寬帶接入的認證管理方式分析

深圳市中興通訊股份有限公司　陳曉濤

　　電信運營商的網(wǎng)絡是一個可運營可管理的網(wǎng)絡，前期網(wǎng)絡的泡沫不在于我們的網(wǎng)絡規(guī)模是否超前，我們的帶寬是否太大，而是我們如何管理和運營我們的網(wǎng)絡，從中真正得到應有的效益，同時讓不同需求的用戶得到不同的服務，還有就是充分挖掘現(xiàn)有網(wǎng)絡的潛力，在目前的網(wǎng)絡中提供更多的服務。有必要強調：寬帶城域網(wǎng)應該是一個可運營、可管理的城域電信網(wǎng)絡，而不再是簡單的免費開放的城域計算機網(wǎng)絡平臺。



　　所以我們必須重新審視寬帶城域網(wǎng)建設中的認證、計費、業(yè)務開展等。



　　一、寬帶接入認證技術概述


　　目前寬帶接入的方式主要有xDSL、LMDS、HomePNA、LAN、HFC、WLAN等，根據(jù)不同電信運營商的基礎網(wǎng)絡結構，目前重點應用的有LAN、ADSL、WLAN。


　　以太網(wǎng)接入是指接入網(wǎng)用戶側采用以太網(wǎng)協(xié)議的接入技術，其簡單高效，能兼容所有帶標準以太網(wǎng)接口的終端，用戶不需要另配新的接口卡或協(xié)議軟件，因而是一種十分廉價的寬帶接入技術。因傳統(tǒng)以太網(wǎng)主要針對小型的專用網(wǎng)絡環(huán)境而設計，強調資源共享，所以在用戶信息的隔離、用戶傳輸質量的保證、業(yè)務管理和網(wǎng)絡可靠性方面考慮不太全面，這對以太網(wǎng)用于公用電信網(wǎng)很不利。目前一些設備制造商和運營商已注意到這些問題，提出了一些有效的解決方案：如通過VLAN進行用戶隔離，用IGMP Snooping(互聯(lián)網(wǎng)組管理協(xié)議竊聽)技術以及優(yōu)先級控制、Tagged VLAN(帶標記的虛擬局域網(wǎng))等功能支持有實時與組播要求的視頻點播業(yè)務等；在用戶管理方面常用兩種以太網(wǎng)接入認證技術--基于BNAS(寬帶接入服務器)和PPPoE(基于以太網(wǎng)的點到點協(xié)議)認證方法以及基于以太網(wǎng)端口的用戶訪問控制技術IEEE 802.1x協(xié)議。


　　另外一種方式為WEB/Portal 認證方式，各設備廠商具體實現(xiàn)并不完全一致，但其認證過程可以歸納為：用戶開機并通過DHCP服務器分配認證IP地址，局端設備通過對該IP地址進行強制URL訪問到登陸頁面，用戶輸入用戶賬號信息并發(fā)往認證服務器, 認證服務器獲得用戶MAC/IP/VLAN ID作為用戶標識，認證服務器反饋認證成功信息，局端設備將用戶VLAN ID、用戶端口、用戶IP地址和MAC地址進行可選擇性的綁定并開放用戶的上網(wǎng)功能。這種方式認證和業(yè)務流也實現(xiàn)了分離，并可以方便地利用WEB服務器推出Portal和廣告等增值業(yè)務，對用戶進行業(yè)務宣傳及業(yè)務引導。



　　二、WEB/Portal 認證過程


　　WEB/Portal 認證過程可以簡單描述如下：


　　1．用戶通過Web/Portal server內置DHCP獲得IP地址。


　　2．用戶通過Explore訪問WEB/Portal Server,輸入用戶名和密碼。


　　3． WEB/Portal Server獲得用戶MAC/IP/VID作為用戶標識。


　　4．通過Server給某個MAC/IP/VID以上網(wǎng)權限，并檢驗每個數(shù)據(jù)流是否滿足權限要求。


　　5．用戶下線，需要在WEB/PORTAL的Explore界面上注銷，通知系統(tǒng)停止計費。


　　6．系統(tǒng)定期檢測用戶在線情況，發(fā)現(xiàn)用戶下線，停止計費。


　　傳統(tǒng)的Web/Portal認證是基于業(yè)務類型的認證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認證需要7層協(xié)議支持，從邏輯上來說為了達到網(wǎng)絡2層的連接和認真而跑到7層，這首先不符合網(wǎng)絡邏輯。


