IEE意識(shí)到PPoE在用于純以太網(wǎng)絡(luò)環(huán)境接入控制中的種種缺陷,終于在2001正式頒布了IEEE802.1x標(biāo)準(zhǔn),用于基于以太的局域網(wǎng)、城域網(wǎng)和各種寬帶接入手段的用戶(hù)/設(shè)備接入認(rèn)證。該協(xié)議最初假定的應(yīng)用環(huán)境是交換式以太網(wǎng)中,但是在標(biāo)準(zhǔn)化過(guò)程中也考慮到了像801.11b和 Cable接入等共享式以太網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)認(rèn)證的要求。802.1x認(rèn)證采用基于以太網(wǎng)端口的用戶(hù)訪(fǎng)問(wèn)控制技術(shù),可以克服PPOE方式帶來(lái)的諸多問(wèn)題,并避免引入集中式寬帶接入服務(wù)器所帶來(lái)的巨大投資。
在傳統(tǒng)以太網(wǎng)設(shè)備基礎(chǔ)上,基于端口的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)采用IEEE-802.1x協(xié)議,提供了對(duì)基于以太網(wǎng)的點(diǎn)到點(diǎn)連接的端口用戶(hù)進(jìn)行認(rèn)證和授權(quán)的能力,從而使以太網(wǎng)設(shè)備達(dá)到電信運(yùn)營(yíng)要求。用戶(hù)側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)擴(kuò)展認(rèn)證協(xié)議(EAP)代理,用戶(hù)PC機(jī)運(yùn)行 EAPOL( EAP over LAN)的客戶(hù)端軟件與交換機(jī)通信?;诙丝诘木W(wǎng)絡(luò)訪(fǎng)問(wèn)技術(shù)的基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶(hù)的以太網(wǎng)端口,使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶(hù)可以訪(fǎng)問(wèn)網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)(如以太網(wǎng)連接,網(wǎng)絡(luò)層路由, Internet接入等業(yè)務(wù))。
認(rèn)證系統(tǒng)是支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備,如交換機(jī)所提供的802.1x認(rèn)證服務(wù),它接收用戶(hù)客戶(hù)端的認(rèn)證請(qǐng)求并實(shí)現(xiàn)認(rèn)證:認(rèn)證服務(wù)由 Radius等后臺(tái)計(jì)費(fèi)系統(tǒng)組成,主要是存儲(chǔ)客戶(hù)端的資料,還有用戶(hù)的開(kāi)帳,和計(jì)費(fèi)的管理和計(jì)費(fèi)業(yè)務(wù)功能:客戶(hù)端實(shí)體,是由用戶(hù)所使用的機(jī)器上的客戶(hù)端軟件發(fā)起802.1x認(rèn)證的過(guò)程,客戶(hù)端軟件通過(guò)EAPOL協(xié)議與認(rèn)證系統(tǒng)進(jìn)行通訊。
802.1x的主要特點(diǎn)是實(shí)現(xiàn)業(yè)務(wù)流和控制流分開(kāi),用戶(hù)通過(guò)認(rèn)證后,業(yè)務(wù)、認(rèn)證流分離,系統(tǒng)對(duì)后續(xù)數(shù)據(jù)包無(wú)特殊處理,不僅可以有效消除網(wǎng)絡(luò)瓶頸,而且使業(yè)務(wù)處理更為靈活。尤其在提供寬帶組播等業(yè)務(wù)時(shí),所有業(yè)務(wù)均不受認(rèn)證方式限制,從根本上改變了傳統(tǒng)業(yè)務(wù)模式。與傳統(tǒng)的 PPPOE的認(rèn)證方式,無(wú)論從認(rèn)證開(kāi)銷(xiāo)上,網(wǎng)絡(luò)易用性上,還是從網(wǎng)絡(luò)投資的成本上,都要有著無(wú)法比擬的優(yōu)勢(shì)。網(wǎng)絡(luò)訪(fǎng)問(wèn)技術(shù)的核心部分是PAE(端口訪(fǎng)問(wèn)實(shí)體)。在訪(fǎng)問(wèn)控制流程中,端口訪(fǎng)問(wèn)實(shí)體包含3部分:
◆認(rèn)證者一一對(duì)接入的用戶(hù)/設(shè)備進(jìn)行認(rèn)證的端口
◆請(qǐng)求者 被認(rèn)證的用戶(hù)/設(shè)備
◆認(rèn)證服務(wù)器一一根據(jù)認(rèn)證者的信息,對(duì)請(qǐng)求訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的用戶(hù)/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。
以太網(wǎng)的每個(gè)網(wǎng)站設(shè)計(jì)物理端口被分為受控和不受控的兩個(gè)邏輯端口,物理端口收到的每個(gè)幀都被送到受控和不受控端口。對(duì)受控端口的訪(fǎng)問(wèn),受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過(guò)程的結(jié)果,控制“受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶(hù)/設(shè)備的訪(fǎng)問(wèn)。
本文地址:http://m.blackside-inc.com//article/3668.html