TN307進階網路技術

 

指導教授 : 王井煦王井煦

元智大學網路技術系

935606 吳朝元935623 林運來935626 林振全935629 羅濟本935632 鄭恒昌935633 鍾嘉宏935649 蕭遠訓

三年級 A 班 第四組成員

1. 請說明乙太網路交換器鏈路彙集功能？

2. 比較撥接方式 PPPoE / DHCP / IEEE802.1x

分組報告作業題目

鏈路彙集，也叫做中繼或埠中繼。

是一種將物理的網路連接結合成邏輯上的單一連接以提高網路頻寬，達到網路負載平衡，增加容錯能力的技術。我們可以通過將多條數據機的連接線路或數位線路聯合到一起的方式利用鏈路彙集技術來提高訪問公共網路的能力。在企業的網路中也可以利用鏈路彙集技術在乙太網交換機之間建立連接速度達 Gigabit 的骨幹連接。

請說明乙太網路交換器鏈路彙集功能？

這種技術標準就是 IEEE 802.3ad，該標準列出的鏈路彙集技術的主要目標如下： 提高連接頻寬 提高有效性 連接頻寬線性增加 負載分擔 自動配置 快速配置和再次配置 確定性的動作 降低被複製或結構順序被顛倒的風險

技術發展

IEEE 802.3 協定介紹

　 IEEE 802 協定是規範局域網的系列協定。

我們一般把 IEEE 802.3 協定稱作乙太網協定，它是 IEEE Metro 乙太網協定的一支。現有的乙太網速率和介質有以下幾種：

◇ 10 Mbit/s -- 10Base - T Ethernet （銅線）

◇ 100 Mbit/s -- Fast Ethernet （銅線或光纖）

◇ 1000 Mbit/s -- Gigabit Ethernet （銅線或光纖）

我們以前所熟知的 802.3z（ Gbit 乙太網）、802.3ab（ 1000Base-T Ethernet）、 802.3ac（ VLAN Tag）、 802.3ad （鏈路聚合）都已經成爲 2002 版的 802.3 標準的一部分而不再單獨出現。

同時 10 - Gigabit Ethernet 的標準 IEEE 802.3ae   已於 2002年 6月 12日獲批准正式發布。

IEEE 802.3ad 鏈路聚合協議

Link Aggregation Control Protocol : LACP

分爲動態和靜態兩種配置方式（在交換機上設置），這種模式中 虛擬的網路鏈結只用一個Mac 位址接收資料包。

IEEE 802.3ad 聚合配置之後，鏈路聚合控制協議數據單元（ LACPDU）就會在服務器和交換機之間進行交換。 LACP 會通知交換機在聚合中配置的適配器應作為交換機上的一個適配器來考慮，而不再有用戶干涉。

鏈路彙集技術

鏈路彙集技術也稱為 Trunking 或 Bonding ，其實是將兩台設備間數條物理鏈路 “組合” 成邏輯上的一條數據通路，稱為一條聚合鏈路。

交換機之間物理鏈路 Link1、 Link2、 Link3 組合成一條彙集鏈路，此鏈路在邏輯上是一個整體，內部的組成與傳輸數據的細節對上層服務是透明的。

彙集鏈路內部的物理鏈路共同完成數據收發任務並相互備份，只要還存在能正常工作的成員，整個傳輸鏈路就不會失效。以圖為例，若 Link1 ,Link2 先後故障，他們的數據任務會迅速轉移到 Link3 之上，所以交換機間連接不會中斷。

鏈路彙集的優點

提高鏈路可用性

鏈路彙集中，成員相互動態備分。當某一鏈路中斷時，其他成員能夠迅速接替其工作，與生成樹協議不同，鏈路彙集啟用備份的過程對於彙集之外是不可見的，而且啟用備份過程只在彙集鏈路內，與其它鏈路無關，切換可在數豪秒內完成。

增加鏈路容量

彙集技術的另一明顯優點是為用戶提供一種非常經濟高鏈路傳輸率的方法，通過綑綁多條物理鏈路，用戶不必升級現有設備就能獲得更大帶寬的數據鏈路，其容量等於各物理鏈路容量之合。

彙集模組按照一定演算法將業務流量分配給不同的成員，以實現鏈路級負載分擔功能。

橫跨設備間的彙集鏈路

PPPoE 乙太網路點對點通訊協定    Point-to-Point Protocol over Ethernet

是 ADSL寬頻上網連線程式。 PPP是一種通訊協定，是用來通過電話線路及 ISDN 撥號接駁到網路服務供應商 (ISP)時使用， 該協議具有用戶認証及通知 IP 地址等功能。

Ethernet 是指乙太網路， 乙太網路是一種普遍使用的網路協定和有線連結系統，在各類基本網路型式中最有效率之一 (有乙太網路— 10Mbps及超高速乙太網路— 100Mbps兩種 )，所以 PPPoE 就是一種利用個人電腦透過寬頻連接設備連接高速寬頻網路的連接方式。

比較撥接方式 PPPoE / DHCP / IEEE802.1x

PPPoE  建立在兩大標準－乙太網路（ Ethernet）與點對點技術（ Point-to-Point）之上的通訊協定，允許電腦與 xDSL、纜線或無線寬頻等寬頻連接設備建立連接介面，以快速存取網際網路。

