基于以太网端口的用户访问控制技术
发布时间:2003-11-26
作者:柏钢 / 蔡彤军 / 王正 Bo Gang / Cai Tongjun / Wang Zheng
阅读量:
目前中国各地宽带城域网的建设正如火如荼地进行,各电信运营商都在争夺宽带城域网这个未来电信竞争的制高点。从电信运营的角度来分析,目前的宽带城域网与传统的计算机网络领域MAN(城域网)的概念存在较大的差异。其中最显著的区别是,宽带城域网应该是一个可运营、可管理的城域电信网络,而不再是简单的免费开放的城域计算机网络平台。
可运营、可管理的宽带城域网的基础就是用户管理,没有用户管理能力的城域网平台,其业务的推广前景和赢利能力都值得怀疑。在目前大量采用的FTTx+LAN的建网方式中,采用BAS(宽带接入服务器)和PPPoE(基于以太网的点到点协议)认证方法实现对用户的管理是常见的思路(如图1所示)。
图1 PPPoE方式用户管理模式图
BAS是宽带接入服务器,它通常安装在端局的POP(接入点)节点,负责终结由用户PC机发起的PPPoE进程。在BAS的后面,连接了运营商的RADIUS(远端授权拨号上网用户服务)认证服务器和RADIUS计费服务器。但是,采用宽带接入服务器和PPPoE技术的用户管理方式也带来了如下问题:
(1)由于宽带接入服务器要终结大量的PPP会话,并转发IP数据包,使宽带接入服务器成为网络性能的巨大“瓶颈”。
(2)宽带接入服务器通常放置在端局的位置,其下是巨大的广播域,从用户安全角度考虑,需要通过VLAN(虚拟局域网)技术来实现用户的隔离,但是目前的设备只能支持最大4 096个虚拟局域网,无法支持端局以下巨大的用户群体(虚拟局域网数超过4 096个)。
(3) PPPoE+LAN的方式实现用户隔离,由于PPPoE的点到点特性,使城域网主要的业务方向??组播视频业务的开展受到极大地限制。
(4)由于宽带接入服务器是在通常数据网络设备之外额外增加的设备,采用BAS和PPPoE方式无形之中增加了城域网建设的投资。
有鉴于此,考虑采用一种基于以太网端口的用户访问控制技术,可以克服PPPoE方式带来的诸多问题,同时完成城域网中LAN接入的用户管理认证功能,避免引入宽带接入服务器所带来的巨大投资。
1 基于以太网端口的用户访问控制技术
1.1 技术介绍
基于以太网端口的用户管理认证技术通过3个部分的功能实体来实现(如图2所示)。
图2 以太网端口用户管理认证的模式
(1) 用户PC上的客户端软件
输入用户ID(标识)和密码,实现认证的客户端主要功能。
(2) 靠近用户侧的以太网交换机
在普通以太网交换机上进行扩展,实现远端授权拨号上网用户服务认证代理功能,并根据RADIUS服务器的认证结果,开放用户连接以太网业务端口的访问权限。
(3) RADIUS服务器
进行用户ID和密码的认证,并返回结果给以太网交换机。
初始状态下,与最终用户相连的以太网交换机(放置在楼道的交换机)的所有业务端口是关闭的,只有管理和认证的端口是开放的。用户通过客户端软件登录交换机,交换机将用户提供的ID和密码传送到后台的RADIUS服务器(可以在本地,也可以通过广域网设备连到远地)上,如果用户ID和密码认证通过,则以太网交换机相应的业务端口打开,允许用户访问城域网络。
通过这种基于L2(二层)以太网交换机的用户管理方法,可以使城域网整体的组网变得非常简单,通过L2以太网交换机和路由器两种设备即基本实现,可同时实现业务的集中控制(以RADIUS为核心的业务中心控制)和分散实现(靠近用户的以太网交换机实现),满足可运营、可管理宽带城域网的用户管理认证要求。
1.2 IEEE 802.1x协议
基于端口的网络访问控制技术,在传统以太网设备的基础上,采用IEEE 802.1x协议提供对基于以太网端口点到点连接的用户进行认证、授权的能力,从而使以太网设备可以达到电信运营的要求,尤其在宽带城域网的建设中可以发挥重大的作用。
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
(1) 协议简介
基于端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等业务)。
网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:
- 认证者??对接入的用户/设备进行认证的端口;
- 请求者??被认证的用户/设备;
- 认证服务器??根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口,拒绝用户/设备的访问。
(2)以太网端口的受控和非受控接入
图3示意了受控端口的认证状态对访问的影响。认证者1(可能是以太网交换机的某个端口)的受控端口处于未授权状态,因此受控端口对连接在物理端口上的用户MAC(媒体访问控制)是关闭的,用户的帧无法通过受控端口访问网络资源;认证者2(以太网交换机的另一个端口)的受控端口已经授权,因此连接的端口是开放的,用户可以自由访问网络资源。
图3 受控端口的认证状态对网络访问的影响
(3)受控和非受控端口在用户认证中的应用
图4示意了受控和非受控端口在认证过程中的应用。用户对网络资源的正常访问都是在认证、授权以后,通过受控端口进行的;而非受控的端口用于认证之前,传递认证所需的各种信息。认证者PAE根据认证过程的结果,改变受控端口的授权状态,从而实现对用户访问网络资源的限制。
图4 受控和非受控端口在认证中的应用
(4) 用户以太网端口认证流程
用户、以太网端口和认证服务器之间认证者(以太网端口)的受控端口处于未授权状态,用户/设备是无法享用认证者(以太网端口)提供的网络接入业务的。认证者PAE利用非受控的端口,通过EAPoL协议与请求者PAE进行认证信息交互,并采用EAP协议与认证服务器进行通信。认证者PAE根据认证服务器返回的认证结果,开放或关闭受控端口的授权,从而控制最终用户对网络的访问。
