當前位置:首頁 > 通信技術 > 通信技術
[導讀]PPPoE和802.1X是較常見的兩種寬帶網(wǎng)絡接入認證方式。兩種方法的用戶使用體驗非常類似,但兩種協(xié)議卻有很大的差異,并帶來不同的優(yōu)缺點。本文分析了兩種協(xié)議在實際應用中的特點以及在部署過程中可能引發(fā)的安全問題,結(jié)

PPPoE和802.1X是較常見的兩種寬帶網(wǎng)絡接入認證方式。兩種方法的用戶使用體驗非常類似,但兩種協(xié)議卻有很大的差異,并帶來不同的優(yōu)缺點。本文分析了兩種協(xié)議在實際應用中的特點以及在部署過程中可能引發(fā)的安全問題,結(jié)合校園網(wǎng)絡的特點,提出兩種協(xié)議在校園網(wǎng)絡中的部署建議。

PPPoE和802.1X的分析

PPPoE(以太網(wǎng)上點對點協(xié)議,PPPover Ethernet)是在以太網(wǎng)上傳送PPP分組的協(xié)議,沿用了傳統(tǒng)PSTN窄帶撥號接入技術,同時也繼承了傳統(tǒng)PSTN窄帶撥號接入技術的特點。PPPoE 認證系統(tǒng)由客戶端和寬帶接入服務器(BRAS)兩個實體組成,會話過程經(jīng)歷發(fā)現(xiàn)階段和會話階段。在發(fā)現(xiàn)階段,客戶端向網(wǎng)絡廣播尋找可以連接的BRAS,然后與選定的BRAS建立點對點邏輯鏈路;在會話階段,客戶端收發(fā)的數(shù)據(jù)包都經(jīng)過PPPoE封裝,并通過這唯一鏈路進行傳輸,所有用戶網(wǎng)絡數(shù)據(jù)包都要經(jīng)過BRAS進行PPPoE的封裝或解封裝,如圖1。

圖1 PPPoE組網(wǎng)示意圖

由于客戶端只通過與BRAS建立的點對點邏輯鏈路收發(fā)數(shù)據(jù),所有認證數(shù)據(jù)流和業(yè)務數(shù)據(jù)流都必須通過BRAS,簡化了接入安全和管理的工作。在局域網(wǎng)安全方面,減少了IP沖突、ARP攻擊;在用戶管理方面,可以進行基于用戶的帶寬管理。PPPoE在當前運營商接入網(wǎng)中得到廣泛的應用,并且Windows系統(tǒng)自帶客戶端,更容易被用戶接受。

然而,PPPoE也存在幾方面問題:第一,在網(wǎng)絡安全方面,存在廣播域的ARP攻擊,假冒BRAS騙取用戶賬號密碼等問題;第二,在網(wǎng)絡穩(wěn)定方面,容易產(chǎn)生巨包被網(wǎng)絡中的節(jié)點丟棄,網(wǎng)絡在BRAS設備上容易形成單點瓶頸和故障;第三,在協(xié)議支持方面,PPPoE不支持組播BRAS需要將組播包單個封裝后轉(zhuǎn)發(fā),組播數(shù)據(jù)流大量增加了BRAS的負擔;第四,在安全審計方面,BRAS只能記錄用戶的IP、MAC、登錄時間,無法進行更詳細定位;第五,在計費策略方面,無法實施分區(qū)域的收費策略。

實際應用中,部分PPPoE存在的問題通過結(jié)合一定安全機制是可以得到解決的。在網(wǎng)絡安全問題上,主要防止BRAS欺騙和廣播包占用帶寬,可以在接入交換機上配置MAC ACL,使以太網(wǎng)類型為0x8863(客戶端尋找BRAS廣播包的以太網(wǎng)類型)的廣播包只能轉(zhuǎn)發(fā)到上聯(lián)接口,同時采用多VLAN隔離廣播包或限制廣播包占用的帶寬。

在網(wǎng)絡穩(wěn)定方面,調(diào)整接入交換機最大傳輸單元參數(shù),可以防止巨包被交換機丟棄;采用雙機熱備,或限制設備管理的網(wǎng)絡規(guī)模等方式,可以降低單點故障率。

