基于以太網端口的用戶訪問控制技術

柏　鋼　蔡彤軍　王　正

摘要：

文章介紹了IEEE802.1x這一基于以太網端口的用戶訪問控制協議的內容和特點，論述了采用以太網接入時在以太網交換機上實現用戶認證的方法，并給出了一個寬帶城域網應用的解決方案。

關鍵詞：

寬帶城域網；802.1x協議；認證

ABSTRACT:

ContentsandfeaturesoftheIEEE802.1xprotocol,asubscriberaccesscontrol

protocolbasedonEthernetports,areintroduced.Themethodofrealizingsubscriberauth

enticationovertheEthernetexchangeisdiscussedandasolutiontotheapplicationo

fbroadbandMANisalsoprovided.

KEYWORDS:

BroadbandMAN;Protocol802.1x;Authentication

目前中國各地寬帶城域網的建設正如火如荼地進行，各電信運營商都在爭奪寬帶城域網這個未來電信競爭的制高點。從電信運營的角度來分析，目前的寬帶城域網與傳統的計算機網絡領域MAN(城域網)的概念存在較大的差異。其中最顯著的區別是，寬帶城域網應該是一個可運營、可管理的城域電信網絡，而不再是簡單的免費開放的城域計算機網絡平臺。

可運營、可管理的寬帶城域網的基礎就是用戶管理，沒有用戶管理能力的城域網平臺，其業務的推廣前景和贏利能力都值得懷疑。在目前大量采用的FTTx+LAN的建網方式中，采用BAS(寬帶接入服務器)和PPPoE(基于以太網的點到點協議)認證方法實現對用戶的管理是常見的思路(如圖1所示)。

BAS是寬帶接入服務器，它通常安裝在端局的POP(接入點)節點，負責終結由用戶PC機發起的PPPoE進程。在BAS的后面，連接了運營商的RADIUS(遠端授權撥號上網用戶服務)認證服務器和RADIUS計費服務器。但是，采用寬帶接入服務器和PPPoE技術的用戶管理方式也帶來了如下問題：

(1)由于寬帶接入服務器要終結大量的PPP會話，并轉發IP數據包，使寬帶接入服務器成為網絡性能的巨大“瓶頸”。

(2)寬帶接入服務器通常放置在端局的位置，其下是巨大的廣播域，從用戶安全角度考慮，需要通過VLAN(虛擬局域網)技術來實現用戶的隔離，但是目前的設備只能支持最大4096個虛擬局域網，無法支持端局以下巨大的用戶群體(虛擬局域網數超過4096個)。

(3)PPPoE+LAN的方式實現用戶隔離，由于PPPoE的點到點特性，使城域網主要的業務方向——組播視頻業務的開展受到極大地限制。

(4)由于寬帶接入服務器是在通常數據網絡設備之外額外增加的設備，采用BAS和PPPoE方式無形之中增加了城域網建設的投資。

有鑒于此，考慮采用一種基于以太網端口的用戶訪問控制技術，可以克服PPPoE方式帶來的諸多問題，同時完成城域網中LAN接入的用戶管理認證功能，避免引入寬帶接入服務器所帶來的巨大投資。

1基于以太網端口的用戶訪問控制技術

1.1技術介紹

基于以太網端口的用戶管理認證技術通過3個部分的功能實體來實現(如圖2所示)。

(1)用戶PC上的客戶端軟件

輸入用戶ID(標識)和密碼，實現認證的客戶端主要功能。

(2)靠近用戶側的以太網交換機

在普通以太網交換機上進行擴展，實現遠端授權撥號上網用戶服務認證代理功能，并根據RADIUS服務器的認證結果，開放用戶連接以太網業務端口的訪問權限。

(3)RADIUS服務器

進行用戶ID和密碼的認證，并返回結果給以太網交換機。

初始狀態下，與最終用戶相連的以太網交換機(放置在樓道的交換機)的所有業務端口是關閉的，只有管理和認證的端口是開放的。用戶通過客戶端軟件登錄交換機，交換機將用戶提供的ID和密碼傳送到后臺的RADIUS服務器(可以在本地，也可以通過廣域網設備連到遠地)上，如果用戶ID和密碼認證通過，則以太網交換機相應的業務端口打開，允許用戶訪問城域網絡。

通過這種基于L2(二層)以太網交換機的用戶管理方法，可以使城域網整體的組網變得非常簡單，通過L2以太網交換機和路由器兩種設備即基本實現，可同時實現業務的集中控制(以RADIUS為核心的業務中心控制)和分散實現(靠近用戶的以太網交換機實現)，滿足可運營、可管理寬帶城域網的用戶管理認證要求。

1.2IEEE802.1x協議

基于端口的網絡訪問控制技術，在傳統以太網設備的基礎上，采用IEEE802.1x協議提供對基于以太網端口點到點連接的用戶進行認證、授權的能力，從而使以太網設備可以達到電信運營的要求，尤其在寬帶城域網的建設中可以發揮重大的作用。

802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

(1)協議簡介

基于端口的網絡訪問技術的基本思想是網絡系統可以控制面向最終用戶的以太網端口，使得只有網絡系統允許并授權的用戶可以訪問網絡系統的各種業務(如以太網連接，網絡層路由，Internet接入等業務)。

