802.1X和PPPoE認證在晉煤集團網絡中的應用

陳麗君

?

802.1X和PPPoE認證在晉煤集團網絡中的應用

陳麗君

山西省晉煤集團通信分公司運維中心，山西 晉城 048006

計算機網絡中的常用認證方式有802.1X和PPPoE兩種方式。因此，簡單介紹了這兩種認證方式的優缺點以及晉煤集團的網絡現狀。

802.1X協議；PPPoE協議；身份認證

1 概述

在企業內網安全管理中，準入控制是所有終端管理功能實現的基礎所在。采用相應的準入控制技術能夠主動監控桌面電腦的安全狀態和管理狀態，隔離不安全的電腦。

目前，在網絡中我們常用到的主流用戶接入身份認證方式有802.1X和PPPoE兩種方式。

2 802.1X簡介

802.1x 稱為基于端口的訪問控制協議。基于端口的訪問控制能夠在利用IEEE 802 LAN的優勢基礎上提供一種對連接到局域網（LAN）設備或用戶進行認證和授權的手段。通過這種方式的認證，能夠在 LAN這種多點訪問環境中提供一種點對點的識別用戶的方式。

802.1X協議采用典型的客戶端/服務器體系結構，包括三個主要的部分：客戶端（Supplicant System）、認證系統（Authenticator System）以及認證服務器（Authentication Server System）。

客戶端指LAN所連接的一端的實體（entity），它向認證系統（Authenticator）發起請求，對其身份的合法性進行檢驗。客戶端一般為一個用戶終端系統。該終端系統通常需要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起802.1X協議的認證過程。

認證系統指在LAN連接的一端用于認證另一端設備的實體（entity）。認證系統也稱NAS（Network Access System，網絡接入系統），通常為支持802.1X協議的網絡設備。

認證服務器指為認證系統提供認證服務的實體。這里認證服務器所提供的服務是指通過檢驗客戶端發送來的身份標識，來判斷該請求者是否有權使用認證系統所提供的網絡服務。

認證服務器通常為Radius服務器，該服務器可以存儲有關用戶的認證、計費、業務信息。

3 PPPoE簡介

PPPoE是一種通過一個遠端接入設備為以太網上的主機提供接入服務，并可以對接入的每個主機實現控制和計費的技術。

PPPoE使用Client/Server模型，PPPoE的客戶端為PPPoE Client，PPPoE的服務器端為PPPoE Server。PPPoE Client向PPPoE Server發起連接請求，兩者之間會話協商通過后，PPPoE Server向PPPoE Client提供接入控制、認證等功能。

根據PPP會話的起止點所在位置的不同，有兩種組網結構：

第一種方式在設備之間建立PPP會話，所有主機通過同一個PPP會話傳送數據。主機上不用安裝PPPoE客戶端撥號軟件，一般是一個企業共用一個賬號。

第二種部署方式，PPP會話建立在Host和運營商的路由器之間，為每一個Host建立一個PPP會話。每個Host都是PPPoE Client，每個Host一個帳號，方便運營商對用戶進行計費和控制。Host上必須安裝PPPoE客戶端撥號軟件[1]。

4 802.1x協議和PPPoE協議的對比

4.1 802.1x的優點

802.1x協議為二層協議，不需要到達三層，而且接入層交換機無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網成本。

通過組播實現，解決其他認證協議廣播問題。對組播業務的支持性好。業務報文直接承載在正常的二層報文上。用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求。

4.2 802.1x的缺點

需要特定的客戶端軟件：由于802.1x是比較新的二層協議，要求接入層交換機支持認證報文透傳或完成認證過程。因此在全面采用該協議的過程中，存在對已經在網上的用戶交換機的升級處理問題。

4.2.1 IP地址分配和網絡安全問題

802.1x協議是一個2層協議，只負責完成對用戶端口的認證控制。完成端口認證，用戶進入三層IP網絡后，需要繼續解決用戶IP地址分配、三層網絡安全等問題。因此，單靠以太網交換機結合802.1x的模式，無法全面解決網絡接入的可運營、可管理以及接入安全性等方面的問題。

4.2.2 計費問題

802.1x協議可以根據用戶完成認證和離線間的時間進行時長計費，但不能統計流量，因此無法開展基于流量的計費或滿足用戶永遠在線的要求[2]。

4.3 PPPoE的優點

（1）傳統PSTN窄帶撥號接入技術在以太網接入技術的延伸；（2）和原有窄帶網絡用戶接入認證體系一致；（3）最終用戶相對比較容易接收。

4.4 PPPoE的缺點

（1）PPP協議和Ethernet技術本質上存在差異，PPP協議需要被再次封裝到以太幀中，所以封裝效率很低；（2）PPPoE在發現階段會產生大量的廣播流量，對網絡性能產生很大的影響；（3）組播業務開展困難，而視頻業務大部分是基于組播的；（4）需要提供客戶終端軟件，維護工作量過大；（5）PPPoE認證一般需要外置BAS設備（Broadband Access Server），認證完成后，業務數據流也必須經過BAS設備，這容易造成單點瓶頸和故障。

5 晉煤集團網絡所采用的協議

晉煤集團網絡現分為辦公網和信息網。生產網是為了滿足各單位及各礦井生產數據的上傳和各應用系統的正常運行。信息網主要是為了滿足人們的日常上網需求，為其提供巨大的信息資源和服務資源。

結合晉煤集團的網絡現狀，由于辦公網采用了固定IP地址，而且根據子分公司劃分了子網及VLAN，綜合上述協議的特點，選用了802.1X協議作為辦公網的認證計費協議[3]。

信息網是面向家庭用戶的，家庭用戶普遍具有動態IP，無線Wi-Fi的需求，而且每個用戶之間都是隔離的。綜合上述協議的特點，選用了PPPOE協議作為信息網的認證計費協議。

[1]陳湘源.煤礦無線通信系統的現狀與發展[J].工礦自動化，2009（1）：33-36.

[2]熊卿青，鄧媛.現代無線通信技術的現狀分析及其發展前景[J].科技創新導報，2012（2）：31.

[3]呂志強.煤礦井下通信系統的現狀及趨勢[J].中國煤炭，2014（5）：89-92.

Application of 802.1X and PPPoE Authentication in Jincheng Anthracitemining Mining Group Network

Chen Lijun

Shanxi Jincheng Anthracitemining Mining Group Communications Branch Operation and Maintenance Center,Shanxi Jincheng 048006

There are two common methods of authentication in computer networks: 802.1X and PPPoE. The paper briefly introduces the advantages and disadvantages of the two authentication methods and the network status of Jin coal group.

802.1X protocol; PPPoE protocol; identity authentication

TP393.18

A

1009-6434（2017）10-0037-02