利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點(diǎn)擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點(diǎn)分析了協(xié)議的工作原理及機(jī)制，并與目前流行的寬帶認(rèn)證方式進(jìn)行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實(shí)際

整體性能要求不高，可以有效降低建網(wǎng)成本。

3.2 認(rèn)證和業(yè)務(wù)分離

802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求，業(yè)務(wù)可以很靈活，尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢，所有業(yè)務(wù)都不受認(rèn)證方式限制。

3.3 和其他認(rèn)證方式的比較

802.1x協(xié)議雖然源于802.11無線以太網(wǎng)（EAPOW），但是，它在以太網(wǎng)中的引入，解決了傳統(tǒng)的PPPoE和Web/Portal認(rèn)證方式帶來的問題，消除了網(wǎng)絡(luò)瓶頸，簡輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本。

眾所周知，PPPoE是從基于ATM的窄帶網(wǎng)引入到寬帶以太網(wǎng)的，由此可以看出，PPPoE并不是為寬帶以太網(wǎng)量身定做的認(rèn)證技術(shù)，將其應(yīng)用于寬帶以太網(wǎng)，必然會(huì)有其局限性，雖然其方式較靈活，在窄帶網(wǎng)中有較豐富的應(yīng)用經(jīng)驗(yàn)，但是，它的封裝方式，也造成了寬帶以太網(wǎng)的種種等問題。在PPPoE認(rèn)證中，認(rèn)證系統(tǒng)必須將每個(gè)包進(jìn)行拆解才能判斷和識別用戶是否合法，一旦用戶增多或者數(shù)據(jù)包增大，封裝速度必然跟不上，成為了網(wǎng)絡(luò)瓶頸。其次這樣大量的拆包解包過程必須由一個(gè)功能強(qiáng)勁同時(shí)價(jià)格昂貴的設(shè)備來完成，這個(gè)設(shè)備就是我們傳統(tǒng)的BAS，每個(gè)用戶發(fā)出的每個(gè)數(shù)據(jù)包BAS必須進(jìn)行拆包識別和封裝轉(zhuǎn)發(fā)。為了解決瓶頸問題，廠商想出了提高BAS性能，或者采用大量分布式BAS等方式來解決問題，但是BAS的功能就決定了它是一個(gè)昂貴的設(shè)備，這樣一來建設(shè)成本就會(huì)越來越高。

Web/Portal認(rèn)證是基于業(yè)務(wù)類型的認(rèn)證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認(rèn)證走的是7層協(xié)議，從邏輯上來說為了達(dá)到網(wǎng)絡(luò)2層的連接而跑到7層做認(rèn)證，這首先不符合網(wǎng)絡(luò)邏輯。其次由于認(rèn)證走的是7層協(xié)議，對設(shè)備必然提出更高要求，增加了建網(wǎng)成本。第三，Web是在認(rèn)證前就為用戶分配了IP地址，對目前網(wǎng)絡(luò)珍貴的IP地址來說造成了浪費(fèi)，而且分配IP地址的DHCP對用戶而言是完全裸露的，容易造成被惡意攻擊，一旦受攻擊癱瘓，整網(wǎng)就沒法認(rèn)證；為了解決易受攻擊問題，就必須加裝一個(gè)防火墻，這樣一來又大大增加了建網(wǎng)成本。Web/Portal認(rèn)證用戶連接性差，不容易檢測用戶離線；用戶在訪問網(wǎng)絡(luò)前，不管是 Telnet、FTP還是其他業(yè)務(wù)，必須使用瀏覽器進(jìn)行Web認(rèn)證，易用性不夠好；而且認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。所以，在以太網(wǎng)中，Web/Portal認(rèn)證目前只是限于在酒店等特殊網(wǎng)絡(luò)環(huán)境中使用。

四、8

上一頁 1 2 3 4 5 6 7 下一頁

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