大多數網路服務業者（ ISP）與電信廠商皆已支援該項通訊協定。 PPPoE 主要應用在寬頻網路服務，但是可與原有的撥接網路基礎建設相互整合，同時支援現有的網路服務，包括身分驗證、安全存取與帳戶管理等。

對於使用者而言， PPPoE 相當容易使用，保留過去Wondows  作業系統利用數據機（Modem）撥號連線的方式，不需要額外進行繁瑣複雜的設定程序。

在實際應用上， PPPoE 利用乙太網路的工作機理，將 ADSL Modem 的 10BASE－ T 介面與內部乙太網路互聯，在 ADSL Modem 中採用 RFC1483  的橋接封裝方式對終端發出的 PPP 封包進行 LLC/SNAP 封裝後，通過連結兩端的 PVC在 ADSL Modem 與網路側的寬帶接入伺服器之間建立連接，實現 PPP 的動態接入。

   PPPoE 接入利用在網路側和 ADSL Modem 之間的一條 PVC 就可以完成乙太網路上多用戶的共同接入，實用方便，實際組網方式也很簡單，大大降低了網路的複雜程度。

PPPoE 接入採用客戶端 / 伺服器模型，整個過程分為

Discovery 與 Session 階段

Discovery 階段：

1 ．接入主機通過在乙太網上廣播 PADI（ PPPoE Active Discovery Initiation）分組來發現接入伺服器

2 ．對主機進行服務的伺服器對該主機應答 PADO (PPPoE Active Discovery Offer)分組 , 目的是向主機通告伺服器能提供的所有服務；如果伺服器不能提供 PADI  所要求的服務，它將不應答 PADO。

3 ．接入主機發送 PADR（ PPPoE Active Discovery Request）分組來選擇一個伺服器，同時在分組中包含所請求的服務名

4 ．伺服器收到一個 PADR 分組，準備開始一個 PPP 會話。它爲該對話生成一個唯一的會話 Id， 並對主機應答一個 PADS 分組，其中包含會話 ID，此 ID 將被包含在之後的所有資訊交換中，以用於標識此特定的會話，從而在乙太網上建立起了一條 PPP 鏈路。此後將進入 PPPoE 接入的下一個階段―― Session 階段。

Session 階段：

1 ．接入主機和伺服器在 Discovery 階段建立的 PPP 鏈路上開始 PPP 的 LCP 協商，認證和 IPCP 協商，協商完成後，就可以發送資料了

2 ．用戶上網完成，發送 PPP 的 TermReq 要求進行斷網， 伺服器斷開 PPP 連接，將用戶上網的計費資訊發送給 Radius，同時用戶端會發送 PADT， PPPoE 伺服器收到後埠 PPPoE Discovery 建立的 PPP 連接。

 

PPPoE 的應用圖示

PPPoE 功能介紹

支援標準

RFC2516 A Method for Transmitting PPP Over Ethernet (PPPoE)

提供基於 Radius 認證和計費的 PPPoE 接入 提供基於本地認證的 PPPoE 接入（測試時用到） 智慧型中斷連線

在設置的 Idle 時間內， PPPoE 伺服器向用戶端發送 Echo Request ，如果收不到 Echo Reply ，伺服器將斷開用戶。

PPPoE 連接網路圖示

PPPoE 安全認證

     PPP技術廣泛應用於電信產業已行之有年，最常見的就是傳統撥接用戶利用數據機透過 PSTN 網路和機房端的遠端接取伺服器 (RAS) 間建立起 PPP 連線 ( session)，或是利用 L2TP 技術，把 PPP 連線延伸到分封交換的網路 (packet network)之上，和遠端的閘道器 (gateway)建立起虛擬私人網路 (VPN)。

PPPoE  的思維模式就是來自於這樣的撥接式概念 --使用者必需 “撥接”進寬頻接取伺服器 (BRAS) ，透過 PPP的認證機制確認使用者的身份後，建立起 PPP 連線，使用者才能夠經由此 PPP通道 (channel)存取網路。

值得一提的是， PPPoE  除認證之外，延續了 PPP 協定的優點，能夠針對使用者動態分配 IP 位址，並且記錄使用者的使用時間和流量，用以對使用者做管理和計費等動作，而且相容於現有成熟、穩定的用戶管理和計費系統，這對電信業者而言，能夠輕易的把PPPoE 環境整合在舊有環境，而不須更換認證和計費伺服系統。

由於 PPPoE 是第二層的技術，因此在使用者和寬頻接取伺服器之間必須是第二層的網路。而將 PPPoE 封包轉換回 IP 封包所需的運算能力對寬頻遠端接取伺服器的負荷相當可觀，更糟的是所有使用者都須要建立連結到寬頻接取伺服器上，邏輯上形成星狀網路拓樸，很容易成為網路上的瓶頸點，此外，這樣的架構對群播也相當不利，這幾點是 PPPoE 技術主要的問題。

如果要避免前述問題，就必須要採分散式架構大量建置，但是 PPPoE  功能的交換機價格通常相當昂貴，因此在應用上通常是將設備置於接取網路 (access network)之後，提供大範圍的使用者在存取 ”網際網路” 時的認證管理，而非使用於存取“區域網路”的環境，因此，除非網路架構能夠設計成未建立 PPP  連線的使用者只能連接到寬頻接取伺服器，否則 PPPoE 可能不適合校園或企業做為建置網路的認證管理技術。

