802.1x协议及其在宽带接入中的应用

1．4802．1x协议的认证过程

802．1x协议认证过程是用户与服务器交互的过程，其认证步骤如下。

（1）用户开机后，通过802．1x客户端软件发起请求，查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包，就会向客户端发送响应包，并要求用户提供合法的身份标识，如用户名及其密码。

（2）客户端收到验证设备的响应后，提供身份标识给验证设备。由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器，进行认证。

（3）如果认证通过，则认证系统的受控逻辑端口打开。

（4）客户端软件发起DHCP请求，经认证设备转发到DHCPServer。

（5）DHCPServer为用户分配IP地址。

（6）DHCPServer分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。

（7）当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。

（8）如果用户退出网络，可以通过客户端软件发起退出过程，认证设备检测到该数据包后，会通知AAA服务器停止计费，并删除用户的相关信息（如物理地址和IP地址），受控逻辑端口关闭；用户进入再认证状态。

（9）验证设备通过定期的检测保证链路的激活。如果用户异常死机，则验证设备在发起多次检测后，自动认为用户已经下线，于是向认证服务器发送终止计费的信息。

2几种认证方式比较

目前，在接入网中的认证方式除802．1x之外，还有PPPoE和Web＋DHCP两种方式，在此把这几种认证方式做一比较。

PPPoE的本质就是在以太网上跑PPP协议。由于PPP协议认证过程的第一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器。因此，也就决定了在用户主机和服务器之间，不能有路由器或三层交换机。另外，由于PPPoE点对点的本质，在用户主机和服务器之间，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的开展。除此之外，PPP协议需要再次封装到以太网中，所以效率很低。

Web＋DHCP采用旁路方式网络架构时，不能对用户进行类似带宽管理。另外，DHCP是动态分配IP地址，但其本身的成熟度加上设备对这种方式支持力度还较小，故在防止用户盗用IP地址等方面，还需要额外的手段来控制。除此之外，用户连接性差，易用性不够好。

802．1x协议为二层协议，不需要到达三层，而且接入交换机无须支持802．1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。在认证过程中，802．1x不用封装帧到以太网中，效率相对较高。

3802．1x协议在宽带接入中的应用

以小区宽带接入为例，探讨802．1x协议在宽带接入中的应用。

小区宽带接入中应用802．1x协议并不复杂，接入所用交换机要支持802．1x协议，并需RadiusServer和DHCP服务器存在，以完成认证功能。对于用户数量较少的小区，只需在整个小区出口处安装一台支持802．1x交换机；对于用户数量较多的小区，则可以在每个楼栋放置一台支持802．1x交换机，每台交换机都接入汇聚中心即可。

图4是一个基于802．1x协议的小区宽带接入网络拓扑图。这种方案和普通交换机接入方案在性能上是完全等效的，但是在安全性方面有普通方案无可比拟的优点。用户在接入宽带网过程中，用户与交换机的认证步骤与802．1x协议认证步骤一样。

需要指出的是，用户发出认证报文，是使用特定的组播MAC地址，设备发送用户的报文使用单播MAC地址，解决了认证报文的广播的问题，其他用户不能侦听到认证过程，从而无法知道用户的密码、账号，无法知道用户的MAC地址。

认证通过后的MAC地址与端口进行绑定。在通信过程中，可以保证用户使用网络的路径是唯一的。这样，通过认证的用户的数据包就不会泄露，保证了用户数据的安全性。

4结束语

本文简要分析了802．1x协议及其工作原理，设计了一个基于802．1x的小区宽带接入系统的方案，该方案在充分发挥交换式以太网接入优点的前提下，可以有效地解决网络认证、安全问题。考虑接入网络安全性的需要，可以肯定，作为宽带网接入的安全解决方案，802．1x必将是未来的发展主流。