宽带接入的认证管理方式分析

2019-11-03 18:57:22

字体：大中小

来源：转载

供稿：网友

深圳市中兴通讯股份有限公司陈晓涛

　　电信运营商的网络是一个可运营可管理的网络，前期网络的泡沫不在于我们的网络规模是否超前，我们的带宽是否太大，而是我们如何管理和运营我们的网络，从中真正得到应有的效益，同时让不同需求的用户得到不同的服务，还有就是充分挖掘现有网络的潜力，在目前的网络中提供更多的服务。有必要强调：宽带城域网应该是一个可运营、可管理的城域电信网络，而不再是简单的免费开放的城域计算机网络平台。　　所以我们必须重新审视宽带城域网建设中的认证、计费、业务开展等。

一、宽带接入认证技术概述

　　目前宽带接入的方式主要有xDSL、LMDS、HomePNA、LAN、HFC、WLAN等，根据不同电信运营商的基础网络结构，目前重点应用的有LAN、ADSL、WLAN。

　　以太网接入是指接入网用户侧采用以太网协议的接入技术，其简单高效，能兼容所有带标准以太网接口的终端，用户不需要另配新的接口卡或协议软件，因而是一种十分廉价的宽带接入技术。因传统以太网主要针对小型的专用网络环境而设计，强调资源共享，所以在用户信息的隔离、用户传输质量的保证、业务管理和网络可靠性方面考虑不太全面，这对以太网用于公用电信网很不利。目前一些设备制造商和运营商已注意到这些问题，提出了一些有效的解决方案：如通过VLAN进行用户隔离，用IGMP Snooping(互联网组管理协议窃听)技术以及优先级控制、Tagged VLAN(带标记的虚拟局域网)等功能支持有实时与组播要求的视频点播业务等；在用户管理方面常用两种以太网接入认证技术——基于BNAS(宽带接入服务器)和PPPoE(基于以太网的点到点协议)认证方法以及基于以太网端口的用户访问控制技术IEEE 802.1x协议。

　　另外一种方式为WEB/Portal 认证方式，各设备厂商具体实现并不完全一致，但其认证过程可以归纳为：用户开机并通过DHCP服务器分配认证ip地址，局端设备通过对该IP地址进行强制URL访问到登陆页面，用户输入用户账号信息并发往认证服务器, 认证服务器获得用户MAC/IP/VLAN ID作为用户标识，认证服务器反馈认证成功信息，局端设备将用户VLAN ID、用户端口、用户IP地址和MAC地址进行可选择性的绑定并开放用户的上网功能。这种方式认证和业务流也实现了分离，并可以方便地利用WEB服务器推出Portal和广告等增值业务，对用户进行业务宣传及业务引导。

二、WEB/Portal 认证过程

　　WEB/Portal 认证过程可以简单描述如下：

　　1．用户通过Web/Portal server内置DHCP获得IP地址。

　　2．用户通过Explore访问WEB/Portal Server,输入用户名和密码。

　　3． WEB/Portal Server获得用户MAC/IP/VID作为用户标识。

　　4．通过Server给某个MAC/IP/VID以上网权限，并检验每个数据流是否满足权限要求。

　　5．用户下线，需要在WEB/PORTAL的Explore界面上注销，通知系统停止计费。

　　6．系统定期检测用户在线情况，发现用户下线，停止计费。

　　传统的Web/Portal认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于Web认证需要7层协议支持，从逻辑上来说为了达到网络2层的连接和认真而跑到7层，这首先不符合网络逻辑。

　　由于Web/Portal认证是基于7层的认证，4层以下的网络问题往往检测不到。如断电、突发故障等异常离线情况必须在2层做检测，而Web/Portal对此束手无策。因此Web/Portal认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现。

　　如果用户是异常下线，接入服务器需要根据设置的用户空闲最长时间来判断用户的状态。如果超过最长空闲时间，则认为用户已下线。这种判断用户异常下线的方式，可能导致计费结束时间晚于用户实际的下线时间。要解决这个问题，就可能需要将用户空闲的最长时间设短，但此时间如果太短，必然又有可能让用户在上网的过程中出现多次需要重新进行认证，带来使用的不方便。