PPPoE 的網路架構及協定堆疊圖

網路協定 PPPoE

ADSL 根據它連接 Internet 方式的不同，它所使用的協定也略有不同，當然了不管 ADSL 使用怎樣的協定，它都是基於 TCP/IP 這個最基本的協定，並且支援所有 TCP/IP 程式應用。

專線接入方式

就是 ISP 提供靜態 IP 地址，主機名稱等，由於 ADSL 技術已經是直接輸出局域網信號，所以其軟體的設置和局域網一樣並直接使用 TCP/IP 協定。

虛擬撥號方式

顧名思義，就是上網的操作和普通撥號一樣，使用簡單，有帳號驗證、 IP 地址分配等過程。

但 ADSL 連接的並不是具體的 ISP 接入號碼如 163 或169，而是 ADSL 虛擬專網接入的伺服器。根據網卡類型的不同又分爲 ATM 和 Ethernet 區域網虛擬撥號方式，由於區域網虛擬撥號方式具有安裝維護簡單等特點，目前成爲 ADSL 虛擬撥號的主流並有自己的一套網路協定來實現帳號驗證、 IP分配等工作，這就是 PPPoE協定。

PPPoE 作爲乙太網上的一種接入技術，它通過在共用式乙太網上建立點到點鏈路，以此來對每個 PPPoE 用戶執行單獨的策略，因此具有可管理性；又因爲它使用 PPP 的各種成熟功能，因此比較容易實現，可以輕易與 Radius 技術結合來完成 3A 功能；並且， PPPoE 技術提高了乙太網接入的安全性，因此 PPPoE 技術是一個很受歡迎的技術。

PPPoE 結論

動態主機配置協定

(Dynamic Host Configuration Protocol) 

DHCP

DHCP 是可自動將 IP 位址指派給登入 TCP/IP 網路的用戶端的一種軟體 (此種 IP 位址稱為「動態 IP位址」 )。這種軟體通常是在路由器及其他網路設備上執行的。依照預設，您的 GateLock 路由器設定為使用 DHCP，因此您無須手動指派永久 IP 位址給網路上的每個設備。建議您不要改變這項設定，這樣您的個人電腦就可以被辨識為 DHCP 伺服器。

DHCP 概述

DHCP 採用 Client-Server 模型，指定的 DHCP Server 爲 DHCP Client 提供配置參數。根據網路管理員的配置， DHCP Server 可以充當 DHCP relay agent，將客戶請求轉發給其他 DHCP Server。 DHCP 提供 IP 地址的集中管理並可以防止 IP 地址衝突。

DHCP 的典型應用方式如下頁圖示 :

DHCP 的應用圖示

DHCP Client 通過和 DHCP Server 交換 DHCP 消息來獲取配置參數。 Client 在本地網路上廣播 DHCP DISCOVER 消息， Client 可以在該消息中建議它想要的 IP 位址以及該地址的租用期限。

如果 Server 在本地網路上，它可以回應 DHCPOFFER 消息，該消息包含 IP 位址以及遮罩等配置參數（如果 Server 不在本地網路上，可以充當 DHCP relay agent，將請求轉發給 DHCP Sever）

Client 收到 DHCPOFFER 消息，發送 DHCPREQUEST 消息，該消息包含 server  identifier 表明 Client 選擇了哪個 Server 的 DHCPOFFER 。

DHCP 工作原理

被選中的 Server 收到 DHCPREQUEST，回應 DHCPACK 消息，該消息中包含分配給 Client 的各種參數（如果 Client 請求的位址已經被分配， Server 回應DHCPNAK 消息）。

如果 Client 檢測到分配給自己的地址已經有人在使用，Client 發送 DHCPDECLINE 消息給 Server 同時重新開始整個過程。

如果 Client 想延長它的租用期限， Cleint 發送 DHCP REQUEST 消息給 Server，在該消息中 ciaddr 欄位設置爲客戶的 IP 地址，但不包含 server identifier。 Server 回應 DHCPACK 消息。

DHCP 的限制

雖然 DHCP 在設定上提供 Dynamic 定址（有限租用時間）、 Automatic    定址（無限租用時間）、 Static定址 ( IP-Address 由 client 端自行手 動設定，而非由 DHCP server 取得 )，但其仍有一些限制如下：

(1) DHCP 資料包欲通過 ROUTER，需 ROUTER支援 RFC-1542 及 Relay-agent (bootp-agent)才行。

(2) DHCP 無法判斷非 DHCP  client 所取得之 IP-Address，因此該 IP-Address 需被排除在DHCP server IP-address 範圍設定中。

 (3) DHCP server 和 DHCP server 間無法通訊，且也無法偵測彼此所分配出去之 IP-Address，因此，為免除不必要之麻煩， DHCP server 所設定之 IP-address範圍儘量不要重覆。

 (4) 在租期內， DHCP  client 無法更改 IP-Address，除非先釋放位址，再手動設定。

 (5) 不正確的 DHCP  IP-Address 範圍設定，可能造成潛藏之網路通訊錯誤。

 (6) 手動設定的參數會覆蓋啟動 DHCP  client 所取得之參數，所以需先清除相關設定 。

DHCP 規劃之考量

(1)若欲將目前所在還境之主機當 DHCP server，則需考量是否有作業平台所支援之軟體，或新增支援的相關軟硬體。

(2)在 client 端之考量，以目前市面上所使用之平台，如：DOS、WIN3.1、WIN95、WIN-NT、 OS2、 Linux...等均有支援其中又以 WIN-95 NT OS2 內建之軟體較佳。