　　由于Web/Portal認證是基于7層的認證，4層以下的網(wǎng)絡問題往往檢測不到。如斷電、突發(fā)故障等異常離線情況必須在2層做檢測，而Web/Portal對此束手無策。因此Web/Portal認證用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)。


　　如果用戶是異常下線，接入服務器需要根據(jù)設置的用戶空閑最長時間來判斷用戶的狀態(tài)。如果超過最長空閑時間，則認為用戶已下線。這種判斷用戶異常下線的方式，可能導致計費結束時間晚于用戶實際的下線時間。要解決這個問題，就可能需要將用戶空閑的最長時間設短，但此時間如果太短，必然又有可能讓用戶在上網(wǎng)的過程中出現(xiàn)多次需要重新進行認證，帶來使用的不方便。


　　Web/Portal認證中，無論什么用戶都可以先獲得IP地址，再上網(wǎng)通過客戶端認證，對目前網(wǎng)絡珍貴的IP地址來說造成了浪費，而且分配IP地址的Web認證服務器對用戶而言是完全裸露的，容易造成被惡意攻擊，并使得整網(wǎng)無法認證。


　　目前， Web/Portal認證在酒店、校園等網(wǎng)絡環(huán)境中有應用。



　　三、PPPoE認證


　　基于BNAS和PPPoE的認證方法是較早出現(xiàn)也是最常見的一種用戶管理手段。


　　采用安裝在端局POP節(jié)點的BNAS，負責終結由用戶PC機發(fā)起的PPPoE進程，并在BNAS后面連接運營商的RADIUS(遠程認證撥入用戶服務)認證服務器和RADIUS計費服務器。當用戶登錄時，BNAS將用戶名和口令傳送到認證服務器，驗證通過后，BNAS將允許用戶接入網(wǎng)絡，并啟動計費服務器對用戶進行計費。BNAS投資昂貴，采用BNAS+PPPoE這一認證方法將增加城域網(wǎng)建設的投資。


　　BNAS的業(yè)務接入方式與窄帶撥號接入服務器相同，采用PPP方式。采用PPP協(xié)議的好處是：成熟，便于實現(xiàn)，可以支持多協(xié)議，容易與ISP設施配合，支持加密、認證、記賬等功能。


　　1． PPP終結方式和PPP隧道方式


　　由于PPP連接的終結地方不同，RADIUS或者AAA功能的提供點不同，PPP連接可以分為PPP終結方式和PPP隧道（續(xù)傳）方式。


　　PPP連接終結在BNAS側，稱為PPP終結方式。


　　PPP連接終結在ISP，即PPP分組從用戶終端經(jīng)過BNAS透明穿過，直接到達ISP節(jié)點，稱為PPP隧道方式或者PPP續(xù)傳方式。


　　2．PPPoE


　　通過PPPoE，在一個共享的以太網(wǎng)上的多個主機，可以通過一個或多個簡單的橋接入設備，與遠程接入集中器進行多個PPP會話。使用這種模型，每個主機使用它自己的PPP協(xié)議棧，并且提供給用戶一個熟悉的用戶接口。接入控制、計費和服務類型能夠基于每用戶，而不是每站點來處理。PPPoE包含發(fā)現(xiàn)和PPP會話兩個階段，發(fā)現(xiàn)階段是無狀態(tài)的Client/Server模式，目的是獲得PPPoE終結端的以太網(wǎng)MAC地址，并建立一個唯一的PPPoE SESSION_ID。發(fā)現(xiàn)階段結束后，就進入標準的PPP會話階段。


　　PPPoE有兩個不同的階段：發(fā)現(xiàn)階段和PPP會話階段。當一個主機想開始一個PPPoE會話，它必須首先進行發(fā)現(xiàn)階段以識別對端的以太網(wǎng)MAC地址，并建立一個PPPoE SESSION_ID。在發(fā)現(xiàn)階段，基于網(wǎng)絡的拓撲，主機可以尋找到多個接入集中器。發(fā)現(xiàn)階段允許主機尋找到所有的接入集中器，然后選擇一個。當發(fā)現(xiàn)階段成功完成，主機和選擇的接入集中器都有了他們在以太網(wǎng)上建立PPP連接的信息。直到PPP會話建立，發(fā)現(xiàn)階段一直保持無狀態(tài)的狀態(tài)。一旦PPP會話建立，主機和接入集中器都必須為PPP虛接口分配資源。


