1.1认证的主要方式
在宽带接入中,按用户与网络设备之间的通信方式,可将认证分为以下三种: ● PPPOE(包括PPPOA、PPTP等)
● Portal认证
● 802.1x认证
由于 以上几种方式各有各的优缺点、在实际的使用场合业有很大的区别,以下将逐个介绍这三种认证计费系统。
1.1.1 PPPOE计费认证
近年来,网络数据业务发展迅速,宽带用户呈爆炸式的增长,运营商在采用xDSL,LAN,HFC,无线等多种接入方式的同时,为了构建一个可运营、可管理、可盈利的宽带网络,十分关心如何有效地完成用户的管理,PPPoE就是随之出现的多种认证技术中的一种。
✧ PPPoE (PPP over Ethernet) 的工作原理
现代访问技术面临几个相互矛盾的目标:既要求通过一个远程客户端实现多用户的连接,又要求提供类似于PPP的访问控制和计费。PPPOE解决了这个矛盾。通过他每个用户都可以有其自己的PPP stack、Access Control、Billing、Type of Service。它是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。
PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到点的连接信息;PPP会话阶段执行标准的PPP过程。
一个典型的Discovery阶段包括以下4个步骤:
(1)主机首先主动发送广播包PADI寻接入服务器,PADI必须至少包含一个服务名称类型的TAG,以表明主机所要求提供的服务。
(2)接入服务器收到包后如果可以提供主机要求
生物三节律0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1
以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE)
会话ID(Session ID)长度(Length)
净荷(Payload)
(3)主机在回应PADO的接入服务器中选择一个合适的,并发送PADR告知接入服务器,PADR中必须声明向接入服务器请求的服务种类。
(4)接入服务器收到PADR包后开始为用户分配一个唯一的会话标识符Session ID,启动PPP状态机以准备开始PPP会话,并发送一个会话确认包PADS。
主机收到PADS后,双方进入PPP会话阶段。在会话阶段,PPPoE的以太网类域设置为0x8864,CODE为0x00,Session ID必须是Discovery阶段所分配的值。
PPP会话阶段主要是LCP、认证、NCP 3个协议的协商过程,LCP阶段主要完成建立、配置和检测数据链路连接,认证协议类型由LCP协商(CHAP或者PAP),NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。
制作智能卡 PADT包是会话中止包,它可以由会话双方的任意一方发起,但必须是会话建立之后才有效。
PPPoE的特点
PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输。
✧ PPPOE具有如下优点:
(1)PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计,计费方式灵活方便。
(2)PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。
✧ PPPOE还具有以下缺点:
(1)需要专门购置PPPOE接入设备-BAS设备(认证计费网关),BAS设备作为ATM为核心技术的认证计费设备,主要用在ATM网与IP网的网关处,该接入设备通常比较昂贵。
(2)由于PPP协议需要被再次封装到以太网帧中,所以封装效率稍低。
1.1.2 Portal认证
● 认证步骤:
(1) 用户主机上电启动,系统程序根据配置,通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址。
(2) BAS为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问Portal server和一些内部服务器,个别外部服务器如DNS)
(3) Portal server 向用户提供认证界面。在该页面中,用户输入账号和口令,并单击“log in”按钮。
(4)该按钮启动portal server上的JAVA程序,该程序将用户信息(IP地址,账号和口令)
送给网络中心设备BAS。
(5)BAS利用IP地址将到用户的二层地址、物理端口号(如vlan ID,ADSL PVC ID,PPP session ID).利用这些信息,对用户的合法性进行检查。便于以后的合法性检查。