圖2 802.1X認證過程示意圖

802.1X協(xié)議是一種基于端口的接入控制協(xié)議。如圖2,802.1X認證系統(tǒng)一般包含三個實體:客戶端(Supplicant)、認證系統(tǒng)(authenticator system,通常為支持802.1X的接入交換機)、認證服務器(authenticatorserver)??蛻舳讼蛘J證系統(tǒng)發(fā)起接入請求;認證服務器驗證用戶賬戶,并通知認證系統(tǒng)是否開放業(yè)務數(shù)據(jù)接入端口。802.1X的認證數(shù)據(jù)流和業(yè)務數(shù)據(jù)流是分開的。在認證前,客戶端只能發(fā)送認證數(shù)據(jù)包,直接屏蔽了ARP 廣播;認證成功后,對該主機開放交換機端口的業(yè)務數(shù)據(jù)接入通道,不改變用戶的數(shù)據(jù)包格式和傳輸路徑。目前,大部分主流交換機均支持802.1X,可以較為方便地實施802.1X認證的分布式部署。

在不結(jié)合其他機制的情況下,802.1X認證會出現(xiàn)以下問題:第一,接入交換機作為認證者,只能綁定用戶主機的網(wǎng)卡物理地址MAC,只要MAC是通過認證的數(shù)據(jù)包都被允許通過,因此IP沖突、ARP攻擊等各類局域網(wǎng)安全問題依然存在;第二,802.1X無法進行基于用戶的帶寬控制。

針對上述802.1X的問題,大部分支持802.1X 的交換機同時也能夠從DHCP包中獲取主機IP地址,因此可以在部署了DHCP 的情況下,實現(xiàn)IP+MAC+端口的綁定,解決IP沖突、ARP攻擊等網(wǎng)絡安全問題。在使用固定IP的情況下,目前部分廠商交換機可以通過私有機制使認證交換機獲取用戶IP地址,但通常要求認證系統(tǒng)和交換機是由同個廠商提供才能實現(xiàn)該功能。

兩種協(xié)議在高校網(wǎng)絡中應用的建議

校園網(wǎng)中用戶數(shù)龐大,局域網(wǎng)內(nèi)數(shù)據(jù)交換多且頻繁,如文件傳輸、局域網(wǎng)游戲;校內(nèi)資源豐富,希望達到高速資源共享,如校園數(shù)據(jù)中心資源、圖書館資源等;網(wǎng)絡應用復雜,組播流量大,特別是視頻流量;用戶群活躍,喜歡嘗試對網(wǎng)絡的攻擊;不同區(qū)域的用戶群體不同,網(wǎng)絡流量特征有差別,管理需求相異。

從前面的分析可以總結(jié)出PPPoE認證更側(cè)重于管理,802.1X認證則可以更好維護網(wǎng)絡性能。校園網(wǎng)中認證模式可以基于用戶群體特點和管理需求進行選擇。

表1 高校中不同群體網(wǎng)絡流量的特性

如表1所列,高校網(wǎng)絡群體一般可以分為學生群體、辦公群體、家屬群體。學生群體較熟練掌握計算機的使用,網(wǎng)絡使用頻繁,數(shù)據(jù)流量大、局域網(wǎng)內(nèi)數(shù)據(jù)交互頻繁,隱藏大量網(wǎng)絡攻擊行為,如果針對這樣群體部署PPPoE,要求BRAS有很大的業(yè)務處理能力,實施成本高;反之,如果部署802.1X話,網(wǎng)絡利用率較高,實施成本比較低廉。辦公群體以網(wǎng)頁瀏覽、文檔傳輸為主,對網(wǎng)絡的要求是安全性高和帶寬穩(wěn)定,在辦公場合部署PPPoE,則更方便管理,網(wǎng)絡穩(wěn)定性較高。家屬群體是消費型的群體,用戶間數(shù)據(jù)傳輸較少,用戶希望能夠根據(jù)自己的需求選擇帶寬,并愿意為此差別付費,因此部署PPPoE會更為合理。

PPPoE 同時管理了用戶接入認證和用戶數(shù)據(jù)傳輸,適用于對帶寬管理要求較高的場合。802.1X 只對用戶接入進行控制,適用于內(nèi)部數(shù)據(jù)流量較大,用戶帶寬管理需求低的場合。兩種認證的實施都要結(jié)合一定的網(wǎng)絡安全手段,才能更好體現(xiàn)協(xié)議優(yōu)勢,防止協(xié)議漏洞引起的安全問題。PPPoE 的寬帶接入服務器BRAS 和802.1X的認證服務器,都要做好DDOS攻擊防御。

本站聲明: 本文章由作者或相關機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術學會聯(lián)合牽頭組建的NVI技術創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術
關閉
關閉