802.1x协议的起源和发展
802.1x协议起源于无线局域网(WLAN)的发展和应用,协议推出的主要目的是为了解决无线局域网用户的接入认证问题 。802.1x协议目前开始应用于有线局域网中,通过对用户交换机接入端口的认证控制达到对用户治理的目的 。目前802.1x协议已经正式发布,整个协议为二层协议,将用户报文分为业务报文和认证报文两种 。为了区分这两种报文,专门为认证报文增加了特定的标志(EtherType=0E) 。构成802.1x认证体系的主体有3部分:用户端、支持认证的交换机(包括支持认证报文透传的楼道交换机和执行认证过程的汇聚层交换机)、认证服务器 。
用户在获得二层网络的使用权后,由于802.1x协议没有具体规定如何重新配置用户交换机端口的具体过程,因此,各家网络设备提供商可采用SNMP协议和私有协议两种方式 。考虑到采用SNMP协议在成千上万台的用户交换机上进行配置的效率,厂商大多采用私有协议的方式 。同时为了保证用户二层隔离等基本要求,须在配置端口过程中同时进行端口VLAN分配等用户控制工作 。这些二层配置工作完成后,才开始三层网络的相关工作,如IP地址申请等 。
因此在整个认证体系中,须有客户端软件支持认证的发起和接收过程、楼道交换机支持对认证报文的透传、汇聚交换机支持认证过程和对楼道交换机的配置操作、认证服务器完成对用户的鉴权和认证,最后还要求汇聚层认证交换机与楼道交换机之间具有高效的控制协议 。在单独采用802.1x进行实际运营过程中有一些实际问题须考虑和解决:
1.客户端软件问题目前只有WINXP、WIN2000最新补丁版本支持802.1x协议,假如完全按该协议进行用户认证治理,就要求所有的用户必须进行软件升级,或采用专门开发的客户端软件 。
2.网络现有楼道交换机的问题由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中存在对已经在网上的用户交换机的升级处理问题 。
3.IP地址分配和网络安全问题802.1x协议是一个二层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,须继续解决用户IP地址分配、三层网络安全等问题 。因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可治理以及接入安全性等方面的问题 。
4.计费问题802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求 。
5.发展宽带增值业务问题802.1x只是交换机端口的认证控制协议,全部由二层网络完成,因此无法解决未来宽带网络必须考虑的宽带增值业务的开展问题 。
通过综合的对比和分析,我们可以将802.1x认证协议作为一项用户认证的基础技术,作为对VLAN+WEB认证的必要补充,发展成为802.1x+WEB的认证体系,全面解决单独使用802.1x所面临的问题 。
推荐阅读
- 万兆以太网:要注重保护用户投资
- 成长中的万兆以太网
- 以太网接入问题探讨
- 万兆位以太网及其QoS
- 在以太网上实现IEEE1394通信
- 1000Base-T 以太网的一个里程碑
- 为什么要选择铜线千兆以太网
- 1 光以太网终将一统天下?
- 千兆以太网技术
- 下一代光以太网