IEEE802.1x技术白皮书V10

IEEE802.1x技术白皮书V10北京港湾网络产品部2002年2月目录TOC\o"1-3"\h\zHYPERLINK\l"_Toc2759168"第一局部IEEE802.1x协议介绍PAGEREF_Toc2759168\h1HYPERLINK\l"_Toc2759169"1协议的开发背景PAGEREF_Toc2759169\h1HYPERLINK\l"_Toc2759170"2几个名词的定义PAGEREF_Toc2759170\h1HYPERLINK\l"_Toc2759171"3工作机制PAGEREF_Toc2759171\h3HYPERLINK\l"_Toc2759172"3.1各组成局部的功能PAGEREF_Toc2759172\h3HYPERLINK\l"_Toc2759173"3.2受控和非受控的访问〔Controlledanduncontrolledaccess〕PAGEREF_Toc2759173\h5HYPERLINK\l"_Toc2759174"3.3IEEE802.1x协议的体系结构PAGEREF_Toc2759174\h9HYPERLINK\l"_Toc2759175"3.4IEEE802.1x协议的工作机制PAGEREF_Toc2759175\h11HYPERLINK\l"_Toc2759176"3.5协议实现内容PAGEREF_Toc2759176\h15HYPERLINK\l"_Toc2759177"3.6根本的认证过程PAGEREF_Toc2759177\h19HYPERLINK\l"_Toc2759178"3.7几个注意的问题PAGEREF_Toc2759178\h20HYPERLINK\l"_Toc2759179"4几种认证方式的比拟PAGEREF_Toc2759179\h21HYPERLINK\l"_Toc2759180"4.1PPPOE认证PAGEREF_Toc2759180\h21HYPERLINK\l"_Toc2759181"4.2WEB认证PAGEREF_Toc2759181\h22HYPERLINK\l"_Toc2759182"4.3802.1x认证PAGEREF_Toc2759182\h24HYPERLINK\l"_Toc2759183"4.4小结几种认证方式的比拟PAGEREF_Toc2759183\h26HYPERLINK\l"_Toc2759184"第二局部IEEE802.1x协议在港湾网络的应用PAGEREF_Toc2759184\h27HYPERLINK\l"_Toc2759185"1IEEE802.1x解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 PAGEREF_Toc2759185\h27HYPERLINK\l"_Toc2759186"1.1端口控制模式PAGEREF_Toc2759186\h27HYPERLINK\l"_Toc2759187"1.2802.1x解决方案PAGEREF_Toc2759187\h28HYPERLINK\l"_Toc2759188"2IEEE802.1x应用方案PAGEREF_Toc2759188\h29HYPERLINK\l"_Toc2759189"2.1802.1x认证应用在新建小区PAGEREF_Toc2759189\h29HYPERLINK\l"_Toc2759190"2.2802.1x认证应用在旧小区PAGEREF_Toc2759190\h31HYPERLINK\l"_Toc2759191"3港湾802.1x认证计费系统介绍PAGEREF_Toc2759191\h34HYPERLINK\l"_Toc2759192"3.1计费管理系统功能PAGEREF_Toc2759192\h35HYPERLINK\l"_Toc2759193"3.2港湾计费管理系统解决方案PAGEREF_Toc2759193\h36HYPERLINK\l"_Toc2759194"第三局部港湾802.1x认证应用案例PAGEREF_Toc2759194\h41HYPERLINK\l"_Toc2759195"1802.1x在宁波网通的应用PAGEREF_Toc2759195\h41HYPERLINK\l"_Toc2759196"2802.1X在通化电信的应用PAGEREF_Toc2759196\h42第一局部IEEE802.1x协议介绍协议的开发背景在IEEE802LAN所定义的局域网环境中，只要存在物理的连接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。例如：一个可以访问公共网络的大厦的办公网，或者是某个组织机构与其他组织连接的网络。在这样的网络环境中，往往不希望未经授权的设备或用户连接到网络，使用网络提供的效劳。后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其平安认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。IEEE802.1x协议正是在这样的背景下提出的。IEEE802.1x称为基于端口的访问控制协议〔Portbasednetworkaccesscontrolprotocol〕。基于端口的访问控制〔Portbasednetworkaccesscontrol〕能够在利用IEEE802LAN的优势根底上提供一种对连接到局域网〔LAN〕设备或用户进行认证和授权的手段。通过这种方式的认证，能够在LAN这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是效劳器或网络设备连接LAN的物理端口，或者是在IEEE802.11无线LAN环境中定义的工作站和访问点。