利用802.1x协议实现局域网接入的可控管理

2013-12-12 10:24:39 电力信息化　点击量：评论 (0)

摘　要：802 1x协议可以为企业内联网提供一种安全的用户管理方式。本文介绍了802．1x协议体系结构，重点分析了协议的工作原理及机制，并与目前流行的宽带认证方式进行了比较，最后给出了其在企业局域网接入中实际

整体性能要求不高，可以有效降低建网成本。

3.2 认证和业务分离

802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

3.3 和其他认证方式的比较

802.1x协议虽然源于802.11无线以太网（EAPOW），但是，它在以太网中的引入，解决了传统的PPPoE和Web/Portal认证方式带来的问题，消除了网络瓶颈，简轻了网络封装开销，降低了建网成本。

众所周知，PPPoE是从基于ATM的窄带网引入到宽带以太网的，由此可以看出，PPPoE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，虽然其方式较灵活，在窄带网中有较丰富的应用经验，但是，它的封装方式，也造成了宽带以太网的种种等问题。在PPPoE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈。其次这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是我们传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发。为了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。

Web/Portal认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于Web认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建网成本。第三，Web是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证；为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。Web/Portal认证用户连接性差，不容易检测用户离线；用户在访问网络前，不管是 Telnet、FTP还是其他业务，必须使用浏览器进行Web认证，易用性不够好；而且认证前后业务流和数据流无法区分。所以，在以太网中，Web/Portal认证目前只是限于在酒店等特殊网络环境中使用。

四、8

上一页 1 2 3 4 5 6 7 下一页