分类: 系统运维
2008-03-21 17:48:39
为了保证用户和认证系统之间的链路处于激活状态,而不因为用户端设备发生故障造成异常死机,从而影响对用户计费的准确性,认证系统可以定期发起重新认证过程,该过程对于用户是透明的,即用户无需再次输入用户名/密码。重新认证由认证系统发起,时间从最近一次成功认证后算起。重新认证时间默认值为3600s,而且默认重新认证是关闭的。
对于认证系统和客户端之间通信的EAP报文,如果发生丢失,由认证系统负责进行报文的重传。在设定重传的时间时,考虑网络的实际环境,通常会认为认证系统和客户端之间报文丢失的概率比较低以及传送延迟短,因此一般通过一个超时计数器来设定,默认重传时间为30s。
对于有些报文的丢失重传比较特殊,如EAPoL-Start报文的丢失,由客户端负责重传;而对于EAP失败和EAP成功报文,由于客户端无法识别,认证系统不会重传。由于对用户身份合法性的认证最终由认证服务器执行,认证系统和认证服务器之间的报文丢失重传也很重要。另外,对于用户的认证,在执行802.1x认证时,只有认证通过后,才有DHCP发起和IP分配的过程。由于客户终端配置了DHCP自动获取,则可能在未启动802.1x客户端之前,就发起了DHCP的请求,而此时认证系统处于禁止通行状态,这样认证系统会丢掉初始化的DHCP帧,同时会触发认证系统发起对用户的认证。
由于DHCP请求超时过程为64s,所以如果802.1x认证过程能在这64s内完成,则DHCP请求不会超时,能顺利完成地址请求;如果终端软件支持认证后再执行一次DHCP,就不用考虑64s的超时限制。
1.4 802.1x协议的认证过程
802.1x协议认证过程是用户与服务器交互的过程,其认证步骤如下:
(1)用户开机后,通过802.1x客户端软件发起请求,查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包,就会向客户端发送响应包,并要求用户提供合法的身份标识,如用户名及其密码。
(2)客户端收到验证设备的响应后,提供身份标识给验证设备。由于此时客户端还未经过验证,因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器,进行认证。
(3)如果认证通过,则认证系统的受控逻辑端口打开。
(4)客户端软件发起DHCP请求,经认证设备转发到DHCPServer。
(5)DHCPServer为用户分配IP地址。
(6)DHCPServer分配的地址信息返回给认证系统,认证系统记录用户的相关信息,如MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。
(7)当认证设备检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。
(8)如果用户退出网络,可以通过客户端软件发起退出过程,认证设备检测到该数据包后,会通知AAA服务器停止计费,并删除用户的相关信息(如物理地址和IP地址),受控逻辑端口关闭;用户进入再认证状态。
(9)验证设备通过定期的检测保证链路的激活。如果用户异常死机,则验证设备在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。
2 几种认证方式比较
目前,在接入网中的认证方式除802.1x之外,还有PPPoE和Web+DHCP两种方式,在此把这几种认证方式做一比较。PPPoE的本质就是在以太网上跑PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在用户主机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在用户主机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率很低。
Web+DHCP采用旁路方式网络架构时,不能对用户进行类似带宽管理。另外,DHCP是动态分配IP地址,但其本身的成熟度加上设备对这种方式支持力度还较小,故在防止用户盗用IP地址等方面,还需要额外的手段来控制。除此之外,用户连接性差,易用性不够好。
802.1x协议为二层协议,不需要到达三层,而且接入交换机无须支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。在认证过程中,802.1x不用封装帧到以太网中,效率相对较高。
3 802.1x协议在宽带接入中的应用
以小区宽带接入为例,探讨802.1x协议在宽带接入中的应用。小区宽带接入中应用802.1x协议并不复杂,接入所用交换机要支持802.1x协议,并需RadiusServer和DHCP服务器存在,以完成认证功能。对于用户数量较少的小区,只需在整个小区出口处安装一台支持802.1x交换机;对于用户数量较多的小区,则可以在每个楼栋放置一台支持802.1x交换机,每台交换机都接入汇聚中心即可。
图4是一个基于802.1x协议的小区宽带接入网络拓扑图。这种方案和普通交换机接入方案在性能上是完全等效的,但是在安全性方面有普通方案无可比拟的优点。用户在接入宽带网过程中,用户与交换机的认证步骤与802.1x协议认证步骤一样。
需要指出的是,用户发出认证报文,是使用特定的组播MAC地址,设备发送用户的报文使用单播MAC地址,解决了认证报文的广播的问题,其他用户不能侦听到认证过程,从而无法知道用户的密码、账号,无法知道用户的MAC地址。
认证通过后的MAC地址与端口进行绑定。在通信过程中,可以保证用户使用网络的路径是唯一的。这样,通过认证的用户的数据包就不会泄露,保证了用户数据的安全性。
本文简要分析了802.1x协议及其工作原理,设计了一个基于802.1x的小区宽带接入系统的方案,该方案在充分发挥交换式以太网接入优点的前提下,可以有效地解决网络认证、安全问题。考虑接入网络安全性的需要,可以肯定,作为宽带网接入的安全解决方案,802.1x必将是未来的发展主流。
