1　背景

　　以太網(wǎng)的高性價(jià)比和媒體的特性使其逐漸成為家庭、企業(yè)局域網(wǎng)、電信級(jí)城域網(wǎng)的主導(dǎo)接入技術(shù)，而且隨著10 Gbit/s以太網(wǎng)技術(shù)的出現(xiàn)，以太網(wǎng)技術(shù)在廣域網(wǎng)范圍內(nèi)也將獲得一席之地，電信運(yùn)營商和寬帶接入提供商開始提供基于以太或純以太的接入業(yè)務(wù)。對(duì)于以太網(wǎng)絡(luò)中多數(shù)業(yè)務(wù)來說，運(yùn)營商無法從物理上完全控制客戶端設(shè)備或者媒介。運(yùn)營商要實(shí)現(xiàn)對(duì)寬帶業(yè)務(wù)的可運(yùn)營、可管理，就必須從邏輯上對(duì)用戶或者用戶設(shè)備進(jìn)行控制。該控制過程主要通過對(duì)用戶和用戶設(shè)備的認(rèn)證和授權(quán)來實(shí)施。一般來說，需要進(jìn)行認(rèn)證和授權(quán)的業(yè)務(wù)種類包括：

　　(1)提供給多用戶系統(tǒng)的以太城域網(wǎng)業(yè)務(wù)。這些業(yè)務(wù)包括典型的TLS業(yè)務(wù)、L2或者L3的VPN業(yè)務(wù)。在該業(yè)務(wù)組網(wǎng)環(huán)境中，客戶前端交換機(jī)由同一建筑物內(nèi)的多個(gè)用戶共享。

　　(2)在以IEEE 802.11a和IEEE 802.1b提供無線以太接入的熱點(diǎn)地區(qū)(如機(jī)場(chǎng)、商場(chǎng)、學(xué)校和餐廳等)，需要基于每個(gè)用戶設(shè)備或者用戶進(jìn)行接入認(rèn)證.以防止非授權(quán)用戶接入。

　　(3)基于ATM RFC 1483的DSL業(yè)務(wù)和IP以太接入網(wǎng)。

　　(4)基于EFM(Ethernet in the First Mile，IEEE 802.3ah)EPON接入和EoVDSL等業(yè)務(wù)。

　　(5)基于以太的cahle的共享RF信道接入方式。

　　2　IEEE 802.1x協(xié)議技術(shù)分析

　　IEEE在2001正式頒布了IEEE 802.1x標(biāo)準(zhǔn)，用于基于以太的局域網(wǎng)、城域網(wǎng)和各種寬帶接入手段的用戶/設(shè)備接入認(rèn)證。這種認(rèn)證采用基于以太網(wǎng)端口的用戶訪問控制技術(shù)，只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)(如以太網(wǎng)連接、網(wǎng)絡(luò)層路由、Internet接入等業(yè)務(wù))，既可以克服PPPoE方式的諸多問題，又避免了引入集中式寬帶接入服務(wù)器所帶來的巨大投資。

　　802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

　　用戶側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)擴(kuò)展認(rèn)證協(xié)議(EAP)代理，用戶PC機(jī)運(yùn)行EAPoL(EAP over LAN)的客戶端軟件與交換機(jī)通信。網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實(shí)體)。在訪問控制流程中，端口訪問實(shí)體包括：認(rèn)證者(對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口)、請(qǐng)求者(被認(rèn)證的用戶/設(shè)備)和認(rèn)證服務(wù)器(根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備執(zhí)行實(shí)際認(rèn)證功能的設(shè)備)3部分。

　　以太網(wǎng)的每個(gè)物理端口分為受控和不受控兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。對(duì)受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制“受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口，拒絕用戶/設(shè)備的訪問。

　　2.1　802.1x認(rèn)證特點(diǎn)

　　基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：

　　(1)IEEE 802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

　　(2)借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議)，可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容。

　　(3)802 1x的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換，其通過認(rèn)證后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。

