(7)当认证设备检测到用户的上网流量 , 就会向认证服务器发送计费信息 , 开始对用户计费 。
(8)假如用户退出网络 , 可以通过客户端软件发起退出过程 , 认证设备检测到该数据包后 , 会通知AAA服务器停止计费 , 并删除用户的相关信息(如物理地址和IP地址) , 受控逻辑端口关闭;用户进入再认证状态 。
(9)验证设备通过定期的检测保证链路的激活 。假如用户异常死机 , 则验证设备在发起多次检测后 , 自动认为用户已经下线 , 于是向认证服务器发送终止计费的信息 。
2 几种认证方式比较
目前 , 在接入网中的认证方式除802.1x之外 , 还有PPPoE和Web+DHCP两种方式 , 在此把这几种认证方式做一比较 。
PPPoE的本质就是在以太网上跑PPP协议 。由于PPP协议认证过程的第一阶段是发现阶段 , 广播只能在二层网络 , 才能发现宽带接入服务器 。因此 , 也就决定了在用户主机和服务器之间 , 不能有路由器或三层交换机 。另外 , 由于PPPoE点对点的本质 , 在用户主机和服务器之间 , 限制了组播协议存在 。这样 , 将会在一定程度上 , 影响视频业务的开展 。除此之外 , PPP协议需要再次封装到以太网中 , 所以效率很低 。
Web+DHCP采用旁路方式网络架构时 , 不能对用户进行类似带宽治理 。另外 , DHCP是动态分配IP地址 , 但其本身的成熟度加上设备对这种方式支持力度还较小 , 故在防止用户盗用IP地址等方面 , 还需要额外的手段来控制 。除此之外 , 用户连接性差 , 易用性不够好 。
802.1x协议为二层协议 , 不需要到达三层 , 而且接入交换机无须支持802.1q的VLAN , 对设备的整体性能要求不高 , 可以有效降低建网成本 。业务报文直接承载在正常的二层报文上;用户通过认证后 , 业务流和认证流实现分离 , 对后续的数据包处理没有非凡要求 。在认证过程中 , 802.1x不用封装帧到以太网中 , 效率相对较高 。
3 802.1x协议在宽带接入中的应用
以小区宽带接入为例 , 探讨802.1x协议在宽带接入中的应用 。
小区宽带接入中应用802.1x协议并不复杂 , 接入所用交换机要支持802.1x协议 , 并需RadiusServer和DHCP服务器存在 , 以完成认证功能 。对于用户数量较少的小区 , 只需在整个小区出口处安装一台支持802.1x交换机;对于用户数量较多的小区 , 则可以在每个楼栋放置一台支持802.1x交换机 , 每台交换机都接入汇聚中心即可 。
图4是一个基于802.1 x协议的小区宽带接入网络拓扑图 。这种方案和普通交换机接入方案在性能上是完全等效的 , 但是在安全性方面有普通方案无可比拟的优点 。用户在接入宽带网过程中 , 用户与交换机的认证步骤与802.1x协议认证步骤一样 。
需要指出的是 , 用户发出认证报文 , 是使用特定的组播MAC地址 , 设备发送用户的报文使用单播MAC地址 , 解决了认证报文的广播的问题 , 其他用户不能侦听到认证过程 , 从而无法知道用户的密码、账号 , 无法知道用户的MAC地址 。
认证通过后的MAC地址与端口进行绑定 。在通信过程中 , 可以保证用户使用网络的路径是唯一的 。这样 , 通过认证的用户的数据包就不会泄露 , 保证了用户数据的安全性 。
4 结束语
本文简要分析了802.1x协议及其工作原理 , 设计了一个基于802.1x的小区宽带接入系统的方案 , 该方案在充分发挥交换式以太网接入优点的前提下 , 可以有效地解决网络认证、安全问题 。考虑接入网络安全性的需要 , 可以肯定 , 作为宽带网接入的安全解决方案 , 802.1x必将是未来的发展主流 。
推荐阅读
- 软交换协议比较和发展趋势
- SIP SAP及SDP协议组合应用的研究
- 三 用协议分析工具学习TCP/IP
- 新版CCNA中文笔记连载-协议
- 二 用协议分析工具学习TCP/IP
- 一 用协议分析工具学习TCP/IP
- PPP协议链路操作的软件实现
- 通用多协议标记交换工作原理
- 多协议标志交换基本原理
- TCP/IP协议原理