(3)其子網路及 ROUTER之考量：基本上，一個子網路需搭配一 DHCP server，但若是 ROUTER 有支援 Relay-agent（ bootp-agent），則也可以兩個或兩個以上之子網路分享一個 DHCP server。然而即使 ROUTER 支援 Relay-agent，筆者建議仍是以一個子網路為一個 DHCP server 範圍，以確保當某一 DHCP server當機時，其他仍能正常運作。

舉例說明如下：

DHCP server1 IP-Address 設定如下：

200.200.1.10-200.200.1.100

200.200.2.101-200.200.2.110

DHCP server2 IP-Address 設定如下：

200.200.2.10-200.200.2.100

200.200.1.101-200.200.1.110       

依上例，當 DHCP server1 當掉時， 200.200.1.X 之子網路仍可透過 Relay-agent 向 DHCPserver2 取得 IP-Address，如此可維持網路正常之運作。 

(4) 網路相關必須設備之 IP-Address，如 DNS  server、ROUTER、 Proxy server.....等，最好不要納入 DHCP server之範圍內，以預防當 DHCP server 無法動作時造成網路癱瘓。

 (5) 租期（ Lease time）的考量：一般若可分配之 IP-Address大於網路上機器之數量，則 DHCP  sever 預設之租期即可；而若機器數量大於可分配 IP-Address 之數量，則租期必需加以調整，以得到最佳之效率。

(6) 撥接網路之配合： 撥接網路目前以使用 PPP 協定居多，而其也能自動取得 IP-Address（採用之方法稱為 IPCP），但不能取得其它相關設定，需以手動加以設定，同時也沒有租期之控制，因此較不具彈性； SLIP 則不具自動 IP-Address 取得之支援，不過 WIN-NT 4.0 另有配合 DHCP server 的解決方法可供使用，故使用彈性較佳。

DHCP 標準

RFC951 Bootstrap Protocol(BOOTP)

RFC1542 Clarifications and Extensions for the Bootstrap Protocol

RFC2131 Dynamic Host Configuration Protocol

RFC2132 DHCP Options and BOOTP Wendor Extensions

無論是工作在 DHCP Server 模式還是 Relay Agent 模式，都要求啓動 DHCP 服務，一般來講，在配置任何 DHCP 命令時都會判斷 DHCP 服務有沒有啓動，若沒有啓動，也會自動將 DHCP 服務起來；

啓動和停止 DHCP 服務

DHCP 技術是通過某網路內一台伺服器提供相應的網路配置服務來實現的，可以爲網路終端設備提供臨時的 IP地址、默認閘道、 DNS 伺服器等網路配置。

雖然 DHCP技術可以爲用戶接入網路提供方便，但還存在以下弊端 :：

DHCP 缺點

 IP地址隨機性：用戶的 IP 地址是隨機分配的，具有不確定性。

訪問許可權變化：如果用戶的訪問許可權是基於 IP地址劃分的，則訪問許可權隨 IP 地址不同而變化。

不可被訪問：通過 DHCP 獲得的 IP 地址具有不確定性，用戶被訪問難度較大。

應用不連續：如果用戶在不同網段的 WLAN 之間不間斷使用網路時， IP 地址的改變會造成應用中斷。

安全性差：外來的網路用戶會對網路本身造成安全威脅

DHCP 規劃考量

DHCP 伺服器數量需求 DHCP 伺服器佈署位置

DHCP 安全性（ Security ）策略 DHCP 伺服器可用性（ Availability ）的最佳化

DHCP 伺服器效能（ Performance ）最佳化

DHCP 伺服器數量需求

伺服器的硬體配備等級 用戶端及子網段的數量及分佈狀況 伺服器和用戶端之間的網路連線頻寛 DHCP 基礎架構所產生的網路流量影響

– DHCP 用戶端取得 IP– DHCP 用戶端更新租期

負載平衡及容錯規劃

DHCP 安全性策略

避免未經允許的使用者取得 DHCP 伺服器所發放的 IP 設定

– 將外人可接觸到的網路與公司內部網路隔離– 採用 Wireless 的 802.1x 驗證協定– 啟用 DHCP 稽核記錄，並常常檢視

避免未經授權的 DHCP 伺服器發放 IP 設定– Windows 2000 及 Windows Server 2003 之 DHCP 伺服器才能接收此法管制

– 使用 SMS Network Expert 或 MOM 加裝Management Pack 則可限制 Non-Microsoft 的 DHCP 伺服器

由以上可知，由於較大型之網路環境 DHCP 可提供較佳之使用者及管理者在使用及管理上大量困擾之排除，其如再能配合 DDNS（ Dynamic  Domain Name Server）及資料安全兩項考量（ DHCP 目前乃是採用UDP 的方式傳送方式），那麼， DHCP 更可將其特性淋漓發揮。

結論

隨著乙太網建設規模的迅速擴大，網路上原有的認證系統 已經不能很好的適應用戶數量急劇增加和寬帶業務多樣性的要求。 802.1x 協定爲基於埠的網路訪問控制定義了這樣一種機制，即利用服從 IEEE 802 協定的局域網埠的物理訪問特性進行認證和授權，並防止認證和授權過程失敗時對埠的訪問，其物件爲聯接在該埠上的設備。

該協定是 LAN 與 WAN 標準體系的成員。服從 IEEE802 協定要求的局域網環境通常允許未經授權設備在物理上與其低層相連，或允許未經授權用戶嘗試通過已授權埠訪問其資源。