　　(4)可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持。

　　(5)可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN。

　　(6)可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。

　　2.2　802.1x應(yīng)用環(huán)境

　　2.2.1　交換式以太網(wǎng)絡(luò)環(huán)境

　　隨著以太網(wǎng)技術(shù)的不斷演進(jìn)，局域網(wǎng)和城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)演變?yōu)橐环N全交換的網(wǎng)絡(luò)環(huán)境。在交換式以太網(wǎng)絡(luò)中，用戶設(shè)備一般通過一個(gè)專用的5類線和接入以太網(wǎng)交換機(jī)的端口直接連接，一般一個(gè)用戶設(shè)備對(duì)應(yīng)接入以太網(wǎng)交換機(jī)一個(gè)物理端口。在這種網(wǎng)絡(luò)架構(gòu)中接入以太網(wǎng)交換機(jī)的物理端口可以敏銳的覺察到用戶設(shè)備的使用情況，并且根據(jù)設(shè)備和線路的狀況，作出對(duì)設(shè)備認(rèn)證狀態(tài)的判斷，采取相應(yīng)的動(dòng)作。這種網(wǎng)絡(luò)結(jié)構(gòu)面臨的最大問題就是“搭載“情況的發(fā)生。所謂“搭載”就是指在采用802.1x認(rèn)證時(shí)，如果用戶網(wǎng)絡(luò)和接入以太網(wǎng)交換機(jī)中間采用了共享設(shè)備，那么只要用戶網(wǎng)絡(luò)上的一個(gè)設(shè)備/用戶通過了接入交換機(jī)的認(rèn)證，開放了端口的網(wǎng)絡(luò)訪問權(quán)限，那么該用戶網(wǎng)絡(luò)上其他的未認(rèn)證授權(quán)用戶/設(shè)備都可以獲得網(wǎng)絡(luò)訪問的權(quán)限。

　　對(duì)于交換式以太網(wǎng)絡(luò)，用戶和網(wǎng)絡(luò)之間采用點(diǎn)到點(diǎn)的物理連接，用戶彼此之間通過VLAN隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶接入控制，802.1x不需要提供過多的安全機(jī)制。

　　2.2.2　共享式網(wǎng)絡(luò)環(huán)境

　　當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時(shí)，為了防止在共享式網(wǎng)絡(luò)環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實(shí)體由物理端口進(jìn)一步擴(kuò)展為多個(gè)互相獨(dú)立的邏輯端口。邏輯端口和用戶/設(shè)備形成一一對(duì)應(yīng)關(guān)系，并且各邏輯端口之間的認(rèn)證過程和結(jié)果相互獨(dú)立。在共享式網(wǎng)絡(luò)中，用戶之間共享接入物理媒介，接入網(wǎng)絡(luò)的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全，可以采用的安全措施是對(duì)EAPoL和用戶的其他數(shù)據(jù)進(jìn)行加密封裝。

　　以無線局域網(wǎng)IEEE 802.1la和802.11b為例的共享式以太網(wǎng)絡(luò)環(huán)境中，客戶設(shè)備和特定的AP之間需要建立關(guān)聯(lián)關(guān)系，基于客戶設(shè)備和AP設(shè)備MAC地址，客戶設(shè)備和AP之間的關(guān)聯(lián)還包括一個(gè)單播會(huì)話鍵。由于客戶設(shè)備的MAC地址是惟一的，所以基于客戶設(shè)備和AP之間的MAC地址關(guān)聯(lián)和單播會(huì)話鍵是惟一的。該鍵在AP上為每個(gè)無線分區(qū)中的終端創(chuàng)立了互相獨(dú)立的邏輯端口。邏輯端口建立以后，AP就可以采取802.1x對(duì)屬于互相獨(dú)立的邏輯端口的用戶終端的認(rèn)證。EAP-TLS和EAP-TTLS等認(rèn)證解決方案還可以解決無線局域網(wǎng)中使用靜態(tài)WEP所帶來的安全性問題。使用EAP-TLS和EAP-TILLS，用戶可以在每次連接動(dòng)態(tài)生成新的WEP密鑰。而且在用戶連接其間，還可以按照一定間隔動(dòng)態(tài)產(chǎn)生新密鑰。在實(shí)際網(wǎng)絡(luò)環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補(bǔ)WEP靜態(tài)分配密鑰導(dǎo)致的安全性缺陷。

　　2.3　802.1x認(rèn)證的安全性分析

　　IEEE 802.1x和PPP一樣采用了EAP協(xié)議作為認(rèn)證信息交互機(jī)制，EAP消息封裝在EAPoL分組中。作為一種認(rèn)證消息承載機(jī)制，EAP可以允許認(rèn)證者和請(qǐng)求者之間采用靈活的方案進(jìn)行認(rèn)證，并且對(duì)將來出現(xiàn)的更先進(jìn)、合理的認(rèn)證技術(shù)具有很好的兼容性。EAP的這些特性主要通過擴(kuò)展EAP中廠家定義的“EAP類型”域?qū)崿F(xiàn)，“EAP類型”域中定義的認(rèn)證類型可以滿足不同層次認(rèn)證的安全需要。目前可以采用的EAP類型有EAP-MD5、EAP-TLS、EAP-TFLS、PEAP和LEAP。


