802.1X开创认证协议新时代

随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求。而IEEE 802.1x协议是目前业界最新的标准认证协议，一经推出就引起了广大网络设备制造商的重视，各大厂商纷纷组织研发力量进行基于802.1x协议相关产品的开发。北京港湾网络有限公司在业内率先实现了802.1x协议的商用化,其802.1x协议在宽带以太网中的成功应用，引发了业界讨论。目前，国内有关802.1x的标准工作正在着手。

宽带催生认证新需求

　　随着宽带以太网的迅猛发展，网络上原有的认证系统如PPPOE和Web/Portal认证方式，越来越不适应宽带发展的认证需求，暴露了传统认证的弊端。宽带网络发展提出了新的认证需求。

　　传统PPPOE是从基于ATM的窄带网引入到宽带以太网的。虽然其方式较灵活，在窄带网中有较丰富的应用经验，但可以看出，PPPOE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，尤其是它的封装方式也造成了宽带以太网发展中的种种问题。

　　在PPPOE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法。这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是我们传统的BAS（WEB认证服务器）。对每个用户发出的每个数据包，BAS必须进行拆包识别和封装转发。一旦并发用户增多或者数据包增大，封装速度必然跟不上，造成宽带网络发展的瓶颈。

　　而传统的Web/Portal认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于Web认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。

　　由于Web/Portal认证是基于7层的认证，4层以下的网络问题往往检测不到。如断电、突发故障等异常离线情况必须在2层做检测，而Web/Portal对此束手无策。因此Web/Portal认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现。

　　在传统的Web/Portal认证中，无论什么用户都可以先获得IP地址，再上网通过客户端认证。Web/Portal方式在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的Web认证服务器对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证。

　　传统Web/Portal认证前后的业务流和数据流无法区分，不便开展多业务。目前，在以太网中，Web/Portal认证只是限于在酒店,校园等网络环境中使用。

　　当传统的认证方式成为宽带IP网发展的障碍时，必定会出现新的认证技术来取代它，推动宽带以太网的发展。802.1x标准认证协议的出现，完全解决了传统PPPOE和WEB/PORTAL认证带来的问题。（如图1、图2、图3分别为三种认证体系图）

图1

图2

图3

为什么是802.1x

　　由于802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，因此，用户的认证与控制由Radius和交换机利用不可控的逻辑端口共同完成，而业务报文则直接承载在正常的二层报文上通过可控端口进行交换，有效实现了业务与认证的分离。此业务与认证分离的特性是对传统网络认证方式的一种革命性创新，有效解决了传统的PPPOE和Web/Portal认证方式带来的问题。

解决网络认证瓶颈

　　而在802.1x的认证体系结构中，业务与认证分离，业务报文直接承载在正常的二层报文上通过可控端口进行交换；通过认证之后的数据包是无需封装的纯数据包。基于802.1x的认证系统不需要将每个包进行拆解进行大量的数据包认证工作，简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作，封装效率高。而且由于802.1x认证包采用了在不可控通道中的独立处理的方式，因此认证处理容量可以很大，远远高于传统的BAS，消除了传统的网络瓶颈。

优化认证过程

　　传统的WEB/PORTAL认证是基于7层协议的认证，而802.1x协议为简单的二层协议，不需要到达三层。而802.1x协议是简单的二层协议，解决异常离线情况游刃有余，比较容易实现了基于时间的计费。最根本的是，在基于802.1x的认证系统中，由于业务流和认证流实现分离，因此不存在繁琐的认证过程。

　　相对于传统的Web/Portal认证，由于在802.1x认证系统中，用户只有通过客户端认证后，才能获得IP地址，所以密码被盗的可能性也就非常小，Web服务器也不易受到攻击。

　　在基于802.1x的认证系统中，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，易于实现多业务运营，少量改造传统包月制等单一收费制网络即可升级成运营级网络。尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

降低建网成本

　　在传统PPPOE认证中，为了解决网络瓶颈问题，厂商必须要提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。而由于802.1x的独特性，802.1x认证处理容量可以很大，远远高于传统的BAS，无需要购买昂贵设备，降低了建网成本。

　　而在传统Web/Portal认证中，为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。而在IEEE 802.1x认证中，密码被盗的可能性非常小，就不需要这方面的投入。

　　802.1x为运营商建设可运营、可管理的电信级宽带以太网提供了很好的支持，这种新一代认证方式的到来，为人们展示了宽带以太网的美好明天！

=================================================================

什么是802.1x

　　IEEE 802.1x是一个基于端口的网络访问控制的标准草案。最早它是无线以太网遵循的一种应用协议，但在有线以太网络的引入有效解决了传统网络认证问题。目前，它可提供对802.11无线网络和对有线以太网络的验证的网络访问权限。这种基于端口的网络接入控制采用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。802.1x的实质是对以太网端口进行鉴权，如果认证过程失败，端口接入将被阻止。而802.1x的核心是可扩展认证协议，可以将ADSL、VDSL、LAN等多种宽带接入方式的认证计费融为一体，极大地简化了网络结构。尽管目前，不少具有前瞻性观念的厂商已经开始支持802.1x协议，或者提供相应的升级解决方案。IEEE 802.1x协议的体系结构包括三个重要的部分（如图3）：客户端、认证系统、认证服务器。