802.1x 概述

典型的例子包括：

在一座建築內對公共開放的提供 LAN 連接的單個局域網，或者一個組織爲了向其他組織提供 LAN 連接服務而配置的多個局域網網段（多應用於商業中心或者寫字樓）。

在這種環境中，運營者迫切希望其提供的服務只能被那些獲准使用這些服務的用戶和設備訪問。

    802.1x  協定對認證方式和認證體系結構上進行了優化，解決了傳統 PPPOE  和 WEB/PORTAL 認證方式帶來的問題，更適合在寬帶乙太網中的使用。

802.1x 技術術語簡介

EAP : extensible authentication protocol                               可擴展認證協定

EAPOL : EAP over LANs 局域網上的 EAP

PAE : port access entity 埠訪問實體

Port : network access port 網路訪問埠

RADIUS : remote authentication dial in user service 用戶服務的遠端認證撥號

認證者 : 點對點局域網末端上的實體，本實體對訪問系統服務的請求進行認證。

認證伺服器 : 向認證者提供身份認證服務的實體。根據申請者提交的申請書來決定其是否有訪問系統服務的權利。

網路訪問埠 : 連接在 LAN 網路上的訪問點，可以是一個物理埠，也可以是一個邏輯埠。

埠訪問實體 : 埠上的協定實體。支援認證者協定操作和申請者協定操作。

申請者 : 位於點對點局域網一端的實體，由位於網路另一末端的認證者進行認證。

系統 : 與局域網有一個或多個埠連接的設備，如：終端、伺服器、MAC 橋和路由器。

乙太網的高性價比和媒體獨立的特性使其逐漸成爲家庭、企業網、電信級都會網的主導接入技術，而且隨著 10G 乙太網技術的出現，乙太網技術在廣域網範圍內也將獲得一席之地。

電信營運商和寬頻接入提供商也開始提供基於乙太或者純乙太的接入業務，但對於乙太網路中多數業務來說，營運商無法從物理上完全控制用戶端設備或者媒介。

營運業者要實現對寬頻業務的可運營、可管理，就必須從邏輯上對用戶或者用戶設備進行控制。該控制過程主要通過對用戶和用戶設備的認證和授權完成。

技術背景

一般來說，需要進行認證和授權的業務種類包括：

    1.提供給多用戶系統的乙太都會網業務，這些業務包括典型的 TLS 業務， L2 或者是 L3 的 VPN，在該業務組網環境中，客戶前端交換機由同一建築物內的多個用戶共用；

    2. 以 IEEE802.11a 和 IEEE802.11b 提供無線乙太接入的熱點地區，像機場、商場、學校和餐廳等，需要基於每個用戶設備或者用戶進行接入認證，防止非授權用戶接入；

    3.基於 ATMRFC1483 的 xDSL 業務和 IP乙太接入網；

    4.基於 EFM(Ethernetinthe First Mile， IEEE 802.3ah) EPON 接入和 EoVDSL等業務。

    5.基於乙太 Cable 的共用 RF 通道接入方式。

IEEE 802.1x 協定技術分析

意識到 PPPoE 在用於純乙太網路環境接入控制中的種種缺陷， IEEE 在 2001 正式頒佈了 IEEE802.1x 標準，用於基於乙太的區域網、都會網和各種寬頻網路接入手段的用戶 /設備接入認證。

該協定最初假定的應用環境是交換式乙太網中，但是在標準化過程中也考慮到了像 801.11b 和 Cable 接入等共用式乙太網路應用環境對認證的要求。

    802.1x 認證採用基於乙太網埠的用戶訪問控制技術，可以克服 PPPoE 方式帶來的諸多問題，並避免引入集中式接入伺服器所帶來的巨大投資。

在傳統乙太網設備基礎上，基於埠的網路訪問控制技術採用 IEEE 802.1x 協定，提供了對基於乙太網的點到點連接的埠用戶進行認證和授權的能力，從而使乙太網設備達到電信運營要求。

用戶側的乙太網交換機上放置一個擴展認證協定（ EAP）代理，用戶 PC 機運行 EAPoL（ EAPoverLAN）的用戶端軟體與交換機通信。

基於埠的網路訪問技術的基本思想是網路系統可以控制面向最終用戶的乙太網埠，使得只有網路系統允許並授權的用戶可以訪問網路系統的各種業務（如乙太網連接，網路層路由， Internet 接入等業務）。

    802.1x 協定是基於 Client/Server 的訪問控制和認證協定。它可以限制未經授權的用戶 /設備通過接入埠訪問 LAN/MAN。

在獲得交換機或 LAN 提供的各種業務之前， 802.1x 對連接到交換機埠上的用戶 /設備進行認證。在認證通過之前， 802.1x 只允許 EAPoL（基於局域網的擴展認證協定）資料通過設備連接的交換機埠；認證通過以後，正常的資料可以順利地通過乙太網埠。

網路訪問技術的核心部分是 PAE（埠訪問實體）。在訪問控制流程中，埠訪問實體包含 3部分：

認證者 --對接入的用戶 /設備進行認證的埠；

請求者 --被認證的用戶 /設備；

認證伺服器 --根據認證者的資訊，對請求訪問網路資源的用戶 /設備進行實際認證功能的設備。

乙太網的每個物理埠被分爲受控和不受控的兩個邏輯埠，

物理埠收到的每個封包都被送到受控和不受控埠。對受控埠的訪問，受限於受控埠的授權狀態。認證者的 PAE  根據認證伺服器認證過程的結果，控制 “受控埠” 的授權 /未授權狀態。處在未授權狀態的控制埠將拒絕用戶 /設備的訪問。