　　EAP-MD5方式是通過RADIUS服務(wù)器提供簡單的集中用戶認(rèn)證。其服務(wù)器不需要證書或者無線工作站中的其他安全信息，用戶注冊(cè)時(shí)該服務(wù)器只是檢查用戶名和口令，若匹配就通知允許該客戶端訪問網(wǎng)絡(luò)服務(wù)。由于EAP-MD5只提供認(rèn)證，因此為安全起見，應(yīng)該與標(biāo)準(zhǔn)802.11安全協(xié)議WEP/WEP2組合使用，采用40位/128位共享密鑰實(shí)現(xiàn)加密。這是一種單向認(rèn)證機(jī)制，只能保證客戶端到服務(wù)器的認(rèn)證，并不保證服務(wù)器到客戶端的認(rèn)證。

　　EAP-TLS方式提供了一種基于證書的雙向認(rèn)證，除了在連接建立時(shí)主機(jī)和服務(wù)器之間分配的會(huì)話號(hào)(Session ID)之外，它需要通過安全連接在客戶側(cè)和服務(wù)器側(cè)的事先發(fā)布的認(rèn)證證書。EAP-TLS既提供認(rèn)證，又提供動(dòng)態(tài)會(huì)話鑰匙分發(fā)。RA-DIUS服務(wù)器需要支持EAP-TLS認(rèn)證和認(rèn)證證書的管理能力。TLS支持雙向認(rèn)證，也就是網(wǎng)絡(luò)(EAP-TLS服務(wù)器)認(rèn)證終端用戶(Client)，終端用戶認(rèn)證網(wǎng)絡(luò)。只有在雙向認(rèn)證通過以后，服務(wù)器才向接入認(rèn)證點(diǎn)發(fā)送EAP-Success消息，指示用戶終端可以收發(fā)數(shù)據(jù)流。這個(gè)消息同時(shí)觸發(fā)對(duì)數(shù)據(jù)流的加密，在加密密鑰建立之前，終端不發(fā)送數(shù)據(jù)。

　　EAP-TTLS是一種允許傳統(tǒng)基于用戶名和密碼的認(rèn)證機(jī)制方式，類似于CHAP(Challenge Handshake Authentication　Protocol)、PAP、一次性密碼(One Time Password)和EAP認(rèn)證協(xié)同工作的認(rèn)證機(jī)制?？蛻舳耸褂肨TLS服務(wù)器提供的數(shù)字證書對(duì)網(wǎng)絡(luò)端進(jìn)行認(rèn)證，這個(gè)過程是對(duì)安全Web服務(wù)器方式的模擬。認(rèn)證隧道一旦建立，就開始對(duì)安全終端用戶進(jìn)行認(rèn)證。EAP-TTLS可以保證無線接入媒體中終端用戶的一致性，防止匿名用戶非法使用網(wǎng)絡(luò)。和EAP-TLS一樣，只有在雙向認(rèn)證通過以后，服務(wù)器才向接入認(rèn)證點(diǎn)發(fā)送EAP-Success消息，指示用戶終端可以收發(fā)數(shù)據(jù)流。這個(gè)消息同時(shí)觸發(fā)對(duì)數(shù)據(jù)流的加密，在加密密鑰建立之前，終端不發(fā)送數(shù)據(jù)。

　　2.4　802.1x認(rèn)證的優(yōu)勢(shì)

　　綜合IEEE 802.1x的技術(shù)特點(diǎn)，它具有如下幾點(diǎn)優(yōu)勢(shì)：

　　(1)簡潔高效。純以太網(wǎng)技術(shù)內(nèi)核保持了IP網(wǎng)絡(luò)無連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余昂貴的多業(yè)務(wù)網(wǎng)關(guān)設(shè)備，消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

　　(2)容易實(shí)現(xiàn)?？稍谄胀↙3、L2、IP DSLAM上實(shí)現(xiàn)，網(wǎng)絡(luò)綜合造價(jià)成本低，保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。

　　(3)安全可靠。在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合MAC、端口、賬戶、VLAN和密碼等，綁定技術(shù)具有很高的安全性。在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP-TLS、EAP-TTLS，可以實(shí)現(xiàn)對(duì)WEP證書密鑰的動(dòng)態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。

