PPPoE與802.1X在校園網(wǎng)中的應用分析
PPPoE和802.1X是較常見的兩種寬帶網(wǎng)絡接入認證方式。兩種方法的用戶使用體驗非常類似,但兩種協(xié)議卻有很大的差異,并帶來不同的優(yōu)缺點。本文分析了兩種協(xié)議在實際應用中的特點以及在部署過程中可能引發(fā)的安全問題,結(jié)合校園網(wǎng)絡的特點,提出兩種協(xié)議在校園網(wǎng)絡中的部署建議。
PPPoE和802.1X的分析
PPPoE(以太網(wǎng)上點對點協(xié)議,PPPover Ethernet)是在以太網(wǎng)上傳送PPP分組的協(xié)議,沿用了傳統(tǒng)PSTN窄帶撥號接入技術,同時也繼承了傳統(tǒng)PSTN窄帶撥號接入技術的特點。PPPoE 認證系統(tǒng)由客戶端和寬帶接入服務器(BRAS)兩個實體組成,會話過程經(jīng)歷發(fā)現(xiàn)階段和會話階段。在發(fā)現(xiàn)階段,客戶端向網(wǎng)絡廣播尋找可以連接的BRAS,然后與選定的BRAS建立點對點邏輯鏈路;在會話階段,客戶端收發(fā)的數(shù)據(jù)包都經(jīng)過PPPoE封裝,并通過這唯一鏈路進行傳輸,所有用戶網(wǎng)絡數(shù)據(jù)包都要經(jīng)過BRAS進行PPPoE的封裝或解封裝,如圖1。
圖1 PPPoE組網(wǎng)示意圖
由于客戶端只通過與BRAS建立的點對點邏輯鏈路收發(fā)數(shù)據(jù),所有認證數(shù)據(jù)流和業(yè)務數(shù)據(jù)流都必須通過BRAS,簡化了接入安全和管理的工作。在局域網(wǎng)安全方面,減少了IP沖突、ARP攻擊;在用戶管理方面,可以進行基于用戶的帶寬管理。PPPoE在當前運營商接入網(wǎng)中得到廣泛的應用,并且Windows系統(tǒng)自帶客戶端,更容易被用戶接受。
然而,PPPoE也存在幾方面問題:第一,在網(wǎng)絡安全方面,存在廣播域的ARP攻擊,假冒BRAS騙取用戶賬號密碼等問題;第二,在網(wǎng)絡穩(wěn)定方面,容易產(chǎn)生巨包被網(wǎng)絡中的節(jié)點丟棄,網(wǎng)絡在BRAS設備上容易形成單點瓶頸和故障;第三,在協(xié)議支持方面,PPPoE不支持組播BRAS需要將組播包單個封裝后轉(zhuǎn)發(fā),組播數(shù)據(jù)流大量增加了BRAS的負擔;第四,在安全審計方面,BRAS只能記錄用戶的IP、MAC、登錄時間,無法進行更詳細定位;第五,在計費策略方面,無法實施分區(qū)域的收費策略。
實際應用中,部分PPPoE存在的問題通過結(jié)合一定安全機制是可以得到解決的。在網(wǎng)絡安全問題上,主要防止BRAS欺騙和廣播包占用帶寬,可以在接入交換機上配置MAC ACL,使以太網(wǎng)類型為0x8863(客戶端尋找BRAS廣播包的以太網(wǎng)類型)的廣播包只能轉(zhuǎn)發(fā)到上聯(lián)接口,同時采用多VLAN隔離廣播包或限制廣播包占用的帶寬。
在網(wǎng)絡穩(wěn)定方面,調(diào)整接入交換機最大傳輸單元參數(shù),可以防止巨包被交換機丟棄;采用雙機熱備,或限制設備管理的網(wǎng)絡規(guī)模等方式,可以降低單點故障率。
圖2 802.1X認證過程示意圖
