一、引言

802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無(wú)線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無(wú)線局域網(wǎng)用戶(hù)的接入認(rèn)證問(wèn)題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶(hù)能接入局域網(wǎng)控制設(shè)備(如LANS witch)，就可以訪問(wèn)局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。

隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對(duì)用戶(hù)的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開(kāi)展，有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶(hù)級(jí)的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network access Contro1)而定義的一個(gè)標(biāo)準(zhǔn)。

二、802.1x認(rèn)證體系

802.1x是一種基于端口的認(rèn)證協(xié)議，是一種對(duì)用戶(hù)進(jìn)行認(rèn)證的方法和策略。端口可以是一個(gè)物理端口，也可以是一個(gè)邏輯端口(如VLAN)。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)，一個(gè)端口就是一個(gè)信道。802.1x認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，假如認(rèn)證成功那么就“打開(kāi)”這個(gè)端口，答應(yīng)所有的報(bào)文通過(guò)；假如認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，即只答應(yīng)802.1x的認(rèn)證協(xié)議報(bào)文通過(guò)。

802.1x的體系結(jié)構(gòu)如圖1所示。它的體系結(jié)構(gòu)中包括三個(gè)部分，即請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分：

(1)  客戶(hù)端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開(kāi)始802.1x認(rèn)證接入；

(2)  接入設(shè)備向客戶(hù)端發(fā)送EAP-Request/Identity報(bào)文，要求客戶(hù)端將用戶(hù)名送上來(lái)；

(3)  客戶(hù)端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求，其中包括用戶(hù)名；

(4)  接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；

(5)  認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過(guò)接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶(hù)端，其中包含有EAP-Request/MD5-Challenge；

(6)  接入設(shè)備通過(guò)EAP-Request/MD5-Challenge發(fā)送給客戶(hù)端，要求客戶(hù)端進(jìn)行認(rèn)證；

(7)  客戶(hù)端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-Word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；

(8)  接入設(shè)備將Challenge，Challenged Password和用戶(hù)名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證；

(9)  RADIUS服務(wù)器根據(jù)用戶(hù)信息，做MD5算法，判定用戶(hù)是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。假如成功，攜帶協(xié)商參數(shù)，以及用戶(hù)的相關(guān)業(yè)務(wù)屬性給用戶(hù)授權(quán)。假如認(rèn)證失敗，則流程到此結(jié)束；

(10)  假如認(rèn)證通過(guò)，用戶(hù)通過(guò)標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCP Relay)，通過(guò)接入設(shè)備獲取規(guī)劃的ip地址；

(11)  假如認(rèn)證通過(guò)，接入設(shè)備發(fā)起計(jì)費(fèi)開(kāi)始請(qǐng)求給RADIUS用戶(hù)認(rèn)證服務(wù)器；

(12)  RADIUS用戶(hù)認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開(kāi)始請(qǐng)求報(bào)文。用戶(hù)上線完畢。

四、802.1x認(rèn)證組網(wǎng)應(yīng)用

按照不同的組網(wǎng)方式，802.1x認(rèn)證可以采用集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)、分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)和本地認(rèn)證組網(wǎng)。不同的組網(wǎng)方式下，802.1x認(rèn)證系統(tǒng)實(shí)現(xiàn)的網(wǎng)絡(luò)位置有所不同。

1、802.1x集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)

802.1x集中式組網(wǎng)方式是將802.1x認(rèn)證系統(tǒng)端放到網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備上，這些LAN Switch為匯聚層設(shè)備。其下掛的網(wǎng)絡(luò)位置較低的LAN Switch只將認(rèn)證報(bào)文透?jìng)鹘o作為802.lx認(rèn)證系統(tǒng)端的網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備，集中在該設(shè)備上進(jìn)行802.1x認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于802.1x采用集中治理方式，降低了治理和維護(hù)成本。匯聚層設(shè)備集中認(rèn)證如圖4所示。

2、802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)