　�。�1）發(fā)現(xiàn)階段


　　發(fā)現(xiàn)階段有四個步驟，當此階段完成，通信的兩端都知道PPPoE SESSION_ID和對端的以太網(wǎng)地址，他們一起唯一定義PPPoE會話。這些步驟包括：主機廣播一個發(fā)起分組（PADI），一個或多個接入集中器發(fā)送給予分組（PADO），主機發(fā)送單播會話請求分組（PADR），選擇的接入集中器發(fā)送一個確認分組（PADS）。當主機接收到確認分組，它可以開始進行PPP會話階段。當接入集中器發(fā)送出確認分組，它可以開始進行PPP會話階段。


　　當主機在指定的時間內沒有接收到PADO，它應該重新發(fā)送它的PADI分組，并且加倍等待時間，這個過程會被重復期望的次數(shù)。如果主機正在等待接收PADS，應該使用具有主機重新發(fā)送PADR的相似超時機制。在重試指定的次數(shù)后，主機應該重新發(fā)送PADI分組。


　　PPPoE還有一個PADT分組，它可以在會話建立后的任何時候發(fā)送，來終止PPPoE會話。它可以由主機或者接入集中器發(fā)送。當接收到一個PADT，不再允許使用這個會話來發(fā)送PPP業(yè)務。在發(fā)送或接收PADT后，即使正常的PPP終止分組也不必發(fā)送。PPP對端應該使用PPP協(xié)議自身來終止PPPoE會話，但是當PPP不能使用時，可以使用PADT。


　�。�2） PPP會話階段


　　一旦PPPoE會話開始，PPP數(shù)據(jù)就可以像其它的PPP封裝形式一樣發(fā)送。所有的以太網(wǎng)幀都是單播的。PPPoE會話的 SESSION_ID一定不能改變，并且必須是發(fā)現(xiàn)階段分配的值。


　　PPP連接可以分為PPP終結方式和PPP續(xù)傳方式。PPP連接終結在BNAS側，成為PPP終結方式。PPP連接終結在ISP，即PPP分組從用戶終端經(jīng)過BNAS透明穿過，直接到達ISP節(jié)點，相當于用戶終端到ISP是一個PPP連接的隧道，所以也稱為L2TP VPN方式。



　　四、IEEE 802.1x認證


　　采用寬帶接入服務器BNAS和PPPoE技術的用戶管理方式目前存在如下問題：


　　由于寬帶接入服務器要終結大量的PPP會話，并轉發(fā)IP數(shù)據(jù)包，使寬帶接入服務器成為網(wǎng)絡性能的"瓶頸"，這可以通過合理的組網(wǎng)方式部分解決問題。


　　寬帶接入服務器通常放置在端局的位置，其下是巨大的廣播域，從用戶安全角度考慮，需要通過VLAN(虛擬局域網(wǎng))技術來實現(xiàn)用戶的隔離，但是目前的設備只能支持最大4096個虛擬局域網(wǎng)。


　　由于PPPoE的點到點特性，使城域網(wǎng)組播業(yè)務的開展受到極大的限制。


　　采用BNAS和PPPoE方式增加了城域網(wǎng)建設的投資。


　　采用基于以太網(wǎng)端口的用戶訪問控制技術，可以克服PPPoE方式帶來的諸多問題，并避免引入寬帶接入服務器所帶來的巨大投資。


　　在傳統(tǒng)以太網(wǎng)設備基礎上，基于端口的網(wǎng)絡訪問控制技術采用IEEE 802.1x協(xié)議，提供了對基于以太網(wǎng)的點到點連接的端口用戶進行認證和授權的能力，從而使以太網(wǎng)設備達到電信運營要求。用戶側的以太網(wǎng)交換機上放置一個擴展認證協(xié)議(EAP)代理，用戶PC機運行EAPoE(EAP over Ethernet)的客戶端軟件與交換機通信。當用戶通過EAPoE登錄交換機時，交換機將用戶名和口令傳送到后臺的RADIUS認證服務器上，如果用戶名／口令通過驗證，則相應以太網(wǎng)端口打開，允許用戶訪問；如果認證失敗，端口接入將被阻止。