(6)Radius Server返回认证结果给网络设备。
(7)认证通过后,修改该用户的ACL,用户可以访问外部因特网或特定的网络服务。
(8)用户离开网络前,连接到portal server 上,单击“断开网络”按钮,系统停止计费,删除标记的ACL和转发信息,限制用户不能访问外部网络。
(9)在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机,网络断开,直接关机等。
该认证方式用户操作简单,不需要专门安装客户端,只要装有浏览器即可。但也有以下缺点:
(1) 未认证用户就通过DHCP Server获IP地址造成整个网络的IP地址浪费及网络安全性
差。
(2) 所有的认证都必须到7层上才能完成,使整个网络的效率低下。
1.1.3 802.1x认证
● 工作流程
(1) 用户主机通过802.1x的客户端软件发出802.1x请求;
云计算导航
(2) 设备上的802.1x server端接受到请求后,提取出其中的EAP报文,交给Radius client模块封装后,发到radius server。
(3) Radius Server返回认证结果给设备;
(4) 设备把认证结果通过EAPOL协议通知用户,并记录相关用户信息;
(5) 用户侧的客户端软件收到认证通过结果后,发出DHCP请求;
(6) 设备收到DHCP请求后,检查是否转发请求,如果符合转发条件,则由DHCPRELAY模块向制定的DHCP Server发送;
(7) DHCP Server响应DHCP请求;
(8) 设备收到响应,转发给用户主机。同时,设备记录下用户的VLAN,MAC,IP等,为用户构建转发信息表;
(9) 设备根据Radius server 的认证结果,动态建立基于用户源IP的ACL。以控制用户的访问权限;
(10) 设备检测到用户的上网流量,向Radius server 发送计费开始的消息包。
(11) 用户主机会发出DHCP Release包。该包到达设备,网络设备删除用户的ACL,删除用户的转发信息。设备将向Radius server 发一个终止计费的消息包,该包同时也包含了用户的流量。计费结束。
(12) 用户主机死机或异常情况下,用户主机未发出DHCP Release 包。网络设备上增加ARP方式的主动握手检查,若一段时间内,未检测到用户流量或用户主机已经不在线,则将断开网络,向Radius server发一个终止计费的消息包,该包同时也包含了用户的流量。计费结束。
优点:
(1) 认证和管理分开,提高了网络的运行效率;
(2) 不使用BAS设备,减少了网络运营商的成本投入;
(3) 透传二层业务,方便今后业务的拓展。
(4) 标准协议,网络的安全性比较好,维护费用少。
1.1.3 三种认证方式的比较
通过以上的分析,PPPOE和WEB认证这种方式,不是传输效率低下,维护困难,就是业务扩展有问题,或者网络的建设成本比较高等缺点,只有802.1x的认证方式无论在接入成
本和管理难易上,还是在今后网络业务的扩展能力上,都具有相当的优越性。
认证方式 | portal | PPPOE | 802.1X |
标准 | 厂家私有 | RFC2516 | IEEE标准 |
封装开销 | 小 | 小 | 小 |
接入控制方式 | 设备端口 | 用户 | 用户 |
IP地址 | 认证前分配 | 气动加油泵认证后分配 | 认证后分配 |
多播支持 | 好李逢鹏 | 差 | 好 |
VLAN数目要求 | 多 | 无 | 无 |
支持多ISP | 较差 | 好 | 好 |
客户端软件 | 不需要 | 需要 | 需要 |
设备支持 | 厂家私有 | 业界设备 | 业界设备 |
用户连接性 | 差 | 好 | 好 |
对设备的要求 | 高(全程VLAN) | 一般(BAS) | 低 |
| | | |
1.1.4 总结
建立完善的用户安全管理控制系统,在新一代宽带IP城域网提供信令与交换分离的网络认证体系。非常有利于构建宽带网络的认证模式,可以随意扩展接入网。
● 支持业界最新的安全接入控制协议802.1x,通过将用户账号,MAC地址与端口的捆绑实现高效的用户控制能力,能根据不同的网络服务获得相应的权限,与RADIUS server紧密配合,确保只有合法用户才能使用网络资源。
● 支持IEEE802.1Q VLAN,通过为每个用户组分配一个独立的VLAN,将用户业务限制在指定的VLAN中,不同VLAN在二层交换中不能相互通信,在不同工作组间提供安全隔离,支持基于端口,协议类型,MACA地址,IP子网定义VLAN.
● 支持端口锁定技术,限制每端口用户的接入数量。