802.1X協(xié)議是一種基于端口的接入控制協(xié)議。如圖2,802.1X認證系統(tǒng)一般包含三個實體:客戶端(Supplicant)、認證系統(tǒng)(authenticator system,通常為支持802.1X的接入交換機)、認證服務器(authenticatorserver)??蛻舳讼蛘J證系統(tǒng)發(fā)起接入請求;認證服務器驗證用戶賬戶,并通知認證系統(tǒng)是否開放業(yè)務數(shù)據(jù)接入端口。802.1X的認證數(shù)據(jù)流和業(yè)務數(shù)據(jù)流是分開的。在認證前,客戶端只能發(fā)送認證數(shù)據(jù)包,直接屏蔽了ARP 廣播;認證成功后,對該主機開放交換機端口的業(yè)務數(shù)據(jù)接入通道,不改變用戶的數(shù)據(jù)包格式和傳輸路徑。目前,大部分主流交換機均支持802.1X,可以較為方便地實施802.1X認證的分布式部署。
在不結(jié)合其他機制的情況下,802.1X認證會出現(xiàn)以下問題:第一,接入交換機作為認證者,只能綁定用戶主機的網(wǎng)卡物理地址MAC,只要MAC是通過認證的數(shù)據(jù)包都被允許通過,因此IP沖突、ARP攻擊等各類局域網(wǎng)安全問題依然存在;第二,802.1X無法進行基于用戶的帶寬控制。
針對上述802.1X的問題,大部分支持802.1X 的交換機同時也能夠從DHCP包中獲取主機IP地址,因此可以在部署了DHCP 的情況下,實現(xiàn)IP+MAC+端口的綁定,解決IP沖突、ARP攻擊等網(wǎng)絡安全問題。在使用固定IP的情況下,目前部分廠商交換機可以通過私有機制使認證交換機獲取用戶IP地址,但通常要求認證系統(tǒng)和交換機是由同個廠商提供才能實現(xiàn)該功能。
兩種協(xié)議在高校網(wǎng)絡中應用的建議
校園網(wǎng)中用戶數(shù)龐大,局域網(wǎng)內(nèi)數(shù)據(jù)交換多且頻繁,如文件傳輸、局域網(wǎng)游戲;校內(nèi)資源豐富,希望達到高速資源共享,如校園數(shù)據(jù)中心資源、圖書館資源等;網(wǎng)絡應用復雜,組播流量大,特別是視頻流量;用戶群活躍,喜歡嘗試對網(wǎng)絡的攻擊;不同區(qū)域的用戶群體不同,網(wǎng)絡流量特征有差別,管理需求相異。
從前面的分析可以總結(jié)出PPPoE認證更側(cè)重于管理,802.1X認證則可以更好維護網(wǎng)絡性能。校園網(wǎng)中認證模式可以基于用戶群體特點和管理需求進行選擇。
表1 高校中不同群體網(wǎng)絡流量的特性
如表1所列,高校網(wǎng)絡群體一般可以分為學生群體、辦公群體、家屬群體。學生群體較熟練掌握計算機的使用,網(wǎng)絡使用頻繁,數(shù)據(jù)流量大、局域網(wǎng)內(nèi)數(shù)據(jù)交互頻繁,隱藏大量網(wǎng)絡攻擊行為,如果針對這樣群體部署PPPoE,要求BRAS有很大的業(yè)務處理能力,實施成本高;反之,如果部署802.1X話,網(wǎng)絡利用率較高,實施成本比較低廉。辦公群體以網(wǎng)頁瀏覽、文檔傳輸為主,對網(wǎng)絡的要求是安全性高和帶寬穩(wěn)定,在辦公場合部署PPPoE,則更方便管理,網(wǎng)絡穩(wěn)定性較高。家屬群體是消費型的群體,用戶間數(shù)據(jù)傳輸較少,用戶希望能夠根據(jù)自己的需求選擇帶寬,并愿意為此差別付費,因此部署PPPoE會更為合理。
PPPoE 同時管理了用戶接入認證和用戶數(shù)據(jù)傳輸,適用于對帶寬管理要求較高的場合。802.1X 只對用戶接入進行控制,適用于內(nèi)部數(shù)據(jù)流量較大,用戶帶寬管理需求低的場合。兩種認證的實施都要結(jié)合一定的網(wǎng)絡安全手段,才能更好體現(xiàn)協(xié)議優(yōu)勢,防止協(xié)議漏洞引起的安全問題。PPPoE 的寬帶接入服務器BRAS 和802.1X的認證服務器,都要做好DDOS攻擊防御。