IEEE_802.1x技术白皮书V10.doc

IEEE 802.1x技术白皮书V10 北京港湾网络有限公司产品部 2002年2月  目 录 第一部分 IEEE 802.1x协议介绍 1 1 协议的开发背景 1 2 几个名词的定义 1 3 工作机制 3 3.1 各组成部分的功能 3 3.2 受控和非受控的访问（Controlled and uncontrolled access） 5 3.3 IEEE 802.1x协议的体系结构 9 3.4 IEEE 802.1x协议的工作机制 11 3.5 协议实现内容 15 3.6 基本的认证过程 19 3.7 几个注意的问题 20 4 几种认证方式的比较 21 4.1 PPPOE认证 21 4.2 WEB认证 22 4.3 802.1x认证 24 4.4 小结几种认证方式的比较 26 第二部分 IEEE 802.1x协议在港湾网络的应用 27 1 IEEE 802.1x解决方案 27 1.1 端口控制模式 27 1.2 802.1x解决方案 28 2 IEEE 802.1x应用方案 29 2.1 802.1x认证应用在新建小区 29 2.2 802.1x认证应用在旧小区 31 3 港湾 802.1x认证计费系统介绍 34 3.1 计费管理系统功能 35 3.2 港湾计费管理系统解决方案 36 第三部分 港湾802.1x认证应用案例 41 1 802.1x在宁波网通的应用 41 2 802.1X在通化电信的应用 42 第一部分 IEEE 802.1x协议介绍 协议的开发背景 在IEEE 802 LAN 所定义的局域网环境中，只要存在物理的连接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。例如：一个可以访问公共网络的大厦的办公网，或者是某个组织机构与其他组织连接的网络。在这样的网络环境中，往往不希望未经授权的设备或用户连接到网络，使用网络提供的服务。 后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。 IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol）。基于端口的访问控制（Port based network access control）能够在利用IEEE 802 LAN的优势基础上提供一种对连接到局域网（LAN）设备或用户进行认证和授权的手段。通过这种方式的认证，能够在 LAN 这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或网络设备连接LAN的物理端口，或者是在 IEEE 802.11 无线 LAN 环境中定义的工作站和访问点。 几个名词的定义 以下的名词为802.1x协议中的重要组成部分： Supplicant 客户端 客户端指LAN所连接的一端的实体（entity），它向认证系统（Authenticator 如下）发起请求，对其身份的合法性进行检验。 Authenticator认证系统 认证系统指在LAN连接的一端用于认证另一端设备的实体（entity）。 Authentication Server 认证服务器 认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务。 注意——认证服务器与认证系统配合工作，可以集成在一起，也可以分开放 在认证系统通过网络可以远程访问的地方。 Network Access Port 网络访问端口 网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址。 注意——下文所指的端口均可以是物理端口或用户设备的MAC地址，如果 设备支持全程VLAN，也可以指VLAN ID。 Port Access Entity (PAE) 端口访问实体 指一个端口的相关协议实体。PAE 能够支持的功能包括：客户端（Supplicant）完成的功能、认证系统（Authenticator）完成的功能或者两者功能同时具备。 System 系统 系统是指通过一个或更多端口连接到LAN的设备，例如：终端、服务器、交换机或路由器等设备都称为系统。 图2—1 IEEE 802.1X认证体系组成部分 工作机制 下面将描述