论文-宽带用户认证管理方式简论
- 格式:doc
- 大小:550.50 KB
- 文档页数:7
专业技术
职务评审论文
题目:宽带用户认证管理方式简论
宽带用户认证管理方式简论
【关键字】
宽带用户认证 PPPOE 802.1X
【摘要】
当前常见的几种宽带用户认证管理方式有PPPOE认证、IEEE 802.1x认证、Web Portal 认证。
在不同的应用环境里,这几种方式各有利弊。
本文对这三种认证管理方式的原理和特点作了简要介绍,并通过比较它们在不同应用环境里的应用效果,提出了宽带用户认证管理方式的发展趋势。
一、PPPOE认证
PPPoE是目前ADSL网络和以太网接入中主流认证协议,基于BRAS和PPPoE的认证方法是较早出现也是最常见的一种用户管理手段。
PPPOE协议共包括两个阶段,即PPPOE的发现阶段和PPPOE的会话阶段。
无论是哪一个阶段的数据报文最终会被封装成以太网的帧进行传送。
发现阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到点的连接信息。
PPPOE 的发现阶段可分为四步,其实这个过程也是PPPOE四种数据报文交换的一个过程。
当完成这四步后,用户主机与BRAS双方就能获知对方的MAC地址和唯一的会话ID号,从而进入到下一个阶段(PPPOE的会话阶段)。
实际上双方在互相知道了对方的MAC地址后,就已经在广播式的网络上确定了一一的对应关系,为了保证这个连接的有效性,同时使PPPOE协议能更加灵活的运用,因此还加入了会话ID字段,通过这两个条件就可完成确定双方
点对点的关系。
PPP会话阶段执行标准的PPP过程,一旦PPPOE进入到会话阶段,则PPP的数据报文就会被填充在PPPOE的净载荷中被传送,这时两者所发送的所有以太网包均是单目地址,整个会话的过程就是PPP的会话过程,但在PPPOE数据域内的PPP数据帧是从协议域开始的。
一个完整的PPPOE过程如下图所示:
PPPoE是一个客户端/服务器协议。
根据以上PPPOE会话过程所述,客户端需要发送PADI包寻找BRAS,因此它必须同BRAS在同一个广播式的二层网络内。
在宽带网络中,PPPOE与VLAN的结合很好地解决了这方面的安全隐患。
通过将不同业务类型的用户分配到不同的VLAN处理,可以灵活地开展业务,加快处理流程,当然VLAN的规划必须在二层设备和BRAS之间
统一协调。
BRAS收到上行的PPPoE包后,首先判别VLAN ID的所属类别,如果是普通的拨号用户,则确定是Discovery阶段还是会话阶段的数据包,并严格按照PPPoE协议处理。
在会话阶段,根据不同的用户类型从不同的地址池中向用户分配IP地址,地址池由上层网管配置。
如果是已经通过认证的用户的数据包,则根据该用户的服务类型处理,比如,如果是本地认证的拨号用户,且对方也申请有同样的功能,则直接由本地转发。
对于下行数据,由于BRAS负责分配和解析用户的IP,兼有网关的功能,它收到数据包的目的IP是用户的,因此以IP为索引查找用户的信息比根据MAC要方便得多,这一点与普通的交换机有所不同,具体过程跟上行处理差不多。
PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输,此外还有如下特点:
(1)PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时或流量的统计,计费方式灵活方便。
(2)PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。
(3)用户通过免费的PPPoE客户端软件(如EnterNet、山东通信公司宽带拨号软件、WINDOWS XP系统自带软件等),输入用户名和密码就可以上网,跟传统的拨号上网差不多,最大程度地延续了用户的习惯,从运营商的角度来看,PPPoE对其现存的网络结构进行变更也很小。
二、IEEE 802.1x认证
IEEE 802.1x标准用于基于以太技术的局域网、城域网和各种宽带接入手段的用户/设备接入认证。
该协议最初假定的应用环境是交换式以太网中,但是在标准化过程中也考虑到了像801.11b和Cable接入等共享式以太网络应用环境对认证的要求。
802.1x认证采用基于以太网端口的用户访问控制技术,可以克服PPPoE方式带来的诸多问题,并避免引入集中式宽带接入服务器所带来的巨大投资。
在传统以太网设备基础上,基于端口的网络访问控制技术采用IEEE 802.1x协议,提供了对基于以太网的点到点连接的端口用户进行认证和授权的能力,从而使以太网设备达到电信运营要求。
用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理,用户PC机运行EAPoL(EAP over LAN)的客户端软件与交换机通信。
基于端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等业务)。
802.1x协议是基于Client/Server(用户PC机运行客户端软件来请求认证, 用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理向认证服务器提交信息, 认证服务器根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
)的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。
在获得交换机或LAN 提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)
数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
基于以太网端口认证的802.1x协议有如下特点:
(1)IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;
(2)借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;
(3)802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;
(4)可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
三、Web Portal 认证
Web Portal 认证方式的最大优势是用户使用的便利性,不需要客户端拨号软件,在一定程度上免去了客户端维护的工作量。
另外,在Portal页面上开展广告业务、服务选择和信息发布等内容,可以拓展业务与运营。
DSL及LAN拨号接入均可采用DHCP+WEB认证方式。
但在一些商用案例实践中发现DHCP+WEB认证在安全性上还是存在一些问题,适合在较小范围的特定用户群中使用。
Web Portal 认证方式典型方案示意图如下:
LAN DHCP+WEB认证接入示意图
四、应用环境及发展趋势
PPPoE是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。
采用PPP协议的好处是:成熟,便于实现,可以支持多协议,容易与运营商现有设施配合,支持加密、认证、记账等功能。
但是PPPoE 也存在一些固有的缺陷,尤其是认证流和业务流混合,认证流和业务流采用相同封装,除了业务流引入不必要的PPP封装开销之外,还限制了一些新兴的组播和流媒体应用在宽带网络的中的推广。
802.1x技术代表了电信级宽带网络发展的趋势,即认证和业务分离,支持多业务。
但是802.1x取代PPPoE是一个渐进的过程。
网络现状是我们不得不考虑的问题:其中最主要的问题是楼道交换机功能简单,不支持802.1x。
目前,应该以PPPoE接入认证方式为主。
但为了适应业务发展的需要,如提供更丰富的计费方式等,应密切关注并适当的有规划的开展Web Portal、802.1x等认证方式的应用。