詳細分析802.1x協議的接入應用，前一陣子，同事詢問我關于802.1x協議的問題，當時我沒有給出正面的回答，因為這樣的問題我也是初次遇到，在接下來的日子里，我查閱了相關資料，對下面的答復比較滿意。現在分享給大家！

近年來，寬帶網接入逐漸成為網絡技術的熱點，寬帶網建設蓬勃發展，業務如火如荼，成為網絡運營商新的經濟增長點。目前，廣泛采用的寬帶接入方式有HFC、xDSL、LAN接入等，其中，交換式以太網接入作為園區網建設的主流方案，以高帶寬，技術成熟，成本低廉，易于建設和易于管理的優點，成為網絡運營商優先采用的接入方式。

但是，傳統的以太網接入方式由于采用廣播機制，其安全性較差，限制了它在公用接入網絡中的應用。為了解決這個問題，目前廣泛使用PPPoE或Web＋DHCP的方案，但這兩種方案都不能有效地解決認證安全問題。

IEEE802．1委員會提出的802．1x協議，其實現基于以太網交換機，可以對用戶進行認證、授權，從而為運營商提供了一種更實用、更安全的用戶管理方式。本文主要介紹802．1x協議的基本原理及其在寬帶接入網中的應用實例。

1　802．1x協議結構和基本原理

1．1　802．1x協議

90年代后期，IEEE802LAN／WAN委員會為解決無線局域網網絡安全問題，提出了802．1x協議。后來，802．1x協議作為局域網端口的一個普通接入控制機制用在以太網中，主要解決以太網內認證和安全方面的問題。802．1x協議稱為基于端口的訪問控制協議（portbasednetworkaccesscontrolprotocol），該協議的核心內容如圖1所示。

靠近用戶一側的以太網交換機上放置一個EAP（extensibleauthenticationprotocol）代理，用戶PC機運行EAPoE（EAPoverEthernet）的客戶端軟件與交換機通信。初始狀態下，交換機上的所有端口處于關閉狀態。

只有802．1x數據流才能通過，而另外一些類型的網絡數據流，如動態主機配置協議、超文本傳輸協議（HTTP）、文件傳輸協議（FTP）、簡單郵件傳輸協議（SMTP）和郵局協議（POP3）等都被禁止傳輸。
　
當用戶通過EAPoE登錄交換機時，交換機將用戶同時提供的用戶名口令傳送到后臺的Radius認證服務器上。如果用戶名及口令通過了驗證，則相應的以太網端口打開，允許用戶訪問。

1．2　802．1x協議的體系結構

802．1x協議的體系結構包括3個重要部分：客戶端（supplicantsystem）、認證系統（authenticatorsystem）、認證服務器（authenticationserversystem）。圖2描述了三者之間的關系以及互相之間的通信。客戶系統安裝一個客戶端軟件，用戶通過啟動客戶端軟件發起802．1x協議的認證過程。為支持基于端口的接入控制，客戶端系統須支持EAPoL（EAPoverLAN）協議。

認證系統通常為支持802．1x協議的網絡設備。該設備有2個邏輯端口：受控端口和不受控端口，對應于不同用戶的端口。不受控端口始終處于雙向連通狀態，主要用來傳遞EAPoL協議幀，保證客戶端始終可以發出或接受認證。

受控端口只有在認證通過之后才打開，用于傳遞網絡資源和服務。如果用戶未通過認證，受控端口處于未認證狀態，則用戶無法訪問認證系統提供的服務。受控端口可配置為雙向受控、僅輸入受控2種方式，以適應不同的應用環境。

認證系統的端口訪問實體通過不受控端口與客戶端端口訪問實體進行通信，二者之間運行EAPoL協議。認證系統的端口訪問實體與認證服務器之間運行EAP協議。EAP協議并不是認證系統和認證服務器通信的唯一方式，其他的通信通道也可以使用。例如，如果認證系統和認證服務器集成在一起，2個實體之間的通信就可以不采用EAP協議。

認證服務器通常為RADIUS服務器，該服務器可以存儲有關用戶的信息。例如，用戶的賬號、密碼以及用戶所屬的VLAN、CAR參數，優先級，用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續流量將接受上述參數的監管。認證服務器和RADIUS服務器之間通過EAP協議進行通信。

1．3　802．1x協議的工作機制

802．1x協議工作機制如圖3所示。由圖3可見，認證的發起可以由用戶主動發起，也可以由認證系統發起。當認證系統探測到未經過認證的用戶使用網絡，就會主動發起認證；用戶端則可以通過客戶端軟件向認證系統發送EAPoL－Start開始報文發起認證。由客戶端發送EAPoL退出報文，主動下線，退出已認證狀態的直接結果就是導致用戶下線，如果用戶要繼續上網則要再發起一個認證過程。

為了保證用戶和認證系統之間的鏈路處于激活狀態，而不因為用戶端設備發生故障造成異常死機，從而影響對用戶計費的準確性，認證系統可以定期發起重新認證過程，該過程對于用戶是透明的，即用戶無需再次輸入用戶名／密碼。重新認證由認證系統發起，時間從最近一次成功認證后算起。重新認證時間默認值為3600s，而且默認重新認證是關閉的。

對于認證系統和客戶端之間通信的EAP報文，如果發生丟失，由認證系統負責進行報文的重傳。在設定重傳的時間時，考慮網絡的實際環境，通常會認為認證系統和客戶端之間報文丟失的概率比較低以及傳送延遲短，因此一般通過一個超時計數器來設定，默認重傳時間為30s。