　　基于端口的訪問控制技術(IEEE 802.1x協(xié)議)是為運營商提供的一種較為經(jīng)濟實用的認證方式，可實現(xiàn)用戶設備在城域網(wǎng)邊緣的分散用戶集中認證管理，替代寬帶接入服務器實現(xiàn)城域網(wǎng)范圍內的用戶管理功能。


　　1． 技術介紹


　　基于以太網(wǎng)端口的用戶管理認證技術通過3個部分的功能實體來實現(xiàn)以太網(wǎng)端口用戶管理認證的模式


　　(1) 用戶PC上的客戶端軟件


　　輸入用戶ID(標識)和密碼，實現(xiàn)認證的客戶端主要功能。


　　(2) 靠近用戶側的以太網(wǎng)交換機


　　在普通以太網(wǎng)交換機上進行擴展，實現(xiàn)遠端授權撥號上網(wǎng)用戶服務認證代理功能，并根據(jù)RADIUS服務器的認證結果，開放用戶連接以太網(wǎng)業(yè)務端口的訪問權限。


　　(3) RADIUS服務器


　　進行用戶ID和密碼的認證，并返回結果給以太網(wǎng)交換機。


　　初始狀態(tài)下，與最終用戶相連的以太網(wǎng)交換機(放置在樓道的交換機)的所有業(yè)務端口是關閉的，只有管理和認證的端口是開放的。用戶通過客戶端軟件登錄交換機，交換機將用戶提供的ID和密碼傳送到后臺的RADIUS服務器(可以在本地，也可以通過廣域網(wǎng)設備連到遠地)上，如果用戶ID和密碼認證通過，則以太網(wǎng)交換機相應的業(yè)務端口打開，允許用戶訪問城域網(wǎng)絡。


　　通過這種基于L2(二層)以太網(wǎng)交換機的用戶管理方法，可以使城域網(wǎng)整體的組網(wǎng)變得非常簡單，通過L2以太網(wǎng)交換機和路由器兩種設備即基本實現(xiàn)，可同時實現(xiàn)業(yè)務的集中控制(以RADIUS為核心的業(yè)務中心控制)和分散實現(xiàn)(靠近用戶的以太網(wǎng)交換機實現(xiàn))，滿足可運營、可管理寬帶城域網(wǎng)的用戶管理認證要求。


　　2． IEEE 802.1x協(xié)議


　　基于端口的網(wǎng)絡訪問控制技術，在傳統(tǒng)以太網(wǎng)設備的基礎上，采用IEEE 802.1x協(xié)議提供對基于以太網(wǎng)端口點到點連接的用戶進行認證、授權的能力，從而使以太網(wǎng)設備可以達到電信運營的要求，尤其在寬帶城域網(wǎng)的建設中可以發(fā)揮重大的作用。


　　802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。


　　(1) 協(xié)議簡介


　　基于端口的網(wǎng)絡訪問技術的基本思想是網(wǎng)絡系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡系統(tǒng)允許并授權的用戶可以訪問網(wǎng)絡系統(tǒng)的各種業(yè)務(如以太網(wǎng)連接，網(wǎng)絡層路由，Internet接入等業(yè)務)。


　　網(wǎng)絡訪問技術的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包含3部分：


　　認證者--對接入的用戶/設備進行認證的端口；


　　請求者--被認證的用戶/設備；


　　認證服務器--根據(jù)認證者的信息，對請求訪問網(wǎng)絡資源的用戶/設備進行實際認證功能的設備。


　　以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權狀態(tài)。認證者的PAE根據(jù)認證服務器認證過程的結果，控制"受控端口"的授權/未授權狀態(tài)。處在未授權狀態(tài)的控制端口，拒絕用戶/設備的訪問。


