孙丽丽
武汉烽火网络有限责任公司 武汉430074
摘 要 本文主要以烽火网络R4000设备作为宽带接入服务器为例,详细介绍了目前主流的三种用户认证方式,包括PPPoE、Web和802.1x。
关键词 宽带接入服务器 PPPoE认证 Web认证 802.1x认证 AAA
随着宽带网络的普及,宽带接入方式层出不穷, 出现了ADSL、 HomePNA、 Cable Modem、 VDSL、以太网等多种接入方式。而以太网因其低廉的价格和高带宽的特点逐渐成为宽带IP接入网主要接入方式。同时利用现有电话线的ADSL接入因其资源独享也成为小区用户、SOHO办公的主要接入方式。
无论采用哪一种接入方式,对于网络运营商和用户都存在一个上网身份认证和计费的问题。网络运营商希望认证和计费管理方便、维护简单;用户希望认证简单快捷,计费策略灵活多样。那么如何能更好地管理用户,提供更合理、更方便的认证和计费系统也成为各运营商和设备生产商们探索的问题。
现在在业界宽带接入用户认证方式主要有三种:PPPoE、Web、802.1x方式。认证可称AAA,即Authentication鉴别、Authorization授权、Accounting计费。计费主要采用标准的RADIUS协议,为实现增强功能,可采用扩展的RADIUS协议,即RADIUS+。
烽火网络推出的F-engine R4000系列宽带接入服务器根据市场需求,全面支持三种用户认证方式,为运营商宽带IP接入网建设提供了灵活的选择。下面分别详细介绍F-engine R4000系列宽带接入服务器这三种认证方式的认证过程及优势比较。
1 PPPoE认证
PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery Stage)和点对点对话阶段(PPP Session Stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的会话端口号(SESSION_ID)。
在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在一个网络中,能与主机进行通信的可能不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。
搜索阶段在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。
PPPoE认证一般用用户名和密码来识别用户,用户名和密码是通过PPPoE拨号软件输入的,费用也从输入的帐号上扣。
认证步骤:
1. 用户端安装PPPoE拨号软件,在拨号软件中输入用户名和密码向网络设备发出上网请求;
2. R4000开始认证,如果在R4000上设置了帐户认证(R4000可以设置用户不需认证),则R4000需要与RADIUS服务器交互用户名和密码信息,对用户帐户进行认证,认证后RADIUS服务器向R4000反馈认证结果;
3. 认证成功后,用户即可以上网,同时R4000把用户上网时间、流量提交给RADIUS服务器,开始给用户提供计费;
4. 当用户需要下网时,用户在PPPoE拨号软件界面中点击断开连接,向网络设备发送断开请求,网络设备响应请求,RADIUS服务器停止计费,用户即断开链接。
PPPoE技术实现了在以太网上完成PPP的大部分功能,通过与RADIUS服务器的结合,可以完成对用户的身份认证、授权、计费等功能,与它类似的认证方式还有PPPoA、PPTP、L2TP等。相比之下,PPPoE应用最普遍。用户信息从用户电脑到R4000宽带接入服务器之间经过MAC-PPPoE-PPP-IP四层封装,PPPoE信息是封装在MAC层之上,即它是一个二层封装,通过R4000上网之后的信息则除掉了PPPoE和PPP封装,即在R4000宽带接入服务器上实现了PPPoE的终结。
F-engine R4000同时支持4000个PPPoE Session,可支持40k个会话。
当然PPPoE认证也存在缺点,它最大的问题是用户主机需要增加额外的PPPoE终端拨号软件,从而带来较大的维护工作。同时PPPoE认证存在一个PPPoE封装的问题,由于用户信息需要增加PPPoE和PPP封装,必然会降低R4000工作效率。
2 Web认证
Web认证是用户通过使用Web浏览器(如Windows 自带Internet Explorer(IE)、Netscap等)进行身份认证。Web浏览器一般用户都会安装,所有Web认证对于用户来说比较容易接收并且维护简单,无需安装额外的软件;对于运营商来说则大大减少了他们的维护工作量。
Web认证步骤如下:
1. 用户在上网前使用Web浏览器,在Web浏览器对话框内输入需要访问的Internet网站,R4000接入服务器首先将用户访问的Interent定向到一个门户网站(Portal Server)即一个缺省WWW 服务器。门户网站可以是运营商或ISP提供的一个默认WWW服务器,也可以是F-engine R4000内置Web 服务器;R4000支持内置的Web服务器功能。
2. 门户网站将返回一个Web页面,提示用户输入用户名和口令。如果采用R4000的Web 服务器,R4000可以提供安全证书下载功能,提示用户可以下载安全证书。(如果用户下载安全证书并安装即可通过SSL(安全套接层)保证口令传输的安 全性,如果不安装则用户名和口令明文传输。)