　　(4)行業(yè)標(biāo)準(zhǔn)。IEEE標(biāo)準(zhǔn)和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商的設(shè)備(包括路由器、交換機(jī)和無線AP等)都提供對(duì)該協(xié)議的支持?？蛻舳朔矫?，Linux和微軟的Windows XP操作系統(tǒng)都已經(jīng)支持該協(xié)議。

　　(5)應(yīng)用靈活?？梢造`活控制認(rèn)證的顆粒度，用于對(duì)單個(gè)用戶連接、用戶ID或者是對(duì)接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以靈活地進(jìn)行組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

　　(6)易于運(yùn)營。控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營，少量改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營級(jí)網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運(yùn)營成本也有望降低。

　　3　802.1x在電信級(jí)IP寬帶網(wǎng)絡(luò)中的應(yīng)用建議

　　802.1x認(rèn)證在電信級(jí)寬帶網(wǎng)絡(luò)中應(yīng)用的總體架構(gòu)如圖2所示。根據(jù)前面對(duì)802.1x技術(shù)特點(diǎn)及技術(shù)優(yōu)勢(shì)的分析，筆者認(rèn)為電信級(jí)網(wǎng)絡(luò)中應(yīng)用802.1x應(yīng)遵循下列5項(xiàng)原則。

　　3.1　以WLAN為應(yīng)用突破口

　　802.1x認(rèn)證技術(shù)在電信級(jí)寬帶網(wǎng)中的應(yīng)用宜以(WLAN為突破口。802.1x技術(shù)從一開始就對(duì)基于WLAN提供認(rèn)證的技術(shù)進(jìn)行了大量的研究和探索，WLAN設(shè)備大量應(yīng)用的時(shí)間段和802.1x協(xié)議標(biāo)準(zhǔn)產(chǎn)生也基本同步，目前多數(shù)廠商的WLAN AP設(shè)備都可以支持802.1x認(rèn)證；從技術(shù)上考慮，WLAN是一種共享式的以太接入網(wǎng)絡(luò)，它所面臨的安全性問題和用戶控制都要比基于有線的以太接入方式難以解決。WLAN作為寬帶網(wǎng)上的新應(yīng)用，運(yùn)營商沒有什么歷史包袱，在網(wǎng)絡(luò)減少和設(shè)備選型時(shí)不受現(xiàn)有網(wǎng)絡(luò)條件的牽制。以上種種原因決定了WLAN是802.1x技術(shù)應(yīng)用的排頭兵。

　　3.2　認(rèn)證邊緣化、分布化

　　認(rèn)證邊緣化充分發(fā)揮了802.1x基于端口認(rèn)證的優(yōu)勢(shì)。所謂認(rèn)證邊緣化是指將認(rèn)證設(shè)備在網(wǎng)絡(luò)中的位置設(shè)置為直接與用戶設(shè)備/網(wǎng)絡(luò)接口，邊緣化的認(rèn)證設(shè)備可以感知、監(jiān)控認(rèn)證設(shè)備和用戶設(shè)備之間鏈路連接狀態(tài)，根據(jù)鏈路狀態(tài)變化，認(rèn)證設(shè)備可以采取相應(yīng)的策略，主動(dòng)要求用戶/設(shè)備發(fā)起認(rèn)證。對(duì)鏈路狀態(tài)的感知能力也是運(yùn)營商進(jìn)行網(wǎng)絡(luò)故障檢測(cè)和網(wǎng)絡(luò)運(yùn)行維護(hù)工作順利開展的基礎(chǔ)，可以說實(shí)現(xiàn)了認(rèn)證的邊緣化也就解決了寬帶接入網(wǎng)絡(luò)中線路維護(hù)和故障診斷困難的難題。用戶可以在本地接入網(wǎng)段實(shí)現(xiàn)隔離，不需要像集中認(rèn)證方式那樣，在用戶到接入認(rèn)證服務(wù)器之間的二層網(wǎng)絡(luò)都需要進(jìn)行用戶隔離，減少了交換機(jī)運(yùn)行VLAN的復(fù)雜度，也使網(wǎng)絡(luò)流量的規(guī)劃、管理、控制更加容易。認(rèn)證邊緣化意味著認(rèn)證設(shè)備的分布化，可以避免采用集中式的PPPoE認(rèn)證帶來的網(wǎng)絡(luò)性能和網(wǎng)絡(luò)可靠性瓶頸。