802.1x 認證特點

基於乙太網埠認證的 802.1x 協定有如下特點：

IEEE 802.1x 協定爲二層協定，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本；借用了在 RAS 系統中常用的 EAP（擴展認證協定），可以提供良好的擴展性和適應性，實現對傳統 PPP 認證架構的相容；802.1x 的認證體系結構中採用了“可控埠”和“不可控埠”的邏輯功能，從而可以實現業務與認證的分離，由 RADIUS 和交換機利用不可控的邏輯埠共同完成對用戶的認證與控制，通過認證之後的資料包是無需封裝的純資料包；可以使用現有的後臺認證系統降低部署的成本，並有豐富的業務支援；可以映射不同的用戶認證等級到不同的VLAN；可以使交換埠和無線 LAN 具有安全的認證接入功能。

802.1x 應用環境特點

 (1)交換式乙太網路環境

對於交換式乙太網路中，用戶和網路之間採用點到點的物理連接，用戶彼此之間通過 VLAN 隔離，此網路環境下，網路管理控制的關鍵是用戶接入控制， 802.1x 不需要提供過多的安全機制。

(2)共用式網路環境

當 802.1x 應用於共用式的網路環境時，爲了防止在共用式的網路環境中出現類似“搭載”的問題，有必要將 PAE 實體由物理埠進一步擴展爲多個互相獨立的邏輯埠。邏輯埠和用戶 /設備形成一一對應關係，並且各邏輯埠之間的認證過程和結果相互獨立。在共用式網路中，用戶之間共用接入物理媒介，接入網路的管理控制必須兼顧用戶接入控制和用戶資料安全，可以採用的安全措施是對 EAPoL和用戶的其他資料進行加密封裝。在實際網路環境中，可以通過加速WEP 密鑰重分配周期，彌補 WEP 靜態分配秘鑰導致的安全性的缺陷。

802.1x 認證的安全性分析

    802.1x 協定中，有關安全性的問題一直是 802.1x 反對者攻擊的焦點。實際上，這個問題的確困擾了 802.1x 技術很長一段時間，甚至限制了 802.1x 技術的應用。但技術的發展爲這個問題給出了答案： 802.1x結合 EAP，可以提供靈活、多樣的認證解決方案。

    IEEE 802.1x 和 PPP 一樣採用了 EAP 協定作爲認證資訊交互機制， EAP 消息封裝在 EAPOL 分組中。

    EAP 作爲一種認證消息承載機制可以允許認證者和請求者之間採用靈活的方案進行認證，並且對將來出現的更先進合理的認證技術具有很好的相容性。

    

    EAP 的這些特性主要通過擴展 EAP 中廠家定義的“ EAP類型” 實現，“ EAP類型” 規範中定義的認證類型，可以滿足不同層次認證的安全需要。

目前可以採用的 EAP 類型包括：

  LEAP

  PEAP

  EAP-MD5

  EAP-TTLS

具體的 EAP 不同層次認證圖示

802.1x 認證的優勢

綜合 IEEE802.1x 的技術特點，其具有的優勢可以總結爲以下幾點。 簡潔高效：純乙太網技術內核，保持了 IP網路無連接特性，不需要進行協定間的多層封裝，去除了不必要的開銷和冗餘；消除網路認證計費瓶頸和單點故障，易於支援多業務和新興流媒體業務。 容易實現：可在普通 L3、 L2、 IPDSLAM上實現，網路綜合造價成本低，保留了傳統 AAA認證的網路架構，可以利用現有的 RADIUS設備。

安全可靠：在二層網路上實現用戶認證，結合MAC、埠、賬戶、 VLAN和密碼等；綁定技術具有很高的安全性，在無線局域網網路環境中 802.1x 結合 EAP－ TLS， EAP－ TTLS, 可以實現對 WEP 證書密鑰的動態分配，克服無線局域網接入中的安全漏洞。

行業標準： IEEE 標準，和乙太網標準同源，可以實現和乙太網技術的無縫融合，幾乎所有的主流資料設備廠商在其設備，包括路由器、交換機和無線 AP上都提供對該協定的支援。在用戶端方面微軟WindowsXP作業系統內置支援， Linux 也提供了對該協定的支援。

應用靈活：可以靈活控制認證的顆粒度，用於對單個用戶連接、用戶 ID 或者是對接入設備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術或者是業務的需要。

易於運營：控制流和業務流完全分離，易於實現跨平臺多業務運營，少量改造傳統包月制等單一收費制網路即可升級成運營級網路，而且網路的運營成本也有望降低。

802.1x 認證在電信級網路中應用的總體架構

    1.以WLAN爲應用突破口

    802.1x 認證技術在電信級寬帶網中的應用以 WLAN爲突破口。 802.1x 技術從一開始就對基於 WLAN 提供認證的技術進行了大量的研究和探索；WLAN 設備大量應用的時間段和 802.1x 協定標準産生基本同步，目前多數廠商的 WLANAP 設備都可以支援 802.1x 認證；從技術上考慮，WLAN 是一種共用式的乙太接入網路，其面臨的安全性問題的解決和用戶控制都要比基於有線的乙太接入方式難解決；

