陳麗君

?

802.1X和PPPoE認(rèn)證在晉煤集團(tuán)網(wǎng)絡(luò)中的應(yīng)用

陳麗君

山西省晉煤集團(tuán)通信分公司運(yùn)維中心，山西 晉城 048006

計(jì)算機(jī)網(wǎng)絡(luò)中的常用認(rèn)證方式有802.1X和PPPoE兩種方式。因此，簡單介紹了這兩種認(rèn)證方式的優(yōu)缺點(diǎn)以及晉煤集團(tuán)的網(wǎng)絡(luò)現(xiàn)狀。

802.1X協(xié)議；PPPoE協(xié)議；身份認(rèn)證

1 概述

在企業(yè)內(nèi)網(wǎng)安全管理中，準(zhǔn)入控制是所有終端管理功能實(shí)現(xiàn)的基礎(chǔ)所在。采用相應(yīng)的準(zhǔn)入控制技術(shù)能夠主動(dòng)監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，隔離不安全的電腦。

目前，在網(wǎng)絡(luò)中我們常用到的主流用戶接入身份認(rèn)證方式有802.1X和PPPoE兩種方式。

2 802.1X簡介

802.1x 稱為基于端口的訪問控制協(xié)議?；诙丝诘脑L問控制能夠在利用IEEE 802 LAN的優(yōu)勢(shì)基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)（LAN）設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)的手段。通過這種方式的認(rèn)證，能夠在 LAN這種多點(diǎn)訪問環(huán)境中提供一種點(diǎn)對(duì)點(diǎn)的識(shí)別用戶的方式。

802.1X協(xié)議采用典型的客戶端/服務(wù)器體系結(jié)構(gòu)，包括三個(gè)主要的部分：客戶端（Supplicant System）、認(rèn)證系統(tǒng)（Authenticator System）以及認(rèn)證服務(wù)器（Authentication Server System）。

客戶端指LAN所連接的一端的實(shí)體（entity），它向認(rèn)證系統(tǒng)（Authenticator）發(fā)起請(qǐng)求，對(duì)其身份的合法性進(jìn)行檢驗(yàn)?？蛻舳艘话銥橐粋€(gè)用戶終端系統(tǒng)。該終端系統(tǒng)通常需要安裝一個(gè)客戶端軟件，用戶通過啟動(dòng)這個(gè)客戶端軟件發(fā)起802.1X協(xié)議的認(rèn)證過程。

認(rèn)證系統(tǒng)指在LAN連接的一端用于認(rèn)證另一端設(shè)備的實(shí)體（entity）。認(rèn)證系統(tǒng)也稱NAS（Network Access System，網(wǎng)絡(luò)接入系統(tǒng)），通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備。

認(rèn)證服務(wù)器指為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體。這里認(rèn)證服務(wù)器所提供的服務(wù)是指通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)，來判斷該請(qǐng)求者是否有權(quán)使用認(rèn)證系統(tǒng)所提供的網(wǎng)絡(luò)服務(wù)。

認(rèn)證服務(wù)器通常為Radius服務(wù)器，該服務(wù)器可以存儲(chǔ)有關(guān)用戶的認(rèn)證、計(jì)費(fèi)、業(yè)務(wù)信息。

3 PPPoE簡介

PPPoE是一種通過一個(gè)遠(yuǎn)端接入設(shè)備為以太網(wǎng)上的主機(jī)提供接入服務(wù)，并可以對(duì)接入的每個(gè)主機(jī)實(shí)現(xiàn)控制和計(jì)費(fèi)的技術(shù)。

PPPoE使用Client/Server模型，PPPoE的客戶端為PPPoE Client，PPPoE的服務(wù)器端為PPPoE Server。PPPoE Client向PPPoE Server發(fā)起連接請(qǐng)求，兩者之間會(huì)話協(xié)商通過后，PPPoE Server向PPPoE Client提供接入控制、認(rèn)證等功能。

根據(jù)PPP會(huì)話的起止點(diǎn)所在位置的不同，有兩種組網(wǎng)結(jié)構(gòu)：

第一種方式在設(shè)備之間建立PPP會(huì)話，所有主機(jī)通過同一個(gè)PPP會(huì)話傳送數(shù)據(jù)。主機(jī)上不用安裝PPPoE客戶端撥號(hào)軟件，一般是一個(gè)企業(yè)共用一個(gè)賬號(hào)。

第二種部署方式，PPP會(huì)話建立在Host和運(yùn)營商的路由器之間，為每一個(gè)Host建立一個(gè)PPP會(huì)話。每個(gè)Host都是PPPoE Client，每個(gè)Host一個(gè)帳號(hào)，方便運(yùn)營商對(duì)用戶進(jìn)行計(jì)費(fèi)和控制。Host上必須安裝PPPoE客戶端撥號(hào)軟件[1]。

4 802.1x協(xié)議和PPPoE協(xié)議的對(duì)比

4.1 802.1x的優(yōu)點(diǎn)