几个名词的定义以下的名词为802.1x协议中的重要组成局部：Supplicant客户端客户端指LAN所连接的一端的实体〔entity〕，它向认证系统〔Authenticator如下〕发起请求，对其身份的合法性进行检验。Authenticator认证系统认证系统指在LAN连接的一端用于认证另一端设备的实体〔entity〕。AuthenticationServer认证效劳器认证效劳器指为认证系统提供认证效劳的实体。这里认证效劳器所提供的效劳是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络效劳。注意——认证效劳器与认证系统配合工作，可以集成在一起，也可以分开放在认证系统通过网络可以远程访问的地方。NetworkAccessPort网络访问端口网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址。注意——下文所指的端口均可以是物理端口或用户设备的MAC地址，如果设备支持全程VLAN，也可以指VLANID。PortAccessEntity（PAE）端口访问实体指一个端口的相关协议实体。PAE能够支持的功能包括：客户端〔Supplicant〕完成的功能、认证系统〔Authenticator〕完成的功能或者两者功能同时具备。System系统系统是指通过一个或更多端口连接到LAN的设备，例如：终端、效劳器、交换机或路由器等设备都称为系统。图2—1IEEE802.1X认证体系组成局部工作机制下面将描述基于端口访问控制的结构框架，以及访问控制功能和设备实体之间的关系：各组成局部的功能系统〔Systems〕、端口〔Ports〕连接到LAN的设备〔这里指2.6定义的系统System〕通常与LAN会有一个或多个连接点〔这里指2.4定义的网络访问端口〕。注意1——一个终端一般通过网卡与LAN有一个连接点〔有些终端如效劳器可能会有多个网卡，与网络有多个连接〕；一个网络设备与网络一般有两个或多个连接点一个系统的端口与网络连接，该系统就可以通过这个端口获得其他系统的效劳，同时也可以为其他系统提供效劳。基于端口的访问控制能够控制系统的端口状态，以保证只为授权的用户开放自己的效劳。注意2——一个系统提供的效劳包括根据MAC地址的转发功能，网络层的路由功能，文件效劳器的功能等。为了便于描述基于端口的访问控制过程，一个系统的端口〔确切的讲应该是协议实体PAE〕可以在整个控制过程中充当多个不同的角色。如下为在基于端口访问控制过程中，端口所充当的角色：Authenticator（2.2）.在允许用户访问之前执行认证的端口，该端口充当认证系统的角色；Supplicant（2.1）.访问认证系统所提供效劳的端口，该端口充当客户端的角色；AuthenticationServer（2.3）.认证效劳器代表认证系统执行对用户身份的合法性进行检验功能从以上描述可以看出，为了完成一个认证过程，所有的三个角色是必须的。一个特定系统可以承当一种或多种角色；例如：一个认证系统和认证效劳器能集成在一个系统中，实现认证功能而无需设置专门的外置认证效劳器。同样，一个端口在一个认证过程中充当客户端的角色，而在另一个认证过程中可能充当认证系统的角色，例如：在一个桥接LAN中，一个新的交换设备添加到网络中，这个设备要能够对连接到其端口的设备实现认证，自身必须先通过其上端设备的认证〔该新设备通过上端设备接入到LAN中〕。注意3——尽管理论上认证效劳器可以和认证系统集成在一起，但实际使用中都是分开成两个体系。端口访问实体〔PAE,PortAccessEntity〕在客户端中，PAE主要负责响应来自认证系统建立信任关系的请求，称为客户端PAE。在认证系统中，PAE负责与客户端的通信，把从客户端收到的信息传送给认证效劳器以便完成认证。该PAE称为认证系统PAE。认证系统PAE根据认证效劳器提供的关于用户合法性的信息来控制受控端口〔controlled下面会讲述〕的状态是认证状态或未认证状态。受控和非受控的访问〔Controlledanduncontrolledaccess〕IEEE802.1x协议的精华就是关于受控和非受控的访问，以下将详细描述关于受控和非受控的访问。端口的类型图3—1受控端口〔ControlledPort〕和不受控端口〔UncontrolledPort〕如图3—1所示，认证系统的端口分成两个逻辑端口：受控端口和不受控端口。不受控端口只能传送认证的协议报文，而不管此时受控端口的状态是已认证状态〔Autherized〕还是未认证状态〔Unautherized〕。受控端口传送业务报文。如果用户通过认证，那么受控端口的状态为已认证状态，可以传送业务报文。如果用户未通过认证，那么受控端口的状态为未认证状态，不能传送业务报文。图3—2受控端口的状态变化如图3—2所示，当用户未通过认证时，受控端口处于开路，端口状态为未认证状态，此时交换机的交换功能是关闭的，也就是说交换机无法像传统的通过查找目标MAC地址来进行交换，如果用户有业务报文是无法通过的。当用户通过认证后，受控端口闭合，端口状态为通过认证状态，此时交换机的交换功能翻开，就和传统的交换方式一致了，用户的业务报文就可以顺利通过。端口的状态受相关的协议参数控制，如AuthControlledPortStatus参数控制交换功能的翻开和关闭等，这里不做详细讲解。端口控制方式对于端口的控制，可以有很多种方式。端口可以是物理的端口，也可以是用户设备的MAC地址，如果设备支持全程的VLAN，也可以把VLANID看成是端口。基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受控端口和不受控端口。不受控端口传递认证的协议报文，受控端口传递业务报文。采用这种端口控制方式，那么必须在与最终用户直接相连的交换机实现802.1x认证，在相应的端口进行控制。