　　(2)以太網(wǎng)端口的受控和非受控接入


　　認證者1(可能是以太網(wǎng)交換機的某個端口)的受控端口處于未授權狀態(tài)，因此受控端口對連接在物理端口上的用戶MAC(媒體訪問控制)是關閉的，用戶的幀無法通過受控端口訪問網(wǎng)絡資源；認證者2(以太網(wǎng)交換機的另一個端口)的受控端口已經(jīng)授權，因此連接的端口是開放的，用戶可以自由訪問網(wǎng)絡資源。


　　(3)受控和非受控端口在用戶認證中的應用


　　用戶對網(wǎng)絡資源的正常訪問都是在認證、授權以后，通過受控端口進行的；而非受控的端口用于認證之前，傳遞認證所需的各種信息。認證者PAE根據(jù)認證過程的結果，改變受控端口的授權狀態(tài)，從而實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。


　　(4) 用戶以太網(wǎng)端口認證流程


　　用戶、以太網(wǎng)端口和認證服務器之間認證者(以太網(wǎng)端口)的受控端口處于未授權狀態(tài)，用戶/設備是無法享用認證者(以太網(wǎng)端口)提供的網(wǎng)絡接入業(yè)務的。認證者PAE利用非受控的端口，通過EAPoL協(xié)議與請求者PAE進行認證信息交互，并采用EAP協(xié)議與認證服務器進行通信。認證者PAE根據(jù)認證服務器返回的認證結果，開放或關閉受控端口的授權，從而控制最終用戶對網(wǎng)絡的訪問。


　　認證者PAE的作用相當于認證服務器的代理。它可以與認證服務器位于同一物理設備，也可以通過LAN、WAN與認證服務器進行本地和遠程認證。


　　(5) IEEE 802.1x的主要內容


　　端口訪問控制的應用前提是在用戶(請求者)和認證者(以太網(wǎng)端口)之間提供一條點到點的連接，這樣使認證以端口的形式進行。


　　基于端口的網(wǎng)絡訪問控制定義了3方面內容：


　　規(guī)定了請求者與認證者之間的認證信息通信協(xié)議；


　　認證者與認證服務器之間的通信協(xié)議；


　　根據(jù)協(xié)議交換的結果，控制認證者端口狀態(tài)的機制。


　　由于以太網(wǎng)設備(認證者)只是RADIUS的認證代理，負責傳遞認證信息，并根據(jù)認證服務器給出的結果進行操作，并不參與其實際的認證。


　　(6) 802.1x協(xié)議的特點


　　基于以太網(wǎng)端口認證的802.1x協(xié)議有如下特點：


　　借用了在RAS系統(tǒng)中常用的EAP(擴展認證協(xié)議)；


　　可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務支持；


　　可以映射不同的用戶認證等級到不同的VLAN；


　　可以使交換端口和無線LAN具有安全的認證接入功能。



　　五、不同認證方式的比較


　　通過上面的論述，可以看出PPPoE認證方式屬于較成熟的應用；802.1X對組播支持能力較強，但用戶控制能力方面較弱，目前尚未大規(guī)模商業(yè)；WEB/Portal方式則可以實現(xiàn)較多的增值業(yè)務，但需要VLAN支持，對VLAN資源消耗較大。


　　PPPoE出現(xiàn)較早，產品支持最多；WEB方式由于無標準，產品實現(xiàn)技術不統(tǒng)一；802.1x為新認證方式，產品支持最少。


　　三種認證技術各有優(yōu)缺點，需要在實際應用中根據(jù)每種技術的技術特點和實際情況，綜合考慮才會使寬帶城域網(wǎng)發(fā)揮應有的效益。


　　總之，WEB/Portal方式浪費了網(wǎng)絡IP地址資源，增加了網(wǎng)絡投資，目前不能滿足電信運營商規(guī)模的大型寬帶城域網(wǎng)，較適合應用于園區(qū)網(wǎng)和校園網(wǎng)；PPPoE方式成熟可靠，需要增加投資的寬帶接入服務器BNAS等設備目前成本也大幅下降，通過合理的組網(wǎng)方式和設備性能的提升，可以解決所謂的網(wǎng)絡瓶頸問題；802.1x推出較晚，標準目前不是很成熟，但其一次性投資低，支持組播等特性使其具有強大的生命力，隨著標準的統(tǒng)一和完善，必然是未來寬帶城域網(wǎng)首選的認證管理方式。




摘自《中國光纖網(wǎng)》