　　Web/Portal认证中，无论什么用户都可以先获得IP地址，再上网通过客户端认证，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的Web认证服务器对用户而言是完全裸露的，容易造成被恶意攻击，并使得整网无法认证。目前， Web/Portal认证在酒店、校园等网络环境中有应用。

三、PPPoE认证

　　基于BNAS和PPPoE的认证方法是较早出现也是最常见的一种用户管理手段(如图1所示)。

图1 PPPoE方式用户管理

　　采用安装在端局POP节点的BNAS，负责终结由用户PC机发起的PPPoE进程，并在BNAS后面连接运营商的RADIUS(远程认证拨入用户服务)认证服务器和RADIUS计费服务器。当用户登录时，BNAS将用户名和口令传送到认证服务器，验证通过后，BNAS将允许用户接入网络，并启动计费服务器对用户进行计费。BNAS投资昂贵，采用BNAS+PPPoE这一认证方法将增加城域网建设的投资。

　　 BNAS的业务接入方式与窄带拨号接入服务器相同，采用PPP方式。采用PPP协议的好处是：成熟，便于实现，可以支持多协议，容易与ISP设施配合，支持加密、认证、记账等功能。

　　1． PPP终结方式和PPP隧道方式

　　由于PPP连接的终结地方不同，RADIUS或者AAA功能的提供点不同，PPP连接可以分为PPP终结方式和PPP隧道（续传）方式。

　　PPP连接终结在BNAS侧，称为PPP终结方式。

　　PPP连接终结在ISP，即PPP分组从用户终端经过BNAS透明穿过，直接到达ISP节点，称为PPP隧道方式或者PPP续传方式。

　　2．PPPoE

　　通过PPPoE，在一个共享的以太网上的多个主机，可以通过一个或多个简单的桥接入设备，与远程接入集中器进行多个PPP会话。使用这种模型，每个主机使用它自己的PPP协议栈，并且提供给用户一个熟悉的用户接口。接入控制、计费和服务类型能够基于每用户，而不是每站点来处理。PPPoE包含发现和PPP会话两个阶段，发现阶段是无状态的Client/Server模式，目的是获得PPPoE终结端的以太网MAC地址，并建立一个唯一的PPPoE session_ID。发现阶段结束后，就进入标准的PPP会话阶段。

　　PPPoE有两个不同的阶段：发现阶段和PPP会话阶段。当一个主机想开始一个PPPoE会话，它必须首先进行发现阶段以识别对端的以太网MAC地址，并建立一个PPPoE SESSION_ID。在发现阶段，基于网络的拓扑，主机可以寻找到多个接入集中器。发现阶段允许主机寻找到所有的接入集中器，然后选择一个。当发现阶段成功完成，主机和选择的接入集中器都有了他们在以太网上建立PPP连接的信息。直到PPP会话建立，发现阶段一直保持无状态的状态。一旦PPP会话建立，主机和接入集中器都必须为PPP虚接口分配资源。

　　（1）发现阶段

　　发现阶段有四个步骤，当此阶段完成，通信的两端都知道PPPoE SESSION_ID和对端的以太网地址，他们一起唯一定义PPPoE会话。这些步骤包括：主机广播一个发起分组（PADI），一个或多个接入集中器发送给予分组（PADO），主机发送单播会话请求分组（PADR），选择的接入集中器发送一个确认分组（PADS）。当主机接收到确认分组，它可以开始进行PPP会话阶段。当接入集中器发送出确认分组，它可以开始进行PPP会话阶段。

　　当主机在指定的时间内没有接收到PADO，它应该重新发送它的PADI分组，并且加倍等待时间，这个过程会被重复期望的次数。如果主机正在等待接收PADS，应该使用具有主机重新发送PADR的相似超时机制。在重试指定的次数后，主机应该重新发送PADI分组。