这样会导致低端交换机的本钱上升，势必增加整个网络的建网本钱。图3—3MAC地址的激活和禁止另一种端口控制方式就是基于用户设备的MAC地址进行控制。把用户设备的MAC地址看成端口，每个MAC地址有两个逻辑端口：受控和不受控端口。如果用户要访问LAN的资源，那么首先其MAC地址必须处于激活状态，然后才能有协议报文通过不受控的端口传递，开始整个认证过程。如果其MAC地址未激活或者被管理性的禁止，那么无法进行认证。IEEE802.1x协议的体系结构图3—4802.1x协议的体系结构IEEE802.1x协议的体系结构〔通过上文的说明可以知道〕包括三个重要的局部：SupplicantSystem客户端、AuthenticatorSystem认证系统、AuthenticationServerSystem认证效劳器。图3—4描述了三者之间的关系以及互相之间的通信。客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持EAPOL〔ExtensibleAuthenticationProtocolOverLAN〕协议。认证系统通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口〔可以是物理端口，也可以是用户设备的MAC地址〕有两个逻辑端口：受控〔controlledPort〕端口和不受控端口〔uncontrolledPort〕。不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才翻开，用于传递网络资源和效劳。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，那么受控端口处于未认证状态，那么用户无法访问认证系统提供的效劳。图中认证系统的受控端口处于未认证状态，因此无法访问认证系统提供的效劳。认证系统的PAE通过不受控端口与SupplicantPAE进行通信，二者之间运行EAPOL协议。认证系统的PAE与认证效劳器之间运行EAP〔ExtensibleAuthenticationProtocol〕协议。认证系统和认证效劳器之间的通信可以通过网络进行，也可以使用其他的通信通道，例如如果认证系统和认证效劳器集成在一起，二个实体之间的通信就可以不采用EAP协议。认证效劳器通常为RADIUS效劳器，该效劳器可以存储有关用户的信息，比方用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证效劳器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证效劳器和RADIUS效劳器之间通过EAP协议进行通信。对于终端用户的认证可以采用如上所示的机制进行，而对于网络设备之间的认证那么采用如下的方式：图3—5描述了这样一种情况：当一个网络设备A要求访问网络设备B所提供的效劳，那么系统A的PAE就成为客户端〔Suppliant〕，系统B的PAE为认证系统〔Authenticator〕；如果B要求访问A所提供的效劳，那么B的PAE就成为客户端，A的PAE就成为认证系统。图3—5系统的两种工作模式IEEE802.1x协议的工作机制802.1x作为一个认证协议，在实现的过程中有很多重要的工作机制。图3—6IEEE802.1x协议的工作机制认证发起认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探测到未经过认证的用户使用网络，就会主动发起认证；用户端那么可以通过客户端软件向认证系统发送EAPOL-Start报文发起认证。由认证系统发起的认证当认证系统检测到有未经认证的用户使用网络时，就会发起认证。在认证开始之前，端口的状态被强制为未认证状态。如果客户端的身份标识不可知，那么认证系统会发送EAP-Request/Identity报文，请求客户端发送身份标识。这样，就开始了典型的认证过程。客户端在收到来自认证系统的EAP-Request报文后，将发送EAP-Response报文响应认证系统的请求。认证系统支持定期的重新认证，可以随时对一个端口发起重新认证的过程。如果端口状态为已认证状态，那么当认证系统发起重新认证时，该端口通过认证，那么状态保持不便；如果未通过认证，那么端口的状态改变为未认证状态由客户端发起认证如果用户要上网，那么可以通过客户端软件主动发起认证。客户端软件会向认证系统发送EAPOL-Start报文主动发起认证。认证系统在收到客户端发送的EAPOL-Start报文后，会发送EAP-Request/Identity报文响应用户请求，要求用户发送身份标识，这样就启动了一个认证过程。退出已认证态有几种方式可以造成认证系统把端口状态从已认证状态改变成未认证状态：a）客户端未通过认证效劳器的认证；b）由于管理性的控制端口始终处于未认证状态，而不管是否通过认证；c）与端口对应的MAC地址出现故障〔管理性禁止或硬件故障〕；d）客户端与认证系统之间的连接失败，造成认证超时；e）重新认证超时；f）客户端未响应认证系统发起的认证请求；g）客户端发送EAPOL-Logoff报文，主动下线；退出已认证状态的直接结果就是导致用户下线，如果用户要继续上网那么要再发起一个认证过程。为什么要专门提供一个EAPOL-Logoff机制，是处于如下平安的考虑：当一个用户从一台终端退出后，很可能其他用户不通过发起一个新的登录请求，就可以利用该设备访问网络。提供专门的退出机制，以确保用户与认证系统专有的会话进程被中止，可以防止用户的访问权限被他人盗用。通过发送EAPOL-Logoff报文，可以使认证系统将对应的端口状态改变为未认证状态。重新认证〔根据时间〕为了保证用户和认证系统之间的链路处于激活状态，而不因为用户端设备发生故障造成异常死机，从而影响对用户计费的准确性，认证系统可以定期发起重新认证过程，该过程对于用户是透明的，也即用户无需再次输入用户名/密码。