802.1x分布式組網(wǎng)是把802.lx認(rèn)證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個(gè)LAN Switch設(shè)備上，這些LAN Switch作為接入層邊緣設(shè)備。認(rèn)證報(bào)文送給邊緣設(shè)備，進(jìn)行802.1x認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于，它采用中/高端設(shè)備與低端設(shè)備認(rèn)證相結(jié)合的方式，可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的認(rèn)證。認(rèn)證任務(wù)分配到眾多的設(shè)備上，減輕了中心設(shè)備的負(fù)荷。接入層設(shè)備分布認(rèn)證如圖5所示。

802.lx分布式組網(wǎng)方式非常適用于受控組播等特性的應(yīng)用，建議采用分布式組網(wǎng)對(duì)受控組播業(yè)務(wù)進(jìn)行認(rèn)證。假如采用集中式組網(wǎng)將受控組播認(rèn)證設(shè)備端放在匯聚設(shè)備上，從組播服務(wù)器下行的流在到達(dá)匯聚設(shè)備之后，由于認(rèn)證系統(tǒng)還下掛接入層設(shè)備，將無(wú)法區(qū)分最終用戶(hù)，若打開(kāi)該受控端口，則匯聚層端口以下的所有用戶(hù)都能夠訪問(wèn)到受控組播消息源。反之，假如采用分布式組網(wǎng)，則從組播服務(wù)器來(lái)的組播流到達(dá)接入層認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)組播成員的精確粒度控制。

3、802.1x本地認(rèn)證組網(wǎng)

802.1x的AAA認(rèn)證可以在本地進(jìn)行，而不用到遠(yuǎn)端認(rèn)證服務(wù)器上去認(rèn)證。這種本地認(rèn)證的組網(wǎng)方式在專(zhuān)線用戶(hù)或小規(guī)模應(yīng)用環(huán)境中非常適用。它的優(yōu)點(diǎn)在于節(jié)約成本，不需要單獨(dú)購(gòu)置昂貴的服務(wù)器，但隨著用戶(hù)數(shù)目的增加，還需要由本地認(rèn)證向RADIUS認(rèn)證遷移。

五、結(jié)束語(yǔ)

802.1x認(rèn)證系統(tǒng)提供了一種用戶(hù)接入認(rèn)證的手段，它僅關(guān)注端口的打開(kāi)與關(guān)閉。對(duì)于合法用戶(hù)(根據(jù)賬號(hào)和密碼)接入時(shí)，該端口打開(kāi)，而對(duì)于非法用戶(hù)接入或沒(méi)有用戶(hù)接入時(shí)，則使端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變，而不涉及其它認(rèn)證技術(shù)所考慮的IP地址協(xié)商和分配問(wèn)題，是各種認(rèn)證技術(shù)中最為簡(jiǎn)化的實(shí)現(xiàn)方案。

必須注重到802.1x認(rèn)證技術(shù)的操作顆粒度為端口，合法用戶(hù)接入端口之后，端口始終處于打開(kāi)狀態(tài)，此時(shí)其它用戶(hù)(合法或非法)通過(guò)該端口接入時(shí)，不需認(rèn)證即可訪問(wèn)網(wǎng)絡(luò)資源。對(duì)于無(wú)線局域網(wǎng)接入而言，認(rèn)證之后建立起來(lái)的信道(端口)被獨(dú)占，不存在其它用戶(hù)非法使用的問(wèn)題。但假如802.lx認(rèn)證技術(shù)應(yīng)用于寬帶IP城域網(wǎng)，就存在端口打開(kāi)之后，其它用戶(hù)(合法或非法)可自由接入且難以控制的問(wèn)題。因此，在提出可運(yùn)營(yíng)、可治理要求的寬帶IP城域網(wǎng)中如何使用該認(rèn)證技術(shù)，還需要謹(jǐn)慎分析所適用的場(chǎng)合，并考慮與其它信息綁定組合認(rèn)證的可能性。