802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议 。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的 。802.1x认证,又称EAPOE认证,主要用于宽带IP城域网 。。
一、802.1x认证技术的起源
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题 。
有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间 。但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是基于这一需求而出现的一种认证技术 。也就是说,对于有线局域网,该项认证没有存在的意义 。
由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将具体说明该认证技术的特点,并与PPPOE认证、VLAN+WEB认证进行比较,并分析其在宽带IP城域网中的应用 。
二、802.1x认证技术的特点
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态 。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案 。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络 。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,假如802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题 。
接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查 。
表1和表2分别罗列出802.1x协议与PPPOE、VLAN+WEB的性能比较 。
表1:802.1x与PPPOE认证的技术比较
表2:802.1x与VLAN+WEB认证的技术比较
三、宽带IP城域网中的认证技术分析
宽带IP城域网建设越来越强调网络的可运营性和可治理性,具体包括:对用户的认证、计费,IP地址分配、全方位安全机制,对业务的支持能力和运营能力等方面 。其中用户认证技术是可运营、可治理网络的要害 。从严格意义上讲,认证功能包括:识别和鉴权,对用户的准确有效识别,对用户权限的下发、确认和控制,这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础 。因此,宽带IP城域网中认证技术的采用必须遵循网络的可运营、可治理要求 。
实践证实,PPPOE认证技术、VLAN+WEB认证技术均可很好地支撑宽带网络的计费、安全、运营和治理要求 。对于802.1x认证技术,根据其定位和特点,在宽带城域网中实现用户认证远远达不到可运营、可治理要求,加之应用又少,为了完备用户的认证、治理功能,还需要进行大量协议之外的工作,目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式,将802.1x技术附着在L2/L3产品上,使L2/L3产品具备BAS用户认证和治理功能 。如上所述,这种认证方式仅仅能够基于端口的认证,而且不是全程认证,与其它BAS功能(计费、安全机制、多业务支持)难以融合,因而不能称为电信级认证解决方案 。
推荐阅读
- TCP/IP协议处理 由“软”转“硬”
- 在Vovida的基础上实现自己的SIP协议栈①
- TCP/IP协议中的三个参数
- 802.1x协议工作机制
- QoS 的协议与结构
- 剖析TCP和UDP协议
- TCP协议的拥塞控制策略及改进
- 802.17和城域环网协议
- 轻松学习SNMP协议之入门篇
- PPP协议涉及到的几个典型压缩技术