IEEE 802

浮光掠影

　　IEEE 802又称为LMSC（LAN /MAN Standards Committee， 局域网/城域网标准委员会），致力于研究局域网和城域网的物理层和MAC层中定义的服务和协议，对应OSI网络参考模型的最低两层（即物理层和数据链路层）。IEEE 802也指IEEE标准中关于局域网和城域网的一系列标准。更确切的说，IEEE 802标准仅限定在传输可变大小数据包的网络。

　　事实上，IEEE 802将OSI的数据链路层分为两个子层，分别是逻辑链路控制(Logical Link Control, LLC)和介质访问控制(Media Access Control, MAC)，如下所示：

　　数据链路层

　　逻辑链路控制子层

　　介质访问控制子层

　　物理层

　　IEEE 802系列标准是IEEE 802 LAN/MAN 标准委员会制定的局域网、城域网技术标准。其中最广泛使用的有以太网、令牌环、无线局域网等。这一系列标准中的每一个子标准都由委员会中的一个专门工作组负责。

　　LMSC执行委员会（Executive Committee）下设工作组（Working Group）、研究组（Study Group）、技术顾问组（Technical Advisory Group）。曾经设立的多个SG已经合并到WG中，目前活跃的WG和TAG如下：

　　802.1 ：高层局域网协议Higher Layer LAN Protocols

　　802.2 ：逻辑链路控制Logical Link Control

　　802.3 ：以太网Ethernet （CSMA/CD）

　　802.4 ：令牌总线Token Bus

　　802.5 ：令牌环Token Ring

　　802.6 ：城域网

　　802.7 ：宽带技术

　　802.8 ：光纤技术

　　802.9 ：语音与数据综合局域网

　　802.11：无线局域网Wireless LAN

　　802.12 ：100VG AnyLAN

　　802.13 ：

　　802.14：交互式电视网(包括Cable Modem)

　　802.15：无线个域网 Wireless Personal Area Network

　　802.16：宽带无线接入 Broadband Wireless Access

　　802.17：弹性分组环 Resilient Packet Ring

　　802.18：无线管制 Radio Regulatory TAG

　　802.19：共存 Coexistence TAG

　　802.20：移动宽带无线接入 Mobile Broadband Wireless Access (MBWA)

　　802.21：媒质无关切换 Media Independent Handoff

浮光掠影

　　802.1X协议是由(美)电气与电子工程师协会提出，刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。 802.1x认证，又称EAPOE认证，主要用于宽带IP城域网。　

　　一、802.1x认证技术的起源
　　802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。　　
　　有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题，802.1x正是基于这一需求而出现的一种认证技术。也就是说，对于有线局域网，该项认证没有存在的意义。　　
　　由此可以看出，802.1x协议并不是为宽带IP城域网量身定做的认证技术，将其应用于宽带IP城域网，必然会有其局限性，下面将详细说明该认证技术的特点，并与PPPOE认证、VLAN＋WEB认证进行比较，并分析其在宽带IP城域网中的应用。
　　二、802.1x认证技术的特点
　　802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。
　　802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入网络。对于无线局域网接入而言，认证之后建立起来的信道（端口）被独占，不存在其它用户再次使用的问题，但是，如果802.1x认证技术用于宽带IP城域网的认证，就存在端口打开之后，其它用户（合法或非法）可自由接入和无法控制的问题。
　　接入认证通过之后，IP数据包在二层普通MAC帧上传送，认证后的数据流和没有认证的数据流完全一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。
　　表1和表2分别罗列出802.1x协议与PPPOE、VLAN＋WEB的性能比较。

表1

表2

　　三、宽带IP城域网中的认证技术分析
　　宽带IP城域网建设越来越强调网络的可运营性和可管理性，具体包括：对用户的认证、计费，IP地址分配、全方位安全机制，对业务的支持能力和运营能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲，认证功能包括：识别和鉴权，对用户的准确有效识别，对用户权限的下发、确认和控制，这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。因此，宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管理要求。
　　实践证明，PPPOE认证技术、VLAN＋WEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。对于802.1x认证技术，根据其定位和特点，在宽带城域网中实现用户认证远远达不到可运营、可管理要求，加之应用又少，为了完备用户的认证、管理功能，还需要进行大量协议之外的工作，目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式，将802.1x技术附着在L2/L3产品上，使L2/L3产品具备BAS用户认证和管理功能。如上所述，这种认证方式仅仅能够基于端口的认证，而且不是全程认证，与其它BAS功能（计费、安全机制、多业务支持）难以融合，因而不能称为电信级认证解决方案。
　　在城域网建设初期，大家对可运营、可管理性的认识还不是很一致，802.1x认证技术可能会有一定的市场空间，随着宽带IP城域网建设的逐步成熟和对可管理的关注，基于端口开关状态的802.1x认证技术不会成为主流。
　　四、802．1x协议工作机制
　　以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的，成为解决局域网安全问题的一个有效手段。
　　在802.1X协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
　　客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。
　　认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。
　　认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。
　　在具有802.1X认证功能的网络系统中，当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
　　当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。
　　交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
　　客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
　　认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。
　　客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。
　　认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

　　这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
　　在802.1X解决方案中，通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。对于此种访问控制方式，应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。
　　对于假冒MAC地址的情况
　　当认证交换机的一个物理端口下面再级连一台接入级交换机，而该台接入交换机上的甲用户已经通过认证并正常使用网络资源，则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同，则即使乙用户没有经过认证过程也能够使用网络资源了，这样就给网络安全带来了漏洞。针对此种情况，港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。
　　对于动态分配IP地址的网络系统，由于非法用户无法预先获知其他用户将会分配到的IP地址，因此他即使知道某一用户的MAC地址也无法伪造IP地址，也就无法冒充合法用户访问网络资源。
　　对于静态分配地址的方案，由于具有同一IP地址的两台终端设备必然会造成IP地址冲突，因此同时假冒MAC地址和IP地址的方法也是不可行的。
　　当假冒者和合法用户分属于认证交换机两个不同的物理端口，则假冒者即使知道合法用户的MAC地址，而由于该MAC地址不在同一物理端口，因此，假冒者还是无法进入网络系统。
　　对于假冒IP地址的情况
　　由于802.1X采用了基于二层的认证方式，因此，当采用动态地址分配方案时，只有用户认证通过后，才能够分配到IP网络地址。
　　对于静态地址分配策略，如果假冒了IP地址，而没有能够通过认证，也不会与正在使用该地址的合法用户发生地址冲突。
　　如果用户能够通过认证，但假冒了其他用户的IP地址，则通过在认证交换机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户无法进行正常的业务通信，从而达到了防止IP地址被篡改、假冒的目的。
　　对于用户口令失窃、扩散的处理
　　在使用802.1X认证协议的系统中，用户口令失窃和口令扩散的情况非常多，对于这类情况，能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入，避免非法访问网络系统的目的。
　　五、总结
　　802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过控制接入端口的开/关状态来实现，这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证，而在可运营、可管理的宽带IP城域网中作为一种认证方式具有一定的局限性。

liuziwen

楼主太有才了

芒果

呵呵

不抓老鼠的猫

说的不错  

清露

感謝樓主  

游手好闲

鉴定完毕.!  

晚秋

ding   支持  

烟的寂寞

真的有么  

蜗牛

我帮你 喝喝