认证者PAE的作用相当于认证服务器的代理。它可以与认证服务器位于同一物理设备,也可以通过LAN、WAN与认证服务器进行本地和远程认证。
(5) IEEE 802.1x的主要内容
端口访问控制的应用前提是在用户(请求者)和认证者(以太网端口)之间提供一条点到点的连接,这样使认证以端口的形式进行。
基于端口的网络访问控制定义了3方面内容:
- 规定了请求者与认证者之间的认证信息通信协议;
- 认证者与认证服务器之间的通信协议;
- 根据协议交换的结果,控制认证者端口状态的机制。
由于以太网设备(认证者)只是RADIUS的认证代理,负责传递认证信息,并根据认证服务器给出的结果进行操作,并不参与其实际的认证。因此,以太网认证可采用多种灵活的机制(包括:Smart Card、 Kerberos、 Public Key Encryption、 One Time Password等)。
(6) 802.1x协议的特点
基于以太网端口认证的802.1x协议有如下特点:
- 借用了在RAS系统中常用的EAP(扩展认证协议);
- 可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;
- 可以映射不同的用户认证等级到不同的VLAN;
- 可以使交换端口和无线LAN具有安全的认证接入功能;
- 微软的Windows XP将支持802.1x用户认证方式。
2 在宽带城域网中的应用
在目前宽带城域网的建设中,采用LAN接入是非常重要的方式。但是,来自于传统计算机网络的以太网本身是基于开放的网络系统,不能满足电信级宽带城域网对用户管理功能的要求,目前大量采用的宽带接入服务器和PPPoE方式还存在一些问题。而基于端口访问控制的技术可以实现用户设备在城域网边缘的分散用户控制和集中的认证管理;可以替代宽带接入服务器实现城域网范围内的用户管理功能。图5展示了采用基于以太网端口认证技术后的宽带接入网络结构。图5中采取的解决方案是中兴通讯提供的完整的基于以太网端口用户认证的宽带城域网LAN接入解决方案。图中ZXB10-S300为中兴通讯支持802.1x的以太网交换机设备,ZXR10-T32为中兴通讯的边缘路由器设备。
图5 基于以太网端口用户管理的宽带接入解决方案
表1为采用以太网端口认证和采用宽带接入服务器+PPPoE方式两种解决方案的比较。从表中可以看出采用基于以太网端口用户管理的宽带接入解决方案在网络结构、网络性能、认证机制、计费方式等方面有其优势。
表1 良好总解决方案的比较
|
中兴通讯基于以太网端口认证的解决方案 |
宽带接入服务器+PPoE的解决方案 |
网络结构 |
路由器/L3交换机+L2交换机组网,网络结构简单 |
宽带接入服务器+L2交换机,宽带接入服务器以下不能采用L3设备,若采用VLAN隔离,则网络较复杂 |
用户管理认证方式 |
基于802.1x的以太网用户端口分散认证,认证过程与实际的用户访问过程分离 |
宽带接入服务器采用PPPoE方式的集中认证,用户实际访问网络资源仍需PPP会话 |
认证机制 |
支持多种类的认证方式 |
PAP/CHAP方式 |
网络性能 |
小区分散路由,网络旅行能没有集中“瓶颈”问题 |
宽带接入服务器许终结大量的PPP会话,并对个小区的数据包进行集中路由,易产生网络性能“瓶颈” |
IP地址的分配方式 |
采用DHCP进行动态分配 |
通过PPP协议进行动态分配 |
计费方式 |
支持根据用户时长、用户端口流量的计费方式 |
支持时长计费,流量计费只能根据用户的VLAN ID来实现 |
客户端支持 |
Windows XP将支持802.1x的应用 |
需要额外的客户端软件 |
安全性考虑 |
用国端口限制未经授权用户的访问,高安全级别的用户可以应用高加密等级的用户认证机制 |
必须通过VLAN来隔离用户 |
QOS保证方式 |
可以根据用户的ID在端口标识不同的优先级,实现对QOS的支持,并可对以太网端口进行访问速率的限制 |
无法提供用户在网络边缘设备进行的QOS保证,只能在汇聚设备上实施QOS策略 |
组播支持 |
对组播业务无任何影响 |
VLAN的应用限制了组播业务的开展 |
建设成本 |
只需对原有的以太网交换机进行升级 |
需要增加价格昂贵的宽带接入设备 |
3 结束语
基于以太网端口的用户认证管理技术通过简单的设备实现了可管理、可运营的宽带城域网所要求的用户管理功能,同时避免了目前所采用的用户管理认证方式带来的诸多问题,消除了宽带接入服务器设备带来的巨大性能“瓶颈”,节省了购置宽带接入服务设备所需的巨大投资,在城域网的建设中具有广阔的前景。
参考文献
1 李勇.宽带城域网实用手册.北京:北京邮电大学出版社,2001
[摘要] 文章介绍了IEEE 802.1x这一基于以太网端口的用户访问控制协议的内容和特点,论述了采用以太网接入时在以太网交换机上实现用户认证的方法,并给出了一个宽带城域网应用的解决方案。
[关键词] 宽带城域网;802.1x协议;认证
[Abstract] Contents and features of the IEEE 802.1x protocol, a subscriber access control protocol based on Ethernet ports, are introduced. The method of realizing subscriber authentication over the Ethernet exchange is discussed and a solution to the application of broadband MAN is also provided.
[Keywords] Broadband MAN; Protocol 802.1x; Authentication
.png)
.png)
.png)