對于有些報文的丟失重傳比較特殊，如EAPoL－Start報文的丟失，由客戶端負責重傳；而對于EAP失敗和EAP成功報文，由于客戶端無法識別，認證系統不會重傳。由于對用戶身份合法性的認證最終由認證服務器執行，認證系統和認證服務器之間的報文丟失重傳也很重要。

另外，對于用戶的認證，在執行802．1x認證時，只有認證通過后，才有DHCP發起和IP分配的過程。由于客戶終端配置了DHCP自動獲取，則可能在未啟動802．1x客戶端之前，就發起了DHCP的請求，而此時認證系統處于禁止通行狀態，這樣認證系統會丟掉初始化的DHCP幀，同時會觸發認證系統發起對用戶的認證。

由于DHCP請求超時過程為64s，所以如果802．1x認證過程能在這64s內完成，則DHCP請求不會超時，能順利完成地址請求；如果終端軟件支持認證后再執行一次DHCP，就不用考慮64s的超時限制。

1．4　802．1x協議的認證過程

802．1x協議認證過程是用戶與服務器交互的過程，其認證步驟如下。

◆用戶開機后，通過802．1x客戶端軟件發起請求，查詢網絡上能處理EAPoL數據包的設備。如果某臺驗證設備能處理EAPoL數據包，就會向客戶端發送響應包，并要求用戶提供合法的身份標識，如用戶名及其密碼。

◆客戶端收到驗證設備的響應后，提供身份標識給驗證設備。由于此時客戶端還未經過驗證，因此認證流只能從驗證設備的未受控的邏輯端口經過。驗證設備通過EAP協議將認證流轉發到AAA服務器，進行認證。

◆如果認證通過，則認證系統的受控邏輯端口打開。

◆客戶端軟件發起DHCP請求，經認證設備轉發到DHCPServer。

◆DHCPServer為用戶分配IP地址。

◆DHCPServer分配的地址信息返回給認證系統，認證系統記錄用戶的相關信息，如MAC，IP地址等信息，并建立動態的ACL訪問列表，以限制用戶的權限。

◆當認證設備檢測到用戶的上網流量，就會向認證服務器發送計費信息，開始對用戶計費。

◆如果用戶退出網絡，可以通過客戶端軟件發起退出過程，認證設備檢測到該數據包后，會通知AAA服務器停止計費，并刪除用戶的相關信息（如物理地址和IP地址），受控邏輯端口關閉；用戶進入再認證狀態。

◆驗證設備通過定期的檢測保證鏈路的激活。如果用戶異常死機，則驗證設備在發起多次檢測后，自動認為用戶已經下線，于是向認證服務器發送終止計費的信息。

2　幾種認證方式比較

目前，在接入網中的認證方式除802．1x之外，還有PPPoE和Web＋DHCP兩種方式，在此把這幾種認證方式做一比較。PPPoE的本質就是在以太網上跑PPP協議。由于PPP協議認證過程的第一階段是發現階段，廣播只能在二層網絡，才能發現寬帶接入服務器。

因此，也就決定了在用戶主機和服務器之間，不能有路由器或三層交換機。另外，由于PPPoE點對點的本質，在用戶主機和服務器之間，限制了組播協議存在。這樣，將會在一定程度上，影響視頻業務的開展。除此之外，PPP協議需要再次封裝到以太網中，所以效率很低。

Web＋DHCP采用旁路方式網絡架構時，不能對用戶進行類似帶寬管理。另外，DHCP是動態分配IP地址，但其本身的成熟度加上設備對這種方式支持力度還較小，故在防止用戶盜用IP地址等方面，還需要額外的手段來控制。除此之外，用戶連接性差，易用性不夠好。

802．1x協議為二層協議，不需要到達三層，而且接入交換機無須支持802．1q的VLAN，對設備的整體性能要求不高，可以有效降低建網成本。業務報文直接承載在正常的二層報文上；用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求。在認證過程中，802．1x不用封裝幀到以太網中，效率相對較高。

3　802．1x協議在寬帶接入中的應用

以小區寬帶接入為例，探討802．1x協議在寬帶接入中的應用。小區寬帶接入中應用802．1x協議并不復雜，接入所用交換機要支持802．1x協議，并需RadiusServer和DHCP服務器存在，以完成認證功能。對于用戶數量較少的小區，只需在整個小區出口處安裝一臺支持802．1x交換機；對于用戶數量較多的小區，則可以在每個樓棟放置一臺支持802．1x交換機，每臺交換機都接入匯聚中心即可。

圖4是一個基于802．1x協議的小區寬帶接入網絡拓撲圖。這種方案和普通交換機接入方案在性能上是完全等效的，但是在安全性方面有普通方案無可比擬的優點。用戶在接入寬帶網過程中，用戶與交換機的認證步驟與802．1x協議認證步驟一樣。

需要指出的是，用戶發出認證報文，是使用特定的組播MAC地址，設備發送用戶的報文使用單播MAC地址，解決了認證報文的廣播的問題，其他用戶不能偵聽到認證過程，從而無法知道用戶的密碼、賬號，無法知道用戶的MAC地址。認證通過后的MAC地址與端口進行綁定。在通信過程中，可以保證用戶使用網絡的路徑是唯一的。這樣，通過認證的用戶的數據包就不會泄露，保證了用戶數據的安全性。

4　結束語

本文簡要分析了802．1x協議及其工作原理，設計了一個基于802．1x的小區寬帶接入系統的方案，該方案在充分發揮交換式以太網接入優點的前提下，可以有效地解決網絡認證、安全問題。考慮接入網絡安全性的需要，可以肯定，作為寬帶網接入的安全解決方案，802．1x必將是未來的發展主流。