利用802.1x協(xié)議實現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點分析了協(xié)議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實際

整體性能要求不高，可以有效降低建網(wǎng)成本。

3.2 認證和業(yè)務(wù)分離

802.1x的認證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離。用戶通過認證后，業(yè)務(wù)流和認證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求，業(yè)務(wù)可以很靈活，尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢，所有業(yè)務(wù)都不受認證方式限制。

3.3 和其他認證方式的比較

802.1x協(xié)議雖然源于802.11無線以太網(wǎng)（EAPOW），但是，它在以太網(wǎng)中的引入，解決了傳統(tǒng)的PPPoE和Web/Portal認證方式帶來的問題，消除了網(wǎng)絡(luò)瓶頸，簡輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本。

眾所周知，PPPoE是從基于ATM的窄帶網(wǎng)引入到寬帶以太網(wǎng)的，由此可以看出，PPPoE并不是為寬帶以太網(wǎng)量身定做的認證技術(shù)，將其應(yīng)用于寬帶以太網(wǎng)，必然會有其局限性，雖然其方式較靈活，在窄帶網(wǎng)中有較豐富的應(yīng)用經(jīng)驗，但是，它的封裝方式，也造成了寬帶以太網(wǎng)的種種等問題。在PPPoE認證中，認證系統(tǒng)必須將每個包進行拆解才能判斷和識別用戶是否合法，一旦用戶增多或者數(shù)據(jù)包增大，封裝速度必然跟不上，成為了網(wǎng)絡(luò)瓶頸。其次這樣大量的拆包解包過程必須由一個功能強勁同時價格昂貴的設(shè)備來完成，這個設(shè)備就是我們傳統(tǒng)的BAS，每個用戶發(fā)出的每個數(shù)據(jù)包BAS必須進行拆包識別和封裝轉(zhuǎn)發(fā)。為了解決瓶頸問題，廠商想出了提高BAS性能，或者采用大量分布式BAS等方式來解決問題，但是BAS的功能就決定了它是一個昂貴的設(shè)備，這樣一來建設(shè)成本就會越來越高。

Web/Portal認證是基于業(yè)務(wù)類型的認證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認證走的是7層協(xié)議，從邏輯上來說為了達到網(wǎng)絡(luò)2層的連接而跑到7層做認證，這首先不符合網(wǎng)絡(luò)邏輯。其次由于認證走的是7層協(xié)議，對設(shè)備必然提出更高要求，增加了建網(wǎng)成本。第三，Web是在認證前就為用戶分配了IP地址，對目前網(wǎng)絡(luò)珍貴的IP地址來說造成了浪費，而且分配IP地址的DHCP對用戶而言是完全裸露的，容易造成被惡意攻擊，一旦受攻擊癱瘓，整網(wǎng)就沒法認證；為了解決易受攻擊問題，就必須加裝一個防火墻，這樣一來又大大增加了建網(wǎng)成本。Web/Portal認證用戶連接性差，不容易檢測用戶離線；用戶在訪問網(wǎng)絡(luò)前，不管是 Telnet、FTP還是其他業(yè)務(wù)，必須使用瀏覽器進行Web認證，易用性不夠好；而且認證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。所以，在以太網(wǎng)中，Web/Portal認證目前只是限于在酒店等特殊網(wǎng)絡(luò)環(huán)境中使用。

四、8

上一頁 1 2 3 4 5 6 7 下一頁

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