重新认证由认证系统发起，时间是从最近一次成功认证后算起。重新认证可以激活或关闭，协议状态参数reAuthEnabled控制是否认期进行重新认证。重新认证的时间由参数reAuthPeriod控制，默认值为3600秒〔一个小时〕而且默认重新认证是关闭的。注意——重新认证的时间设定需要认真的规划，认证系统对端口进入的MAC地址的检测能力会影响到该时间的设定。如果对MAC地址的检测比拟可靠，那么重新认证时间可以设长一些。认证报文丧失重传对于认证系统和客户端之间通信的EAP报文，如果发生丧失，由认证系统负责进行报文的重传。在设定重传的时间时，考虑网络的实际环境，通常会认为认证系统和客户端之间报文丧失的几率比拟低以及传送延迟低，因此一般通过一个超时计数器来设定，默认重传时间为30秒钟。对于有些报文的丧失重传比拟特殊，如EAPOL-Star报文的丧失,由客户端负责重传；而对于EAP-Failure和EAP-Success报文，由于客户端无法识别，认证系统不会重传。如果EAP-Failure或EAP-Success报文发生丧失，那么客户端会在auth-While计数器超时后，自动转变为CONNECTING状态。由于对用户身份合法性的认证最终由认证效劳器执行，认证系统和认证效劳器之间的报文丧失重传也很重要。另外注意，对于用户的认证，在执行802.1x认证时，只有认证通过后，才有DHCP发起〔如果配置为DHCP的自动获取〕和IP分配的过程。由于客户终端配置了DHCP自动获取，那么可能在未启动802.1x客户端之前，就发起了DHCP的请求，而此时认证系统处于禁止通行状态，这样认证系统会丢掉初始化的DHCP帧，同时会触发认证系统发起对用户的认证。由于DHCP请求超时过程为64秒，所以如果802.1x认证过程能在这64秒内完成，那么DHCP请求不会超时，能顺利完成地址请求；如果终端软件支持认证后再执行一次DHCP，就不用考虑64秒的超时限制。与不支持802.1x的设备的兼容对于从一个没有认证的系统过渡到认证系统，最理想的状态是希望能够平滑的进行过渡。由于802.1x协议是一个比拟新的协议，如果应用在原有的旧网络中，那么可能会存在与不支持设备的兼容性问题。如果客户端支持802.1x协议，而网络设备不支持〔也就是没有认证系统〕，那么客户端是不会收到认证系统响应的EAP-Request/Identity报文。在802.1x认证发起阶段，客户端首先发送EAPOL-Star报文到802.1x协议组申请的组播MAC地址，以查询网络上可以处理802.1x的设备〔即认证系统〕，由于网络中没有设备充当认证系统，所以客户端是得不到响应的。因此客户端在发起屡次连接请求无响应后，自动认为已经通过认证。如果客户端不支持802.1x协议，而网络中存在802.1x协议的认证系统，那么客户端是不会响应认证系统发送的EAP-Request/Identity报文，因此端口会始终处于未认证状态。在这种情况下，客户端只能根据协议参数OperControlledDirections设定的值通过受控端口访问认证系统，通过未受控端口访问某些通过设置可以访问的效劳。EAP帧的中继转发〔Relay〕由于认证系统与客户端之间是采用EAPOL协议进行通信，而认证系统与认证效劳器之间那么是采用EAP协议进行通信，可以看出认证系统充当了把客户端的EAPOL协议帧转变为EAP协议帧的中继功能。客户端将EAPOL-Start和EAPOL-Logoff帧发送给认证系统，而认证系统把EAPOL-Key帧发送给客户端。认证系统不能把这些帧中继给认证效劳器。EAP-Request/Identity帧只能由认证系统发送给客户端，而不会发送给认证效劳器。除了以上的这些特殊帧外，客户端和认证系统之间通信的其他的帧都可以转发给认证效劳器，不过帧格式要从EAPOL格式转变为EAP格式。相反，认证系统会把所有从认证效劳器收到的EAP格式的帧转变为EAPOL格式发送给客户端。加密EAPOL认证报文的传送EAPOL协议支持在客户端和认证系统之间加密传送认证报文。可以通过协议参数KeyTransmissionEnabled控制是否加密。如果该值为TRUE，表示对认证报文进行加密；如果值为FALSE，那么表示不对认证报文加密。如果客户端或认证系统不支持加密，那么KeyTransmissionEnabled参数设置为FALSE。协议实现内容802.1x协议在实现整个平安认证的过程中，其三个关键局部〔客户端、认证系统、认证效劳器〕之间是通过通信协议进行交互的，因此有必要对其相关的通信协议做个介绍。EAP协议802.1x协议采用EAP协议在客户端、认证系统和认证效劳器之间进行通信。EAP〔ExtensibleAuthenticationProtocol扩展的认证协议，RFC2284〕是PPP认证的一个通用协议，支持多种认证机制，例如smartcards,Kerberos,PublicKeyEncryption,OneTimePasswords等。EAP在链路控制〔LCP〕阶段并不选择好一种认证机制，而把这一步推迟到认证阶段。这样就允许认证系统在确定某种特定认证机制之前请求更多的信息。通过支持EAP协议，认证系统只需控制其受控端口的状态，但是并不干预通过非受控端口在客户端和认证效劳器之间传递的认证信息。这样，就实现了认证流和业务流的完全别离。可以使用一个“后端〞效劳器〔认证效劳器〕来实际实现各种认证机制，认证系统仅仅需要传送认证信息，并根据认证返回的结果控制受控端口的状态。EAP的简单认证过程在链路建立阶段完成后，认证系统发送一个或多个Request来对对方进行认证。Request中有一个type域说明请求的类型。Request中type的实例包括，Identity,MD5-challenge,One-TimePasswords,GenericTokenCard等等。