利用802.1x協議實現局域網接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協議可以為企業內聯網提供一種安全的用戶管理方式。本文介紹了802．1x協議體系結構，重點分析了協議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業局域網接入中實際

整體性能要求不高，可以有效降低建網成本。

3.2 認證和業務分離

802.1x的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現業務與認證的分離。用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求，業務可以很靈活，尤其在開展寬帶組播等方面的業務有很大的優勢，所有業務都不受認證方式限制。

3.3 和其他認證方式的比較

802.1x協議雖然源于802.11無線以太網（EAPOW），但是，它在以太網中的引入，解決了傳統的PPPoE和Web/Portal認證方式帶來的問題，消除了網絡瓶頸，簡輕了網絡封裝開銷，降低了建網成本。

眾所周知，PPPoE是從基于ATM的窄帶網引入到寬帶以太網的，由此可以看出，PPPoE并不是為寬帶以太網量身定做的認證技術，將其應用于寬帶以太網，必然會有其局限性，雖然其方式較靈活，在窄帶網中有較豐富的應用經驗，但是，它的封裝方式，也造成了寬帶以太網的種種等問題。在PPPoE認證中，認證系統必須將每個包進行拆解才能判斷和識別用戶是否合法，一旦用戶增多或者數據包增大，封裝速度必然跟不上，成為了網絡瓶頸。其次這樣大量的拆包解包過程必須由一個功能強勁同時價格昂貴的設備來完成，這個設備就是我們傳統的BAS，每個用戶發出的每個數據包BAS必須進行拆包識別和封裝轉發。為了解決瓶頸問題，廠商想出了提高BAS性能，或者采用大量分布式BAS等方式來解決問題，但是BAS的功能就決定了它是一個昂貴的設備，這樣一來建設成本就會越來越高。

Web/Portal認證是基于業務類型的認證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認證走的是7層協議，從邏輯上來說為了達到網絡2層的連接而跑到7層做認證，這首先不符合網絡邏輯。其次由于認證走的是7層協議，對設備必然提出更高要求，增加了建網成本。第三，Web是在認證前就為用戶分配了IP地址，對目前網絡珍貴的IP地址來說造成了浪費，而且分配IP地址的DHCP對用戶而言是完全裸露的，容易造成被惡意攻擊，一旦受攻擊癱瘓，整網就沒法認證；為了解決易受攻擊問題，就必須加裝一個防火墻，這樣一來又大大增加了建網成本。Web/Portal認證用戶連接性差，不容易檢測用戶離線；用戶在訪問網絡前，不管是 Telnet、FTP還是其他業務，必須使用瀏覽器進行Web認證，易用性不夠好；而且認證前后業務流和數據流無法區分。所以，在以太網中，Web/Portal認證目前只是限于在酒店等特殊網絡環境中使用。

四、8

上一頁 1 2 3 4 5 6 7 下一頁