網路中應用 802.1x 可以採用以下策略：

基於 WLAN 和 3G 移動網路的新型業務和應用層出不窮，尤其是基於組播技術的各種應用，原有的 PPPoE 認證在支援這些新業務時有明顯缺陷，迫切需要一種新性認證技術，滿足業務發展的需求；WLAN 作爲寬帶網上的新應用，電信營運商沒有什麽歷史包袱，在網路減少和設備選型時不受現有網路條件的牽制。以上種種原因決定了 WLAN 是 802.1x 技術應用的排頭兵。

2.認證邊緣化、分佈化

認證邊緣化充分發揮了 802.1x 基於埠認證的優勢。所謂認證邊緣化是指將認證設備的網路中的位置設置爲直接和用戶設備 /網路介面，邊緣化的認證設備可以感知、監控認證設備和用戶設備之間鏈路連接狀態，根據鏈路狀態變化，認證設備可以採取相應的策略，主動要求用戶 /設備發起認證。

對鏈路狀態的感知能力也是運營商進行網路故障檢測和網路運行維護工作順利開展的基礎，可以說實現了認證的邊緣化也就解決了寬帶接入網路中線路維護和故障診斷困難的難題。

用戶可以在本地接入網段實現隔離，不需要像集中認證方式那樣，在用戶到接入認證伺服器之間的二層網路都進行用戶隔離，減少了交換機運行 VLAN的複雜度，也使網路的流量的規劃、管理、控制更加容易。

認證邊緣化意味著認證設備的分佈化，可以避免採用集中式的 PPPoE 認證帶來的網路性能和網路可靠性的瓶頸。

3.用戶管理集中化

雖然 802.1x 採用分散式的認證，但是在用戶管理時建議仍採用集中方式。集中式的用戶管理的範圍包括有線接入用戶和無線接入用戶。集中認證一方面易於管理維護，保證了單個管理域內用戶資訊的一致性；另一方面，集中統一的用戶管理爲不同接入手段的用戶賬戶之間進行漫遊提供了前提條件，而且用戶在不同網路或者接入類型之間切換時面對的是統一的介面。 PPPoE認證中也採用的是集中式的用戶管理， 802.1x通過對現有的 RADIUS設備進行升級，可以完整的繼承 PPPoE的認證體系，避免了對網路結構進行大規模調整，工程易實現。

4.多業務接入，兼顧網路技術特點

    802.1x 是 IEEE 乙太協定族中的一個組成部分，應用範圍涵蓋 WLAN、 xDSL、 5類線、 Cable 和 EPON等等純乙太或者基於乙太的多業務接入方式。

以 xDSL 技術爲例，一方面 EoVDSL 等純乙太的 xDSL 接入手段出現；另一方面，在基於 ATM 的xDSL 技術中， IPDSLAM 的出現及其三層路由功能需求，使 802.1x 成爲滿足需求的最佳選擇。值得注意的是，交換式乙太網路和共用式乙太網路有不同的網路技術特點，在應用 802.1x 時要兼顧。

5.逐步取代 PPPoE

    802.1x 技術代表了電信級寬帶網路發展的趨勢，即認證、業務分離和支援多業務。 PPPoE 的缺陷注定了其過渡者的角色，事實上當初 PPPoE 也是作爲一種權宜之計應用到寬帶網路接入認證中的。

但是 802.1x 取代 PPPoE 是一個漸進的過程，網路現狀是我們不得不考慮的問題，其中最主要的問題是樓道交換機功能簡單，並不支援 802.1x。

解決這個問題可以考慮採用如下途徑：

方案一，對樓道交換機進行軟體升級，使其支援 802.1x

方案二，對 802.1x協定進行改進，使 EAP可以承載在 VLAN上，在彙聚層交換機進行 802.1x認證，下游二層交換機採用 VLAN進行用戶隔離，

最終，認證邊緣化要求面向用戶的接入設備可以直接實現對用戶接入的管理和控制。方案二可以作爲實現目標網路的過渡。

進行用戶 ID  和密碼的認證，並返回結果給乙太網交換機。

初始狀態下，與最終用戶相連的乙太網交換機(放置在樓道的交換機 ) 的所有業務端口是關閉的，只有管理和認證的埠是開放的。用戶通過用戶端軟體登錄交換機，交換機將用戶提供的 ID 和密碼傳送到後臺的 RADIUS 伺服器 (可以在本地，也可以通過廣域網設備連到遠地 )上，如果用戶 ID  和密碼認證通過，則乙太網交換機相應的業務埠打開，允許用戶訪問城域網路。

RADIUS 伺服器

通過這種基於 L2 (二層 )乙太網交換機的用戶管理方法，可以使城域網整體的組網變得非常簡單，通過 L2 乙太網交換機和路由器兩種設備即基本實現，可同時實現業務的集中控制 (以 RADIUS 爲核心的業務中心控制 )和分散實現 (靠近用戶的乙太網交換機實現 )，滿足可運營、可管理寬帶城域網的用戶管理認證要求。

RADIUS Packet Format

ResponseAuth = MD5(Code + ID + Length + RequestAuth + Attributes + Secret ) where + denotes concatenation.