MD5-challenge类型与CHAP认证协议紧紧对应。典型情况下，认证系统将发送一个最初的Identity请求，然后是一个或多个请求认证信息的Request。但是，最初的IdentityRequest并不是必需的，在identity能被事先假定〔如租用的链路，专用拨号线路等等〕的情况下可以跳过〔bypass〕；客户端发送一个Response数据包对每一个Request做出应答。对应于每一个Request数据包，Response数据包包含一个type域，与Request中的type域对应；C〕认证系统发送一个Success或Failure数据包结束认证阶段；EAP帧结构图3—7EAP的帧结构Code：1个字节，表示EAP帧类型。EAP代码分配如下：1Request2Response3Success4FailureIdentifier：1个字节，该值用于匹配requests的请求。Identifier区域和系统端口一起单独标识一个认证过程。Length：2个字节，该值表示EAP帧的总长度Data：0或更多字节，表示数据EAPOL协议在802.1x协议中定义了一种封装技术称为EAPOL〔EAPoverLANs〕，主要在客户端和认证系统之间传送EAP协议报文，可以允许EAP协议报文在LAN上传送。EAPOL帧结构图3—8EAPOL的帧结构PAEEthernetType：2个字节，表示协议类型，802.1x分配的协议类型为888EProtocolVersion：1个字节，表示EAPOL帧的发送方所支持的协议版本号。本标准使用值为00000001PacketType：1个字节，表示传送的帧类型。有如下几种帧类型。a）EAP-Packet.值为00000000，表示为EAP帧b）EAPOL-Start.值为00000001，表示为EAPOL-Start帧c）EAPOL-Logoff.值为00000010，表示为EAPOL-Logoff请求帧d）EAPOL-Key.值为00000011，表示为EAPOL-Key帧.e）EAPOL-Encapsulated-ASF-Alert.值为00000100PacketBodyLength：2个字节，表示PacketBody的长度PacketBody：如果PacketType为EAP-Packet,EAPOL-Key,或EAPOL-Encapsulated-ASF-Alert的值，那么PacketBody对应相应的值；对于其他帧类型，那么该值为空。EAPOL帧的标记在EAPOL帧传送过程中，不带802.1q的VLAN标记，但是可以带802.1p的优先级标记。所有的PAE都能够接收带或不带优先级标记的EAPOL帧。EAPOL帧发送的目标地址当一个二层帧发送时，必须要有目标MAC地址。EAPOL帧在发送时也不例外，当客户端和认证系统互相之间不知道发送的目标时，其目标MAC地址为802.1x协议中分配的组播地址01-80-c2-00-00-03。图3—9802.1x认证过程根本的认证过程如图3—9认证的步骤如下：用户开机后，通过802.1x客户端软件发起请求，查询网络上能处理EAPOL〔EAPOverLAN〕数据包的设备。如果某台验证设备能处理EAPOL数据包，就会向客户端发送响应包并要求用户提供合法的身份标识，如用户名/密码；客户端收到验证设备的响应后，会提供身份标识给验证设备。由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA效劳器，进行认证；如果认证通过，那么认证系统的受控逻辑端口翻开；客户端软件发起DHCP请求，经认证设备转发到DHCPServer；DHCPServer为用户分配IP地址；DHCPServer分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限；当认证设备检测到用户的上网流量，就会向认证效劳器发送计费信息，开始对用户计费；如果用户要下网，可以通过客户端软件发起LogOff过程，认证设备检测到该该数据包后，会通知AAA效劳器停止计费，并删除用户的相关信息〔MAC/IP〕，受控逻辑端口关闭。用户进入再认证状态；验证设备会通过定期的检测来保证链路的激活，如果用户异常死机，那么验证设备在发起屡次检测后,自动认为用户已经下线,于是向认证效劳器发送终止计费的信息；几个注意的问题基于端口的网络接入控制是在LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口，如LanSwitch的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，那么无法访问LAN内的资源，相当于物理上断开连接。IEEE802.1x定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：LanSwitch的一个物理端口仅连接一个EndStation〔基于物理端口〕；IEEE802.11定义的无线LAN接入方式〔基于逻辑端口〕等。连接有多个设备的共享式LAN网段如果想要提供每个设备的接入控制，可以使用两种方法：1〕使用任何保护方法，为每一个接入设备建立单独的接入控制，此时相当于每个MAC地址构成了一个逻辑端口。由于共享式网段缺乏保护，每个MAC地址的认证过程都可能被其他设备监听、截获、伪造，平安性比拟低。2〕仍然使用每个MAC地址构成逻辑端口，但在认证过程中对认证数据帧进行加密〔IEEE802.1x提供了与加密协议的接口〕，从而防止其他设备的监听、截获、伪造，提高平安性。需要说明的，由于MAC地址比拟容易伪造，这种方式并不能提供完善的平安机制。因而，IEEE802.1x推荐的使用环境为点对点的物理或逻辑端口。几种认证方式的比拟目前业界有几种认证方式：PPPOE、WEB和802.1x。