802.1X协议.doc

11 第一章 802 . 1X 协议简介近来,随着 协议的标准化,一些 L2/L3 厂家开始推广 认证,又称 EAPOE 认证。这种认证技术能否广泛应用于宽带 IP城域网,是许多同行普遍关注的问题。本文从 认证技术的起源、适用场合和局限性等方面对该项技术进行全面和客观的探讨。一、 认证技术的起源 协议起源于 协议,后者是标准的无线局域网协议, 协议的主要目的是为了解决无线局域网用户的接入认证问题。有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。但是,由于无线局域网的网络空间具有开放性和终端可移动性, 因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题, 正是基于这一需求而出现的一种认证技术。也就是说,对于有线局域网,该项认证没有存在的意义。由此可以看出, 协议并不是为宽带 IP城域网量身定做的认证技术,将其应用于宽带 IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与 PPPOE 认证、 VLAN + WEB 认证进行比较,并分析其在宽带 IP 城域网中的应用。一、 认证技术的特点 协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的 IP地址协商和分配问题,是各种认证技术中最简化的实现方案。 认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法) 通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果 认证技术用于宽带 IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。接入认证通过之后, IP数据包在二层普通 MAC 帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。表1和表 2分别罗列出 协议与 PPPOE 、 VLAN + WEB 的性能比较。表1: 与 PPPOE 认证的技术比较表2: 与 VLAN + WEB 认证的技术比较三、宽带 IP 城域网中的认证技术分析宽带 IP城域网建设越来越强调网络的可运营性和可管理性,具体包括:对用户的认证、计费, IP地址分配、全方位安全机制,对业务的支持能力和运营能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲,认证功能包括:识别和鉴权,对用户的准确有效识别,对用户权限的下发、确认和控制,这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。因此,宽带 IP城域网中认证技术的采用必须遵循网络的可运营、可管理要求。实践证明, PPPOE 认证技术、 VLAN + WEB 认证技术均可很好地