　　3.3　用戶管理集中化

　　雖然802.1x采用分布式認(rèn)證，但在用戶管理時(shí)建議仍采用集中方式。集中式的用戶管理的范圍包括有線接入用戶和無線接入用戶。集中認(rèn)證一方面易于管理維護(hù)，保證了單個(gè)管理域內(nèi)用戶信息的一致性；另一方面，集中統(tǒng)一的用戶管理為不同接入手段的用戶賬戶之間進(jìn)行漫游提供了前提條件，而且用戶在不同網(wǎng)絡(luò)或者接入類型之間切換時(shí)面對(duì)的是統(tǒng)一的界面。PPPoE認(rèn)證中也采用集中式的用戶管理，802.1x通過對(duì)現(xiàn)有的RADIUS設(shè)備進(jìn)行升級(jí)，可以完整地繼承PPPoE的認(rèn)證體系，避免對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行大規(guī)模調(diào)整，工程易實(shí)現(xiàn)。

　　3.4　多業(yè)務(wù)接入，兼顧網(wǎng)絡(luò)技術(shù)特點(diǎn)

　　802.1x是IEEE以太協(xié)議族中的一個(gè)組成部分，應(yīng)用范圍涵蓋WLAN、xDSL、5類線、Cable和EPON等純以太或者基于以太的多業(yè)務(wù)接入方式。以xDSL技術(shù)為例，一方面EoVDSL等純以太的xDSL接入手段出現(xiàn)，另一方面在基于ATM的xDSL技術(shù)中，IP DSLAM的出現(xiàn)及其三層路由功能需求，使802.1x成為滿足需求的最佳選擇。值得注意的是，交換式以太網(wǎng)絡(luò)和共享式以太網(wǎng)絡(luò)有不同的技術(shù)特點(diǎn)，在應(yīng)用802.1x時(shí)要兼顧。

　　3.5　逐步取代PPPoE

　　802.1x技術(shù)代表了電信級(jí)寬帶網(wǎng)絡(luò)發(fā)展的趨勢(shì)，即認(rèn)證和業(yè)務(wù)分離，支持多業(yè)務(wù)。PPPoE的缺陷注定其是過渡者角色。事實(shí)上，當(dāng)初PPPoE也是作為一種權(quán)宜之計(jì)應(yīng)用到寬帶網(wǎng)絡(luò)接入認(rèn)證中的，但是802.1x取代PPPoE是一個(gè)漸進(jìn)的過程。網(wǎng)絡(luò)現(xiàn)狀是我們不得不考慮的問題，其中最主要的問題是樓道交換機(jī)功能簡單，不支持802.1x。解決這個(gè)問題可以考慮采用如下途徑：一是對(duì)樓道交換機(jī)進(jìn)行軟件升級(jí)，使其支持802.1x；二是對(duì)802.1x協(xié)議進(jìn)行改進(jìn)，使EAP可以承載在VLAN上，在匯聚層交換機(jī)進(jìn)行802.1x認(rèn)證，下游二層交換機(jī)采用VLAN進(jìn)行用戶隔離。最終，認(rèn)證邊緣化要求面向用戶的接入設(shè)備，可以直接實(shí)現(xiàn)對(duì)用戶接入的管理和控制。

　　4　結(jié)論

　　隨著以太網(wǎng)技術(shù)在寬帶網(wǎng)內(nèi)應(yīng)用范圍的日益廣泛，各種基于以太網(wǎng)技術(shù)的業(yè)務(wù)應(yīng)運(yùn)而生，成為寬帶網(wǎng)絡(luò)業(yè)務(wù)主體，在寬帶接入領(lǐng)域內(nèi)，純以太網(wǎng)或者與以太網(wǎng)相關(guān)的接入技術(shù)已經(jīng)成為接入網(wǎng)發(fā)展的大趨勢(shì)。802.1x技術(shù)作為IEEE協(xié)議族的一個(gè)組成部分，在以太網(wǎng)絡(luò)環(huán)境中提供了一種基于端口、認(rèn)證和業(yè)務(wù)分離、高靈活性、強(qiáng)適應(yīng)性的接入控制手段。相比現(xiàn)階段廣泛應(yīng)用的PPPoE解決方案，802.1x不僅具有和以太網(wǎng)技術(shù)天生的良好兼容性，還具有出色的多業(yè)務(wù)支持能力和多樣化的統(tǒng)計(jì)計(jì)費(fèi)能力。不過，現(xiàn)階段802.1x應(yīng)用于電信級(jí)寬帶網(wǎng)絡(luò)還存在著一些缺陷，但是隨著其不斷完善、成熟，802.1x協(xié)議將成為電信級(jí)寬帶網(wǎng)絡(luò)中不可或缺的部分。
文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論