以下做一个比拟：PPPOE认证简介1998年后期问世的以太网上点对点协议〔PPPoverEthernet〕技术是由Redback网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNETTechnologies公司在IETFRFC制的根底上联合开发的。主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。它使效劳提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入效劳时更加简便易行。通过PPPoE〔Point-to-PointProtocoloverEthernet〕协议，效劳提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。PPPoE〔Point-to-PointProtocoloverEthernet〕协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段〔Discoverystage〕和点对点对话阶段〔PPPSessionstage〕。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号〔SESSION_ID〕。在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-效劳器的关系。在搜寻阶段的进程中，主机〔客户端〕搜寻并发现一个网络设备〔效劳器端〕。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。特点优点：是传统PSTN窄带拨号接入技术在以太网接入技术的延伸和原有窄带网络用户接入认证体系一致最终用户相比照拟容易接收缺点：PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低PPPoE在发现阶段会产生大量的播送流量，对网络性能产生很大的影响组播业务开展困难，而视频业务大局部是基于组播的需要运营商提供客户终端软件，维护工作量过大PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵。WEB认证简介由于PPPOE技术在应用中存在很多的问题，因此目前开认证的网络主要是以WEB认证为主。WEB认证最初是一种业务类型的认证，通过启动一个WEB页面输入用户名/密码，实现用户认证。用的最多的是在一些门户网站，例如新浪、搜狐等，如果用户申请了WEB邮件效劳，就可以通过在其认证的WEB页面上输入用户名/密码进入到门户网站的效劳中。WEB认证目前已经成为运营商网络平台的认证方式，通过WEB页面实现对用户是否有使用网络权限的认证。WEB认证的主要过程如下：a）用户机器上电启动，系统程序根据配置，通过DHCP由BAS做DHCP-Relay，向DHCPServer要IP地址〔私网或公网〕；b）BAS为该用户构造对应表项信息〔基于端口号、IP〕，添加用户ACL效劳策略〔让用户只能访问portalserver和一些内部效劳器，个别外部效劳器如DNS〕；c）Portalserver向用户提供认证页面。在该页面中，用户输入帐号和口令，并单击“login〞按钮。也可不输入由帐号和口令，直接单击“Login〞按钮；d）该按钮启动portalserver上的Java程序，该程序将用户信息〔IP地址，帐号和口令〕送给网络中心设备BAS；e）BAS利用IP地址将到用户的二层地址、物理端口号〔如VlanID,ADSLPVCID，PPPsessionID〕。利用这些信息，对用户的合法性进行检查。如果用户输入了帐号，那么认为是卡号用户，使用用户输入的帐号和口令到Radiusserver对用户进行认证。如果用户未输入帐号，那么认为用户是固定用户，网络设备利用VlanID〔或PVCID〕查用户表得到用户的帐号和口令。将帐号送到Radiusserver进行认证；f）RadiusServer返回认证结果给BAS；g）认证通过后，BAS修改该用户的ACL，用户可以访问外部因特网或特定的网络效劳。h）用户离开网络前，连接到portalserver上，单击“断开网络〞按钮。系统停止计费，删除用记的ACL和转发信息，限制用户不能访问外部网络。i）在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等。特点优点：不需要特殊的客户端软件，降低网络维护工作量可以提供Portal等业务认证缺点：WEB承载在7层协议上，对于设备的要求较高，建网本钱高；用户连接性差，不容易检测用户离线，基于时间的计费较难实现；易用性不够好，用户在访问网络前，不管是TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证；IP地址的分配在用户认证前，如果用户不是上网用户，那么会造成地址的浪费，而且不便于多ISP的支持。认证前后业务流和数据流无法区分802.1x认证前面已经对802.1x协议做了比拟详细的介绍，这里总结一下802.1x协议的特点。优点：802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网本钱。通过组播实现，解决其他认证协议播送问题，对组播业务的支持性好。业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现别离，对后续的数据包处理没有特殊要求802.1x与传统认证方式最本质的区别就是控制与交换相别离，一旦认证通过，所有的业务流量就和认证系统分开，有效的解决了网络瓶颈问题。以太网的根本特性是播送〔顾名思义，以太就是一种无处不在的物质〕，IP网络的简单、廉价甚至是快速都基于这一点。