Port 訪問控制的應用前提是在用戶 (請求者 )和認證者 (乙太網埠 )之間提供一條點到點的連接，這樣使認證得以 Port 的形式進行。 基於埠的網路訪問控制定義了 3方面內容： 1. 規定了請求者與認證者之間的認證資訊通信協定； 2. 認證者與認證伺服器之間的通信協定； 3. 根據協定交換的結果，控制認證者埠狀態的機制。

由於乙太網設備 (認證者 )只是 RADIUS 的認證代理，負責傳遞認證資訊，並根據認證伺服器給出的結果進行操作，並不參與其實際的認證。

IEEE 802.1x 的主要內容

基於乙太網埠認證的 802.1x 協定有如下特點：

a. 借用了在 RAS 系統中常用的 EAP(擴展認證協定 )；

b. 可以使用現有的後臺認證系統降低部署的成本，並有豐富的業務支援；

c. 可以映射不同的用戶認證等級到不同的 VLAN；

d. 可以使交換埠和無線 LAN具有安全的認證接入功能。

802.1x 協定的特點

IEEE 802.1X

Based on RFC 2284 PPP Extensible Authentication Protocol (EAP)– 支援多重 authentication機制，如MD5-challenge, One-Time Password等

– It permits the use of a “back-end” server which actually implements the various mechanisms while the PPP authenticator merely passes through the authentication exchange

A framework for authentication and key management

–用來取得提供每個封包做 authentication, integrity, confidentiality所用的 key–會與常見的 key derivation algorithms 一起使用 (e.g. TLS, SRP, etc.)

802.1X並不是無線網路的 standard，可應用在所有 IEEE 802的技術上 (e.g.  Ethernet First Mile applications)

802.1X不是用來取代WEP, RC4, DES, 3DES等的加密法– 802.1X可用來取得加密時所需的 key

802.1X不是一個單一的認證方法– 不需更改 AP和 NIC的 firmware，也能支援許多認證法

802.1X 埠控制的架構

802.1X Conversation

EthernetLaptop computer

Switch

Radius Server

EAPOL-Start

EAP-Response/Identity

Radius-Access-Challenge

EAP-Response (credentials)

Access blockedPort connect

Radius-Access-Accept

EAP-Request/Identity

EAP-Request

Access allowed

EAP-Success

Radius-Access-Request

Radius-Access-Request

RADIUSEAPOL

802.1X on 802.11

EAPOW-Start

EAP-Response/Identity

Radius-Access-Challenge

EAP-Response (credentials)

Access blocked

Radius-Access-Accept

EAP-Request/Identity

EAP-Request

Radius-Access-Request

Radius-Access-Request

RADIUS

EAPOW

802.11802.11 Associate-Request

EAP-Success

Access allowed

EAPOW-Key (WEP)

802.11 Associate-Response

通過上面的論述，可以看出 PPPoE 認證方式屬於較成熟的應用； 802.1X 對組播支援能力較強，但用戶控制能力方面較弱，目前尚未大規模商業；

     PPPoE 出現較早，産品支援最多；WEB 方式由於無標準，産品實現技術不統一； 802.1x 爲新認證方式，産品支援最少。

認證技術各有優缺點，需要在實際應用中根據每種技術的技術特點和實際情況，綜合考慮才會使都會網發揮應有的效益。

不同認證方式的比較

總之， PPPoE 方式成熟可靠，需要增加投資的寬帶接入伺服器 BNAS 等設備目前成本也大幅下降，通過合理的組網方式和設備性能的提升，可以解決所謂的網路瓶頸問題。

     802.1x 推出較晚，標準目前不是很成熟，但其一次性投資低，支援組播等特性使其具有強大的生命力，隨著標準的統一和完善，必然是未來寬帶城域網首選的認證管理方式。

 

  PPPoE 802.1X

標準化 有 有

完整性 完整認證、計費機制

缺乏計費機制

認證機制 有 (PPP) 有 (EAP)

認證伺服器 標準 Radius server

Radius server(需支援 EAPoL)

動態設定 client參數

有 (IPCP) 搭配 DHCP

keepalive 有 (LCP) 無

認證機制的比較 1/2

計費機制 有 無

client端程式 需安裝 PPPoE client程式

(WinXP已內建 )

需安裝 802.1X client程式

(WinXP已內建 )

優勢 完整性高，且易於和現有的後端

系統整合

第二層認證協定，阻絕非法使用者的能力較佳

缺點 BRAS設備昂貴且易形成網路架構瓶頸，用於乙太網路環境較無效率，使用者需安裝撥接程

式

完整性不足， client端不普及，與 DHCP間需

要整合

群播應用 不適用 適用，但若搭配 VLAN同樣會有效率上的問題

進階控管能力 佳，一般 BRAS可針對 user profile

做設定

差，標準只定義埠的開/閉控制

隨著乙太網技術在寬帶網內應用範圍的日益廣泛，各種基於乙太網技術的業務應運而生，成爲寬頻網路業務主體。在頻寬接入領域內，純乙太網或者乙太網相關的接入技術已經成爲接入網發展的大趨勢。

這種控制和管理一般通過對網路接入進行控制、認證和授權實現。 802.1x 技術作爲 IEEE 協定族的一個組成部分，在乙太網路環境中提供了一種基於埠、認證和業務分離，高靈活性，強適應性的接入控制手段。

相比現階段廣泛應用的 PPPoE 解決方案， 802.1x 不僅具有和乙太網技術天生的良好相容性，還具有出色的多業務支援能力和多樣化的統計計費能力。 現階段 802.1x 應用於電信級寬帶網路還存在著一些缺陷，但是隨著其不斷完善、成熟， 802.1x 和 802.1aa協定將成爲電信級寬帶網路中不可或缺的部分。