基于802.1X和DFW的网络安全研究及NAC系统的设计与(6)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

对点连接发送数据，定义于RFC2516文档中[2]。它提供了一种在以太网上实现在点对点的连接上传递不同协议数据包的标准方法，用以解决以太网上用户身份认证难题，是一种较为成熟的接入认证方式。它和传统的拨号接入方式，用户端采用一个PPPoE的拨号软件，发起PPP连接请求，穿越以太网交换机或者DSL(Digital Subscriber Line)设备，终结在集中控制管理层的接入网关设备上。接入网关设备负责终结PPP连接，并与

RADIUS配合实现用户管理和策略控制。PPPoE认证方式在以太包头和用户数据之间插入了PPPoE和PPP封装，封装开销为8个字节。额外的通信开销虽然带来了网络管理的简易和服务的灵活性，却对以太网的带宽效率有很大影响。在PPPOE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法。这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成，而且一旦并发用户增多或者数据包增大，解封装速度必然跟不上，造成宽带网络发展的瓶颈[4]。

出于网络安全的考虑和计费的需要，网络管理者和运营商都明显地感到了对以太网端口进行控制的需求。如果能够将用户身份认证与用户的接入端口联系在一起，网络管理者将很容易通过对指定端口的控制，允许合法用户入网和拒绝非法用户的访间;相应地，对接入端口的控制能力也意味看管理者也可以把费用的收取和控制与端口挂钩[5]。传统的PPPoE与Web/Portal等认证方式显然无法承担这一重任。802.1X协议正是IEEE为了解决基于端口的接入控制而定义的标准，因此成为运营商的追捧的身认证解决方案[6]。

802.1X其源于802.11协议，被称为基于端口的访问控制协议(Port based network

access control protocol)，通过可扩展认证协议(EAP: Extensible Authentication Protocol)对以太网端口进行认证。该协议的应用前提是在请求者(用户计算机)和认证者(以太网端口)之间提供一条点到点的连接。其中端口可以是物理端口，也可以是逻辑端口。主要功能是限制未授权设备(如用户计算机)通过以太网交换机的公共端口非法访问网络。802.1X认证的主要特点有：

●认证流和业务流分离，有效地解决了网络认证瓶颈；

●方案简洁，为简单地二层协议，认证过程优化；

●只定义了认证消息的通信方式，没有定义具体的认证机制，可以灵活地选择具体地认证机制

因此，就以太网环境来说，802.1X认证技术是网络管理者和运营商的最佳选择。运营商在选择802.1X作为身份验证的方案后，利用802.1X的可扩展性，实现802.1X交换机到用户的多MAC、多IP段、交换机物理端口号、交换机VLAN、交换机管理IP、用户名、密码共7种元素的绑定认证，提供了越来越丰富的身份安全保证[9]。