802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)無需支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

通過組播實(shí)現(xiàn)，解決其他認(rèn)證協(xié)議廣播問題。對(duì)組播業(yè)務(wù)的支持性好。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上。用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒有特殊要求。

4.2 802.1x的缺點(diǎn)

需要特定的客戶端軟件：由于802.1x是比較新的二層協(xié)議，要求接入層交換機(jī)支持認(rèn)證報(bào)文透傳或完成認(rèn)證過程。因此在全面采用該協(xié)議的過程中，存在對(duì)已經(jīng)在網(wǎng)上的用戶交換機(jī)的升級(jí)處理問題。

4.2.1 IP地址分配和網(wǎng)絡(luò)安全問題

802.1x協(xié)議是一個(gè)2層協(xié)議，只負(fù)責(zé)完成對(duì)用戶端口的認(rèn)證控制。完成端口認(rèn)證，用戶進(jìn)入三層IP網(wǎng)絡(luò)后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡(luò)安全等問題。因此，單靠以太網(wǎng)交換機(jī)結(jié)合802.1x的模式，無法全面解決網(wǎng)絡(luò)接入的可運(yùn)營、可管理以及接入安全性等方面的問題。

4.2.2 計(jì)費(fèi)問題

802.1x協(xié)議可以根據(jù)用戶完成認(rèn)證和離線間的時(shí)間進(jìn)行時(shí)長計(jì)費(fèi)，但不能統(tǒng)計(jì)流量，因此無法開展基于流量的計(jì)費(fèi)或滿足用戶永遠(yuǎn)在線的要求[2]。

4.3 PPPoE的優(yōu)點(diǎn)

（1）傳統(tǒng)PSTN窄帶撥號(hào)接入技術(shù)在以太網(wǎng)接入技術(shù)的延伸；（2）和原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致；（3）最終用戶相對(duì)比較容易接收。

4.4 PPPoE的缺點(diǎn)

（1）PPP協(xié)議和Ethernet技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低；（2）PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量，對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響；（3）組播業(yè)務(wù)開展困難，而視頻業(yè)務(wù)大部分是基于組播的；（4）需要提供客戶終端軟件，維護(hù)工作量過大；（5）PPPoE認(rèn)證一般需要外置BAS設(shè)備（Broadband Access Server），認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過BAS設(shè)備，這容易造成單點(diǎn)瓶頸和故障。

5 晉煤集團(tuán)網(wǎng)絡(luò)所采用的協(xié)議

晉煤集團(tuán)網(wǎng)絡(luò)現(xiàn)分為辦公網(wǎng)和信息網(wǎng)。生產(chǎn)網(wǎng)是為了滿足各單位及各礦井生產(chǎn)數(shù)據(jù)的上傳和各應(yīng)用系統(tǒng)的正常運(yùn)行。信息網(wǎng)主要是為了滿足人們的日常上網(wǎng)需求，為其提供巨大的信息資源和服務(wù)資源。

結(jié)合晉煤集團(tuán)的網(wǎng)絡(luò)現(xiàn)狀，由于辦公網(wǎng)采用了固定IP地址，而且根據(jù)子分公司劃分了子網(wǎng)及VLAN，綜合上述協(xié)議的特點(diǎn)，選用了802.1X協(xié)議作為辦公網(wǎng)的認(rèn)證計(jì)費(fèi)協(xié)議[3]。

信息網(wǎng)是面向家庭用戶的，家庭用戶普遍具有動(dòng)態(tài)IP，無線Wi-Fi的需求，而且每個(gè)用戶之間都是隔離的。綜合上述協(xié)議的特點(diǎn)，選用了PPPOE協(xié)議作為信息網(wǎng)的認(rèn)證計(jì)費(fèi)協(xié)議。

[1]陳湘源.煤礦無線通信系統(tǒng)的現(xiàn)狀與發(fā)展[J].工礦自動(dòng)化，2009（1）：33-36.

[2]熊卿青，鄧媛.現(xiàn)代無線通信技術(shù)的現(xiàn)狀分析及其發(fā)展前景[J].科技創(chuàng)新導(dǎo)報(bào)，2012（2）：31.

[3]呂志強(qiáng).煤礦井下通信系統(tǒng)的現(xiàn)狀及趨勢(shì)[J].中國煤炭，2014（5）：89-92.

Application of 802.1X and PPPoE Authentication in Jincheng Anthracitemining Mining Group Network

Chen Lijun

Shanxi Jincheng Anthracitemining Mining Group Communications Branch Operation and Maintenance Center,Shanxi Jincheng 048006

There are two common methods of authentication in computer networks: 802.1X and PPPoE. The paper briefly introduces the advantages and disadvantages of the two authentication methods and the network status of Jin coal group.

802.1X protocol; PPPoE protocol; identity authentication

TP393.18

A

1009-6434（2017）10-0037-02