3. 用户输入用户名和口令后,返回给R4000接入服务器,R4000将用户信息和口令交给RADIUS 服务器进行认证。如果认证成功,将提示用户已经成功登录网络,用户可以上网;否则弹出验证失败信息。
4. 用户通过验证后,R4000修改ACL控制列表,使用户可以访问Internet网络资源,否则无法访问除Portal服务器、DNS 服务器、DHCP 服务器等几个指定的网站外的网络资源;同时网络设备把用户上网时间、流量等信息发给RADIUS服务器进行计费。
5. 用户上网结束后单击Portal服务器网页上的“断开”按钮,系统停止计费,R4000修改用户的ACL和转发信息,限制用户只能访问缺省的Web 服务器,并结束本次网络使用。
Web浏览是网络OSI七层模型中第七层应用,对于网络设备(R4000接入服务器)来说它需要处理OSI第七层数据,这样增加了R4000设备的复杂性,增大了R4000处理器(CPU)的工作量。所以采用Web认证需要高性能的网络设备。烽火网络R4000综合接入服务器采用高性能的NP完全可以满足运营商的各种网络应用,同时可以支持4000个用户Web认证上网。
F-engine R4000 Web认证的优势是:①R4000系列宽带接入服务器支持内置Web 服务器,并提供安全证书下载,为用户提供全程安全性。②如用户长时间没有流量,R4000可自动智能断线。
Web认证在用户端不需要安装额外的软件,用户直接使用IE或Nascape等浏览器即可上网。对网络运营商而言,这种方式认证是一种比较好的认证方式,没有用户端软件可大大减少他们的维护工作量。所以Web认证渐渐得到了运营商的大力应用。
3 802.1x认证
802.1x是基于端口的网络访问控制协议(Port Based Network Access Control Protocol),它最早是用于无线局域网的接入技术,它通过控制端口访问节点来提供无线局域网用户接入认证和安全性。2001年6月IEEE将802.1x定义为通过的基于端口访问控制的接入管理协议标准。由于IEEE 802.3以太网局域网不提供接入认证,只要用户能接入局域网控制设备,如普通的以太网交换机,用户就可以访问局域网中的设备或资源,这成为局域网的一个安全隐患。同时对局域网用户也存在计费的问题。
F-engine R4000宽带接入服务器引入802.1x认证技术,结合RADIUS服务器可以完成对局域网用户认证和计费管理。R4000采用802.1x认证网络拓扑结构。为了发起802.1x认证请求,用户端需要安装802.1x客户端软件,Windows XP系统中自带有802.1x客户端软件;或者采用其他的客户端软件。认证服务器采用RADIUS服务器。目前采用R4000实现802.1x认证网络模型有两种:一是R4000接入服务器+支持802.1x认证的以太网交换机,二是R4000接入服务器+普通以太网交换机(不支持802.1x)。第一种模型可以从最底层通过控制交换机端口访问来控制用户的接入。交换机的端口支持802.1x承载EAPOL和EAP报文,R4000终结EAP报文并通过RADIUS协议进行用户认证。这种方式适合于新建的网络,从最底层控制用户接入,有效地控制了网络中的流量。第二种模型是用户的接入控制都到R4000接入服务器上来实现,下面的交换机透传802.1x认证信息。这种方式适合于旧的网络,已经配置了普通的交换机。要实现802.1x认证支持在交换机汇聚点增加一台R4000宽带接入服务器。
下面简要介绍第二种模型下R4000实现802.1x认证的过程。
1. 用户端通过802.1x客户端软件发起802.1x认证请求EAPOL报文,请求信息通过二层交换机传给R4000宽带接入服务器。
2. R4000收到请求后,发出EAP请求报文,请求用户提交用户和口令等认证信息
3. 用户发出EAP应答报文,提交用户名和口令传送给R4000,R4000通过RADIUS协议与RADIUS服务器转发用户信息,实现对用户的认证。
4. 在RADIUS服务器认证通过后,R4000将根据认证结果报文开放用户上网信息,配置用户属性,例如,此用户的VLAN-ID,缺省802.1p优先级,ACL访问控制列表,802.11 WLAN用户40bit/128bit动态密钥等。用户正常上网信息可以通过R4000,同时结合RADIUS服务器可以记录用户接入的会话时间和流量,向计费服务器发出计费报文,从而方便地实现对流量、时间计费等运营需求。
5. 用户需要下网时,通过客户端软件发出下线请求,R4000回应客户请求,用户即可断线下网。
采用802.1x认证相对于PPPoE和Web认证来说,它存在以下优点:①协议承载于二层网络上,不需要到达三层;②通过接入认证,控制用户进入网络和获得服务;③通过认证后,传送的业务报文直接承载在正常的二层报文上,对后续的网络处理没有特殊。但802.1x认证要求需要客户端软件(类似于PPPoE)。
802.1x以其协议安全、实现简单以及控制信息和业务信息分离等诸多电信级特性,同时R4000结合以太网交换机或xDSL交换机,可以将ADSL、VDSL、LAN等多种宽带接入方式的认证计费融为一体,极大地简化了网络结构,已经引起了业界的广泛关注和应用。
孙丽丽,现为武汉烽火网络有限责任公司技术支持部工程师。
----《中国数据通信》
|