網絡訪問技術的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包含3部分：

●認證者——對接入的用戶/設備進行認證的端口；

●請求者——被認證的用戶/設備；

●認證服務器——根據認證者的信息，對請求訪問網絡資源的用戶/設備進行實際認證功能的設備。

以太網的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權狀態。認證者的PAE根據認證服務器認證過程的結果，控制“受控端口”的授權/未授權狀態。處在未授權狀態的控制端口，拒絕用戶/設備的訪問。

(2)以太網端口的受控和非受控接入

圖3示意了受控端口的認證狀態對訪問的影響。認證者1(可能是以太網交換機的某個端口)的受控端口處于未授權狀態，因此受控端口對連接在物理端口上的用戶MAC(媒體訪問控制)是關閉的，用戶的幀無法通過受控端口訪問網絡資源；認證者2(以太網交換機的另一個端口)的受控端口已經授權，因此連接的端口是開放的，用戶可以自由訪問網絡資源。

(3)受控和非受控端口在用戶認證中的應用

圖4示意了受控和非受控端口在認證過程中的應用。用戶對網絡資源的正常訪問都是在認證、授權以后，通過受控端口進行的；而非受控的端口用于認證之前，傳遞認證所需的各種信息。認證者PAE根據認證過程的結果，改變受控端口的授權狀態，從而實現對用戶訪問網絡資源的限制。

(4)用戶以太網端口認證流程

用戶、以太網端口和認證服務器之間認證者(以太網端口)的受控端口處于未授權狀態，用戶/設備是無法享用認證者(以太網端口)提供的網絡接入業務的。認證者PAE利用非受控的端口，通過EAPoL協議與請求者PAE進行認證信息交互，并采用EAP協議與認證服務器進行通信。認證者PAE根據認證服務器返回的認證結果，開放或關閉受控端口的授權，從而控制最終用戶對網絡的訪問。

認證者PAE的作用相當于認證服務器的代理。它可以與認證服務器位于同一物理設備，也可以通過LAN、WAN與認證服務器進行本地和遠程認證。

(5)IEEE802.1x的主要內容

端口訪問控制的應用前提是在用戶(請求者)和認證者(以太網端口)之間提供一條點到點的連接，這樣使認證以端口的形式進行。

基于端口的網絡訪問控制定義了3方面內容：

●規定了請求者與認證者之間的認證信息通信協議；

●認證者與認證服務器之間的通信協議；

●根據協議交換的結果，控制認證者端口狀態的機制。

由于以太網設備(認證者)只是RADIUS的認證代理，負責傳遞認證信息，并根據認證服務器給出的結果進行操作，并不參與其實際的認證。因此，以太網認證可采用多種靈活的機制(包括：SmartCard、Kerberos、PublicKeyEncryption、OneTimePassword等)。

(6)802.1x協議的特點

基于以太網端口認證的802.1x協議有如下特點：

●借用了在RAS系統中常用的EAP(擴展認證協議)；

●可以使用現有的后臺認證系統降低部署的成本，并有豐富的業務支持；

●可以映射不同的用戶認證等級到不同的VLAN；

●可以使交換端口和無線LAN具有安全的認證接入功能；

●微軟的WindowsXP將支持802.1x用戶認證方式。

2在寬帶城域網中的應用

在目前寬帶城域網的建設中，采用LAN接入是非常重要的方式。但是，來自于傳統計算機網絡的以太網本身是基于開放的網絡系統，不能滿足電信級寬帶城域網對用戶管理功能的要求，目前大量采用的寬帶接入服務器和PPPoE方式還存在一些問題。而基于端口訪問控制的技術可以實現用戶設備在城域網邊緣的分散用戶控制和集中的認證管理；可以替代寬帶接入服務器實現城域網范圍內的用戶管理功能。圖5展示了采用基于以太網端口認證技術后的寬帶接入網絡結構。圖5中采取的解決方案是中興通訊提供的完整的基于以太網端口用戶認證的寬帶城域網LAN接入解決方案。圖中ZXB10-S300為中興通訊支持802.1x的以太網交換機設備，ZXR10-T32為中興通訊的邊緣路由器設備。

表1為采用以太網端口認證和采用寬帶接入服務器+PPPoE方式兩種解決方案的比較。從表中可以看出采用基于以太網端口用戶管理的寬帶接入解決方案在網絡結構、網絡性能、認證機制、計費方式等方面有其優勢。

3結束語

基于以太網端口的用戶認證管理技術通過簡單的設備實現了可管理、可運營的寬帶城域網所要求的用戶管理功能，同時避免了目前所采用的用戶管理認證方式帶來的諸多問題，消除了寬帶接入服務器設備帶來的巨大性能“瓶頸”，節省了購置寬帶接入服務設備所需的巨大投資，在城域網的建設中具有廣闊的前景。

參考文獻

1李勇.寬帶城域網實用手冊.北京:北京郵電大學出版社,2001

(收稿日期：2001-08-27)

作者簡介

柏鋼，東南大學畢業，博士。現工作于深圳市中興通訊股份有限公司南京研究所，從事數據產品的系統設計工作。

蔡彤軍，中南民族學院畢業。現工作于深圳市中興通訊股份有限公司南京研究所，從事路由器產品的系統設計工作。

王正，東南大學畢業。現工作于深圳市中興通訊股份有限公司南京研究所，從事數據產品的規劃設計工作。