　　 PPPoE还有一个PADT分组，它可以在会话建立后的任何时候发送，来终止PPPoE会话。它可以由主机或者接入集中器发送。当接收到一个PADT，不再允许使用这个会话来发送PPP业务。在发送或接收PADT后，即使正常的PPP终止分组也不必发送。PPP对端应该使用PPP协议自身来终止PPPoE会话，但是当PPP不能使用时，可以使用PADT。

　　（2） PPP会话阶段

　　一旦PPPoE会话开始，PPP数据就可以像其它的PPP封装形式一样发送。所有的以太网帧都是单播的。PPPoE会话的 SESSION_ID一定不能改变，并且必须是发现阶段分配的值。

　　PPP连接可以分为PPP终结方式和PPP续传方式。PPP连接终结在BNAS侧，成为PPP终结方式。PPP连接终结在ISP，即PPP分组从用户终端经过BNAS透明穿过，直接到达ISP节点，相当于用户终端到ISP是一个PPP连接的隧道，所以也称为L2TP VPN方式。

四、IEEE 802.1x认证

　　采用宽带接入服务器BNAS和PPPoE技术的用户管理方式目前存在如下问题：

　　◊ 由于宽带接入服务器要终结大量的PPP会话，并转发IP数据包，使宽带接入服务器成为网络性能的“瓶颈”，这可以通过合理的组网方式部分解决问题。

　　◊ 宽带接入服务器通常放置在端局的位置，其下是巨大的广播域，从用户安全角度考虑，需要通过VLAN(虚拟局域网)技术来实现用户的隔离，但是目前的设备只能支持最大4096个虚拟局域网。

　　◊ 由于PPPoE的点到点特性，使城域网组播业务的开展受到极大的限制。

　　◊ 采用BNAS和PPPoE方式增加了城域网建设的投资。

　　采用基于以太网端口的用户访问控制技术，可以克服PPPoE方式带来的诸多问题，并避免引入宽带接入服务器所带来的巨大投资。

　　在传统以太网设备基础上，基于端口的网络访问控制技术采用IEEE 802.1x协议，提供了对基于以太网的点到点连接的端口用户进行认证和授权的能力，从而使以太网设备达到电信运营要求，如图2所示。用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理，用户PC机运行EAPoE(EAP over Ethernet)的客户端软件与交换机通信。当用户通过EAPoE登录交换机时，交换机将用户名和口令传送到后台的RADIUS认证服务器上，如果用户名／口令通过验证，则相应以太网端口打开，允许用户访问；如果认证失败，端口接入将被阻止。

　　基于端口的访问控制技术(IEEE 802.1x协议)是为运营商提供的一种较为经济实用的认证方式，可实现用户设备在城域网边缘的分散用户集中认证管理，替代宽带接入服务器实现城域网范围内的用户管理功能。

　　1．技术介绍

　　基于以太网端口的用户管理认证技术通过3个部分的功能实体来实现以太网端口用户管理认证的模式

　　(1) 用户PC上的客户端软件

　　输入用户ID(标识)和密码，实现认证的客户端主要功能。

　　(2) 靠近用户侧的以太网交换机

　　在普通以太网交换机上进行扩展，实现远端授权拨号上网用户服务认证代理功能，并根据RADIUS服务器的认证结果，开放用户连接以太网业务端口的访问权限。

　　(3) RADIUS服务器

　　进行用户ID和密码的认证，并返回结果给以太网交换机。

　　初始状态下，与最终用户相连的以太网交换机(放置在楼道的交换机)的所有业务端口是关闭的，只有管理和认证的端口是开放的。用户通过客户端软件登录交换机，交换机将用户提供的ID和密码传送到后台的RADIUS服务器(可以在本地，也可以通过广域网设备连到远地)上，如果用户ID和密码认证通过，则以太网交换机相应的业务端口打开，允许用户访问城域网络。

