn)證信息通信協(xié)議；

●認(rèn)證者與認(rèn)證服務(wù)器之間的通信協(xié)議；

●根據(jù)協(xié)議交換的結(jié)果，控制認(rèn)證者端口狀態(tài)的機制。

由于以太網(wǎng)設(shè)備(認(rèn)證者)只是RADIUS的認(rèn)證代理，負(fù)責(zé)傳遞認(rèn)證信息，并根據(jù)認(rèn)證服務(wù)器給出的結(jié)果進(jìn)行操作，并不參與其實際的認(rèn)證。因此，以太網(wǎng)認(rèn)證可采用多種靈活的機制(包括：SmartCard、Kerberos、PublicKeyEncryption、OneTimePassword等)。

(6)802.1x協(xié)議的特點

基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點：

●借用了在RAS系統(tǒng)中常用的EAP(擴展認(rèn)證協(xié)議)；

●可以使用現(xiàn)有的后臺認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；

●可以映射不同的用戶認(rèn)證等級到不同的VLAN；

●可以使交換端口和無線LAN具有安全的認(rèn)證接入功能；

●微軟的WindowsXP將支持802.1x用戶認(rèn)證方式。

2在寬帶城域網(wǎng)中的應(yīng)用

在目前寬帶城域網(wǎng)的建設(shè)中，采用LAN接入是非常重要的方式。但是，來自于傳統(tǒng)計算機網(wǎng)絡(luò)的以太網(wǎng)本身是基于開放的網(wǎng)絡(luò)系統(tǒng)，不能滿足電信級寬帶城域網(wǎng)對用戶管理功能的要求，目前大量采用的寬帶接入服務(wù)器和PPPoE方式還存在一些問題。而基于端口訪問控制的技術(shù)可以實現(xiàn)用戶設(shè)備在城域網(wǎng)邊緣的分散用戶控制和集中的認(rèn)證管理；可以替代寬帶接入服務(wù)器實現(xiàn)城域網(wǎng)范圍內(nèi)的用戶管理功能。圖5展示了采用基于以太網(wǎng)端口認(rèn)證技術(shù)后的寬帶接入網(wǎng)絡(luò)結(jié)構(gòu)。圖5中采取的解決方案是中興通訊提供的完整的基于以太網(wǎng)端口用戶認(rèn)證的寬帶城域網(wǎng)LAN接入解決方案。圖中ZXB10-S300為中興通訊支持802.1x的以太網(wǎng)交換機設(shè)備，ZXR10-T32為中興通訊的邊緣路由器設(shè)備。

表1為采用以太網(wǎng)端口認(rèn)證和采用寬帶接入服務(wù)器+PPPoE方式兩種解決方案的比較。從表中可以看出采用基于以太網(wǎng)端口用戶管理的寬帶接入解決方案在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)性能、認(rèn)證機制、計費方式等方面有其優(yōu)勢。

3結(jié)束語

基于以太網(wǎng)端口的用戶認(rèn)證管理技術(shù)通過簡單的設(shè)備實現(xiàn)了可管理、可運營的寬帶城域網(wǎng)所要求的用戶管理功能，同時避免了目前所采用的用戶管理認(rèn)證方式帶來的諸多問題，消除了寬帶接入服務(wù)器設(shè)備帶來的巨大性能“瓶頸”，節(jié)省了購置寬帶接入服務(wù)設(shè)備所需的巨大投資，在城域網(wǎng)的建設(shè)中具有廣闊的前景。

參考文獻(xiàn)

1李勇.寬帶城域網(wǎng)實用手冊.北京:北京郵電大學(xué)出版社,2001

(收稿日期：2001-08-27)

作者簡介

柏鋼，東南大學(xué)畢業(yè)，博士。現(xiàn)工作于深圳市中興通訊股份有限公司南京研究所，從事數(shù)據(jù)產(chǎn)品的系統(tǒng)設(shè)計工作。

蔡彤軍，中南民族學(xué)院畢業(yè)。現(xiàn)工作于深圳市中興通訊股份有限公司南京研究所，從事路由器產(chǎn)品的系統(tǒng)設(shè)計工作。

王正，東南大學(xué)畢業(yè)?，F(xiàn)工作于深圳市中興通訊股份有限公司南京研究所，從事數(shù)據(jù)產(chǎn)品的規(guī)劃設(shè)計工作。