但是也正是由于这一根本特性，IP网络也暴露出了平安性弱、流量控制能力差、不易管理等可以说是致命的弱点。针对于此，人们引入了点对点的概念，在一定程度上解决了上述问题。但是点对点和播送在本质上是矛盾的，二者很难出现一种双赢的状态，也就是说在目前的认证方式下，网络的“可运营，可管理〞的代价是牺牲了一局部网络的简单、廉价和快速的特性。802.1x那么采取一种“认证后不管〞的方式，在认证完成，参数设置完成后，交换机对网络流量不做过多的干预，较好的兼顾了矛盾的两个方面，易于实现一种合理本钱下的“可运营，可管理〞。图4—1802.1x中交换与控制的别离缺点：协议的标准化问题。该协议目前还未正式标准化，但草稿已经到了第11稿，协议号也已分配，相信正式标准化为时不远。需要特定客户端软件该协议已经得到了很多软件厂商的重视，目前微软新版的windowsXP已经自带802.1x客户端软件小结几种认证方式的比拟认证方式WEB/PORTALPPPOE802.1x标准程度厂家私有RFC2516IEEE标准封装开销小较大小接入控制方式设备端口用户用户IP地址认证前分配认证后分配认证后分配多播支持好差好VLAN数目要求多无无支持多ISP较差好好客户端软件不需要需要需要设备支持厂家私有业界设备业界设备用户连接性差好好对设备的要求高〔全程VLAN〕较高〔BAS〕低第二局部IEEE802.1x协议在港湾网络的应用IEEE802.1x协议是目前业界最新的认证协议，一经推出就引起了广阔网络设备制造商的重视，各大厂商纷纷组织研发力量进行基于802.1x协议相关产品的开发。可以说，在这一方面，港湾网络走的比拟早，率先推出了包括客户端软件、认证系统、认证效劳器在内的基于802.1x协议的成熟的网络产品和商用解决方案。以下将IEEE802.1x协议在港湾网络的应用情况做一个详细的介绍。IEEE802.1x解决方案端口控制模式根据前面介绍的802.1x协议端口控制模式，主要可以基于物理端口控制、基于用户设备的MAC地址控制，如果网络设备支持全程VLAN，还可以基于VLANID控制。选择一种好的端口控制模式，不仅要考虑到单个设备的接入实现方式，而且要综合考虑整个方案的建网本钱。根据以上两点的考虑，港湾在端口控制方面采用基于MAC地址的控制方式，这样做有如下优点：基于MAC地址控制，可以实现点对点的控制方式，只要在上层交换机〔如FlexHammer24/16i〕实现802.1x认证，而不需要在用户接入级交换机针对每个物理端口进行控制，这样可以降低对接入级交换机的性能要求，从而降低整个网络的建网本钱。通过在层次较高的交换机上实现基于MAC地址的控制，可以减少与后端认证效劳器通信所建立的进程数，降低对认证效劳器的性能要求。这一点也很重要，如果在低端交换机上基于物理端口对用户控制，那么必然要建立很多与认证效劳器通信的进程，势必影响认证效劳器的性能。当用户通过认证后，在二层交换机上将用户的MAC地址和物理端口绑定，在三层交换机上实现用户MAC+端口+IP的绑定，防止用户的MAC地址和IP地址的假冒，实现用户的平安认证802.1x解决方案方案实现图1-1港湾802.1x实现方案如图1-1为港湾网络关于802.1x协议的第一种实现方案。在第一种实现方案中，802.1x协议在FlexHammer系列三层交换机上实现，即FlexHammer系列交换机作为认证系统。FlexHammer将不同的MAC地址作为不同的端口进行控制。如果设备支持全程VLAN，Flex也可将不同的VLAN作为不同的端口进行控制用户接入层交换机是普通的以太网交换机，需要对EAPOL帧作透传，不能丢弃。方案特点由于FlexHammer系列交换机是三层交换机，主要定位在智能小区的中心。通过以上的解决方案，具有如下的优点：FlexHammer系列交换机可以根据网络规模，分散放置在各小区的中心，实现对用户的接入认证，运营商只需要在核心放置一台认证效劳器，就可以实现“集中的用户信息存储，分散的用户认证〞，方便实现用户的管理。每台网络设备都可以充分发挥各自的功能，各自负责一局部的用户认证，不会因为某台设备的单点故障，而导致全网用户无法访问网络。由于802.1x实现了用户认证流和业务流的有效别离，这样认证系统的负担很轻，而且由于是分散的用户认证，整个网络不存在瓶颈点。由于802.1x协议是一个二层协议，对于引入802.1x认证，并没有增加多少本钱，完全是提供合理本钱下的“可运营、可管理〞的网络解决方案。对于接入级的二层交换机可以不支持基于802.1q的VLAN，这样可以降低该层设备的本钱以及免除因VLANID的数量不够用和规划方面的诸多不便。FlexHammer可以提供基于64kbps的带宽控制，不同用户可以根据带宽采取不同的收费策略IEEE802.1x应用方案通过以下几种解决方案，可以有效的解决目前以太网接入中在引入认证方面存在的主要困难，最大限度的保护用户的投资。802.1x认证应用在新建小区对于新建的智能小区，可以采用方案一来提供完整的802.1x的认证。方案图2—1港湾802.1x认证应用在新建小区如图2—1新建的智能小区。对于规模比拟大的小区，可以在每个小区的中心放置一台FlexHammer三层交换机，用于完成802.1x认证和带宽控制等功能；对于规模比拟小的小区，可以几个小区放置一台FlexHammer完成802.1x认证。在楼栋的会聚层放置uHammer24二层交换机，完成楼栋的会聚；在用户的接入层那么可以放置8端口的uHammer1008或16端口的uHammer1016。802.1x认证实现过程认证过程的发起由用户发起（EAPOL-Start），或设备监测到未认证用户使用网络时，由设备发起请求验证。用户发起的认证报文，使用特定的组播MAC地址，设备发送到用户的报文使用单播MAC地址，解决了认证报文的播送的问题，其他用户不能侦听到认证过程，从而无法知道用户的密码/账号，无法知道用户的MAC地址。