　　通过这种基于L2(二层)以太网交换机的用户管理方法，可以使城域网整体的组网变得非常简单，通过L2以太网交换机和路由器两种设备即基本实现，可同时实现业务的集中控制(以RADIUS为核心的业务中心控制)和分散实现(靠近用户的以太网交换机实现)，满足可运营、可管理宽带城域网的用户管理认证要求。

　　2． IEEE 802.1x协议

　　基于端口的网络访问控制技术，在传统以太网设备的基础上，采用IEEE 802.1x协议提供对基于以太网端口点到点连接的用户进行认证、授权的能力，从而使以太网设备可以达到电信运营的要求，尤其在宽带城域网的建设中可以发挥重大的作用。

　　802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

　　(1) 协议简介

　　基于端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接，网络层路由，Internet接入等业务)。

　　网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中，端口访问实体包含3部分：

　　认证者——对接入的用户/设备进行认证的端口；

　　请求者——被认证的用户/设备；

　　认证服务器——根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

　　以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问，受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果，控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口，拒绝用户/设备的访问。

　　(2)以太网端口的受控和非受控接入

　　图3示意了受控端口的认证状态对访问的影响。认证者1(可能是以太网交换机的某个端口)的受控端口处于未授权状态，因此受控端口对连接在物理端口上的用户MAC(媒体访问控制)是关闭的，用户的帧无法通过受控端口访问网络资源；认证者2(以太网交换机的另一个端口)的受控端口已经授权，因此连接的端口是开放的，用户可以自由访问网络资源。

　　(3)受控和非受控端口在用户认证中的应用

　　图4示意了受控和非受控端口在认证过程中的应用。用户对网络资源的正常访问都是在认证、授权以后，通过受控端口进行的；而非受控的端口用于认证之前，传递认证所需的各种信息。认证者PAE根据认证过程的结果，改变受控端口的授权状态，从而实现对用户访问网络资源的限制。

　　(4) 用户以太网端口认证流程

　　用户、以太网端口和认证服务器之间认证者(以太网端口)的受控端口处于未授权状态，用户/设备是无法享用认证者(以太网端口)提供的网络接入业务的。认证者PAE利用非受控的端口，通过EAPoL协议与请求者PAE进行认证信息交互，并采用EAP协议与认证服务器进行通信。认证者PAE根据认证服务器返回的认证结果，开放或关闭受控端口的授权，从而控制最终用户对网络的访问。

　　认证者PAE的作用相当于认证服务器的代理。它可以与认证服务器位于同一物理设备，也可以通过LAN、WAN与认证服务器进行本地和远程认证。

　　(5) IEEE 802.1x的主要内容

　　端口访问控制的应用前提是在用户(请求者)和认证者(以太网端口)之间提供一条点到点的连接，这样使认证以端口的形式进行。

　　基于端口的网络访问控制定义了3方面内容：

　　规定了请求者与认证者之间的认证信息通信协议；

　　认证者与认证服务器之间的通信协议；

　　根据协议交换的结果，控制认证者端口状态的机制。

　　由于以太网设备(认证者)只是RADIUS的认证代理，负责传递认证信息，并根据认证服务器给出的结果进行操作，并不参与其实际的认证。　　(6) 802.1x协议的特点

　　基于以太网端口认证的802.1x协议有如下特点：

　　借用了在RAS系统中常用的EAP(扩展认证协议)；

　　可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；

　　可以映射不同的用户认证等级到不同的VLAN；

　　可以使交换端口和无线LAN具有安全的认证接入功能；

五、不同认证方式的比较

　　项目 WEB/Portal BNAS+PPPoE 802.1x

　　标准化程度尚无标准成熟标准标准有待成熟，客户端软件厂家私有IP地址分配方式 DHCP方式，可基于端口分配，且能进行数量限制，地址分配不可控，容易造成地址浪费，先分配地址，后认证。 IPCP协商得到IP地址，自动配置网络参数，先认证，后分配IP地址。 DHCP方式，先认证，后分配IP地址。