为了保证用户和认证系统之间的链路处于激活状态,而不因为用户端设备发生故障造成异常死机,从而影响对用户计费的准确性,认证系统可以定期发起重新认证过程,该过程对于用户是透明的,即用户无需再次输入用户名/密码。重新认证由认证系统发起,时间从最近一次成功认证后算起。重新认证时间默认值为3600s,而且默认重新认证是关闭的。
对于认证系统和客户端之间通信的EAP报文,如果发生丢失,由认证系统负责进行报文的重传。在设定重传的时间时,考虑网络的实际环境,通常会认为认证系统和客户端之间报文丢失的概率比较低以及传送延迟短,因此一般通过一个超时计数器来设定,默认重传时间为30s。
对于有些报文的丢失重传比较特殊,如EAPoL-Start报文的丢失,由客户端负责重传;而对于EAP失败和EAP成功报文,由于客户端无法识别,认证系统不会重传。由于对用户身份合法性的认证最终由认证服务器执行,认证系统和认证服务器之间的报文丢失重传也很重要。另外,对于用户的认证,在执行802.1x认证时,只有认证通过后,才有DHCP发起和IP分配的过程。由于客户终端配置了DHCP自动获取,则可能在未启动802.1x客户端之前,就发起了DHCP的请求,而此时认证系统处于禁止通行状态,这样认证系统会丢掉初始化的DHCP帧,同时会触发认证系统发起对用户的认证。
由于DHCP请求超时过程为64s,所以如果802.1x认证过程能在这64s内完成,则DHCP请求不会超时,能顺利完成地址请求;如果终端软件支持认证后再执行一次DHCP,就不用考虑64s的超时限制。
1.4 802.1x协议的认证过程
802.1x协议认证过程是用户与服务器交互的过程,其认证步骤如下:
(1)用户开机后,通过802.1x客户端软件发起请求,查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包,就会向客户端发送响应包,并要求用户提供合法的身份标识,如用户名及其密码。
(2)客户端收到验证设备的响应后,提供身份标识给验证设备。由于此时客户端还未经过验证,因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器,进行认证。
(3)如果认证通过,则认证系统的受控逻辑端口打开。
(4)客户端软件发起DHCP请求,经认证设备转发到DHCPServer。
(5)DHCPServer为用户分配IP地址。
(6)DHCPServer分配的地址信息返回给认证系统,认证系统记录用户的相关信息,如MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。
(7)当认证设备检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。
(8)如果用户退出网络,可以通过客户端软件发起退出过程,认证设备检测到该数据包后,会通知AAA服务器停止计费,并删除用户的相关信息(如物理地址和IP地址),受控逻辑端口关闭;用户进入再认证状态。
(9)验证设备通过定期的检测保证链路的激活。如果用户异常死机,则验证设备在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。
2 几种认证方式比较
目前,在接入网中的认证方式除802.1x之外,还有PPPoE和Web+DHCP两种方式,在此把这几种认证方式做一比较。PPPoE的本质就是在以太网上跑PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在用户主机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在用户主机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率很低。
Web+DHCP采用旁路方式网络架构时,不能对用户进行类似带宽管理。另外,DHCP是动态分配IP地址,但其本身的成熟度加上设备对这种方式支持力度还较小,故在防止用户盗用IP地址等方面,还需要额外的手段来控制。除此之外,用户连接性差,易用性不够好。
802.1x协议为二层协议,不需要到达三层,而且接入交换机无须支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。在认证过程中,802.1x不用封装帧到以太网中,效率相对较高。
3 802.1x协议在宽带接入中的应用
以小区宽带接入为例,探讨802.1x协议在宽带接入中的应用。小区宽带接入中应用802.1x协议并不复杂,接入所用交换机要支持802.1x协议,并需RadiusServer和DHCP服务器存在,以完成认证功能。对于用户数量较少的小区,只需在整个小区出口处安装一台支持802.1x交换机;对于用户数量较多的小区,则可以在每个楼栋放置一台支持802.1x交换机,每台交换机都接入汇聚中心即可。
图4是一个基于802.1x协议的小区宽带接入网络拓扑图。这种方案和普通交换机接入方案在性能上是完全等效的,但是在安全性方面有普通方案无可比拟的优点。用户在接入宽带网过程中,用户与交换机的认证步骤与802.1x协议认证步骤一样。
需要指出的是,用户发出认证报文,是使用特定的组播MAC地址,设备发送用户的报文使用单播MAC地址,解决了认证报文的广播的问题,其他用户不能侦听到认证过程,从而无法知道用户的密码、账号,无法知道用户的MAC地址。
认证通过后的MAC地址与端口进行绑定。在通信过程中,可以保证用户使用网络的路径是唯一的。这样,通过认证的用户的数据包就不会泄露,保证了用户数据的安全性。
本文简要分析了802.1x协议及其工作原理,设计了一个基于802.1x的小区宽带接入系统的方案,该方案在充分发挥交换式以太网接入优点的前提下,可以有效地解决网络认证、安全问题。考虑接入网络安全性的需要,可以肯定,作为宽带网接入的安全解决方案,802.1x必将是未来的发展主流。