认证通过后的MAC地址与端口进行绑定。在通信的过程中，可以保证用户使用网络的路径是唯一的。这样，通过认证的用户的数据包就不会泄露。802.1x认证应用在旧小区对于已经有网络设备运行的旧小区，如果要实现802.1x认证，那么根据小区现有网络设备的特点，采取不同的解决方案。旧小区HUB的改造图2—2802.1x改造方案目前有很多小区仍采用HUB方式接入用户，对于这类小区如果要实现802.1x认证，只需在小区中心添加一台FlexHammer交换机作为认证系统。原那么上HUB下接的用户也可以经过802.1x认证后再访问网络，但由于HUB为共享式设备，它对于任何用户认证过程的报文均播送给别的用户，有可能对同一HUB下其它用户造成影响。建议对HUB进行改造，至少保证用户端口隔离，以防止播送对其他用户的影响。旧小区L2的兼容性图2—3802.1x改造方案对于采用二层交换机组网的小区，如果要实现802.1x认证，那么只需在上层添加FlexHammer交换机作为认证系统实现认证。对于旧的二层交换机，要求必须能够透传EAPOL报文，由于EAPOL报文为组播报文，而对于支持IGMPSnooping的交换时机在相关端口转发，而对于不支持的交换机那么一般会以播送的形式转发，而不会丢弃，因此大多数交换机无需升级改造均可实现。由于802.1x协议本身对802.1QVLAN支持无需求，因此旧的二层交换机可以不支持802.1Q的VLAN，只需利用VLAN进行端口隔离和限制播送。旧小区L3的兼容性对于小区中心原有三层交换机或路由器，如果要实现802.1x认证，有几种方案可以解决认证问题：方案一图2—4802.1x改造方案一如图2—4，在原来三层交换机上面可以放置FlexHammer24交换机作为认证系统，完成802.1x认证。L3只需要能够透传802.1x协议帧就可以了。方案二如图2—5，将FlexHammer24交换机作为认证系统放置于原来三层交换机的下方，完成802.1x认证，这样充分表达了在最接近用户的地方进行接入控制，便于控制影响的范围。图2—5802.1x改造方案一方案三图2—6802.1x改造方案一如图2—6所示，可以将原来的三层交换机去除，直接用FlexHammer24替代，用户接入层的二层交换机直接会聚到FlexHammer24，三层交换功能和802.1x认证均由FlexHammer24来实现。港湾802.1x认证计费系统介绍建设一个的电信级的网络，不仅需要实现对用户的身份识别，看用户是否具有访问网络的权限，而且还需要针对不同的用户提供不同的计费策略，这也是各大电信运营商非常关注的问题。“宽带运营，计费先行〞这句话很形象的解释了运营与计费之间的利害关系。宽带就像一条信息高速公路，用户就象是在高速路上奔驰的汽车，计费管理系统就是道路交通法规，而运营商那么是交通警察，严格执行交通法规，以保障道路的畅通无阻。所谓没有规矩不成方圆，计费管理系统就是在为宽带网络保驾护航。运营商建设一个宽带的城域网，主要目的是能够通过这样的一个平台吸引更多的用户来使用网络，同时收取相应的费用用于网络的后期维护和系统的升级，那么如何能够吸引更多的用户是一个非常棘手的课题，其中的资费策略那么更是一个值得认真研究的问题。港湾公司提供全套商用的802.1x认证计费解决方案，不仅可以实现对用户的平安认证，防止非法用户的入侵和使用网络资源，而且配合后台的认证效劳器可以实现多种计费策略，如按时长、按流量或多种组合策略，可以说为运营商提供了更多的效劳选择空间。计费管理系统功能计费和管理是密不可分的，没有明确的收费策略就不能很好地进行管理；同时没有有效的管理，收费就没有了依据和保障。智能小区是一个住户数量较多和且相比照拟集中的地方，所以小区运营商更需要有一套完整的计费管理系统做保障，否那么中将会被市场的大潮所淘汰。针对小区，计费管理系统必须具备以下的功能：设立账户概念，以人为独立个体，计费和管理都需要依托账户存在；账户需要与IP、MAC、VLANAD进行多重绑定，设置多种用户识别手段，同时支持动态和静态绑定，静态绑定确保账户的平安和保密，防止用户篡改IP或盗用账户信息，动态绑定可以提供账户漫游的功能；提供首页重定向功能，运营商可以强制住户浏览运营商的门户站点上的内容，包括商业广告和收费政策等，支持用户自主式注册、效劳订购、费用查询和个人资料修改等等；对住户实行分组管理，可以按照地理位置/行政分组设置访问权限；提供多种定制效劳，同时将每种定制效劳在细分成多种效劳质量级别；针对每个住户及住户组进行实时监控，包括上网时间、流量、占用的带宽、上网的效劳类别等；设置费用/信用超限告警，支持多种条件在线查询费用，可以强制在线用户离线；可以向单个住户、用户组及满足条件的在线用户发送短消息；支持批量开户和销户；按流量、时间、效劳质量计费，支持分段费率、累计折扣、时段折扣、节假日折扣，并可以随时出账单；对于个人、集团、特殊等不同种类的拥护，设置不同的认证计费方式；开放性好，可以支持RADUIS协议；性能稳定，价格适中，产品技术成熟，性价比最优。只有具备了上述的功能，计费管理系统才可能真正为智能小区把关，使住户感到放心可靠，同时运营商可以高枕无忧。港湾计费管理系统解决方案针对802.1x技术的先进功能和特点，港湾已经开发出一套完整的商用802.1x认证计费系统iRadius，该系统可以提供以下功能：提供用户的802.1x认证功能。提供与802.1x相配合的Radius计费功能。提供计费帐务的查询和列表打印功能。iRadius系统主要分为认证授权、帐户管理、用户控制三个局部。它根据多种效劳类型为用户提供灵活的管理。限制访问控制功能大大减少了带宽浪费问题，效劳提供商本钱将降低，有效的提高宽带的利用率。iRadius兼容多种网络接入技术，可以对802.1x、Ethernet、xDSL和Wireless等多种接入用户进行控制，其对用户的控制是通过港湾的网络设备结合实现。当用户通过