　　认证粒度针对VLAN，一个VLAN一个用户针对用户连接，一个端口可有多个用户针对端口，一个端口一个用户（可扩展，创建逻辑端口，即可支持一个端口下多个用户）RADIUS 标准化，基本成熟标准化，成熟，所有的Radius都支持PPPoE 标准化，但目前Radius均不支持802.1X认证，需要做大量开发工作计费粒度按用户计费,无法精确判定异常原因下用户离线时间，精度低按用户计费，且计费精度高仅支持物理端口计费，同一端口下不同用户无法区分安全性 IP/MAC/VLAN三者绑定，同一VLAN下易被仿冒IP、MAC PPP协议保证，不易被仿冒物理端口使能时进行认证，认证通过后无限制，安全性差用户数据包识别方式 IP地址+VLAN+MAC情况下，安全性较高 PPP SESSION ID，安全性最高扩展方式支持MAC/VID，但MAC方式安全性差,VID方式成本高。客户端软件支持需客户端预装IE（或其它浏览器） PPP拨号软件（Windows xp中已经集成）专门的客户端软件或Windows XP用户使用方便性无需任何额外操作，最为简单方便与窄带拨号一致，网络参数自动配置用户必须启动专门的客户端软件，需要对用户进行专门培训增值业务支持能力可以结合Portal，实现多种业务选择可以结合Portal，实现多种业务选择不支持，需要做大量重新开发组播支持不支持，只支持广播不支持，但可以在接入设备上进行组播流复制；如果用户侧划分了VLAN，则也不支持支持，带宽利用率高；如果用户侧划分了VLAN则也不支持带宽限制接入设备端口上基于每个用户限制接入设备端口上基于每个用户限制接入设备物理端口上限制，不能再区分同一端口下不同用户组网特性集中的用户接入控制点，需要下层设备支持VLAN划分集中的用户接入控制点，一般不需要下层设备支持VLAN划分分散的用户接入控制点网络性能网络没有集中“瓶颈”问题宽带接入服务器许终结大量的PPP会话，并对其下数据包进行路由，易产生网络“瓶颈” 小区分散路由，网络没有集中“瓶颈”问题适用对象固定用户、卡号用户固定用户、卡号用户固定用户、卡号用户（但不可以输入用户名和密码）设备维护成本维护服务器，分散式维护，成本高维护BNAS，集中维护，成本较低维护底层交换机，分散维护，成本较高组网成本支持VALN的2、3层设备和WEB/DHCP服务器，成本高常规2、3层设备和BNAS，成本较高众多支持802.1X的2层设备和常规3层设备，成本低网络应用少量商业网开局大量商业网开局少量商业网开局建设成本需要增加WEB/DHCP等服务器设备需要增加宽带接入设备只需对原有的以太网交换机进行升级

　　通过上面的论述，可以看出，PPPoE认证方式属于较成熟的应用；802.1X对组播支持能力较强，但用户控制能力方面较弱，目前尚未大规模商业；WEB/Portal方式则可以实现较多的增值业务，但需要VLAN支持，对VLAN资源消耗较大。

PPPoE出现较早，产品支持最多；WEB方式由于无标准，产品实现技术不统一；802.1x为新认证方式，产品支持最少。

　　三种认证技术各有优缺点，需要在实际应用中根据每种技术的技术特点和实际情况，综合考虑才会使宽带城域网发挥应有的效益。

　　总之，WEB/Portal方式浪费了网络IP地址资源，增加了网络投资，目前不能满足电信运营商规模的大型宽带城域网，较适合应用于园区网和校园网；PPPoE方式成熟可靠，需要增加投资的宽带接入服务器BNAS等设备目前成本也大幅下降，通过合理的组网方式和设备性能的提升，可以解决所谓的网络瓶颈问题；802.1x推出较晚，标准目前不是很成熟，但其一次性投资低，支持组播等特性使其具有强大的生命力，随着标准的统一和完善，必然是未来宽带城域网首选的认证管理方式。

----《通信世界》