802.1x的实现主要分为三个实体,如下图所示。
认证系统是支持802.1x协议的网络设备,如交换机所提供的802.1x认证服务,它接收用户客户端的认证请求并实现认证;认证服务由Radius等后台计费系统组成,主要是存储客户端的资料,还有用户的开帐,和计费的管理和计费业务功能;客户端实体,是由用户所使用的机器上的客户端软件发起802.1x认证的过程,客户端软件通过EAPOL协议与认证系统进行通讯。
802.1x的主要特点是实现业务流和控制流分开,用户通过认证后,业务、认证流分离,系统对后续数据包无特殊处理,不仅可以有效消除网络瓶颈,而且使业务处理更为灵活。尤其在提供宽带组播等业务时,所有业务均不受认证方式限制,从根本上改变了传统业务模式。与传统的PPPOE的认证方式,无论从认证开销上,网络易用性上,还是从网络投资的成本上,都要有着无法比拟的优势。
传统的802.1x的基本思想是端口的控制,“端口”的概念可以是物理端口,一般是在二层交换机上实现,但是现在某些三层(路由)交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,通常叫做基于流的认证方式,即无需与物理端口对应,而是基于用户认证控制,一个物理端口上实现多个用户的接入控制。认证系统对应于不同用户的端口有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
802.1x相对于其他认证模式PPPOE、Web/Portal,具有简洁高效、容易实现、安全可靠、易于运营的特点,这也使802.1x协议已经在国内教育信息网、宽带建设中得到了广泛的应用,并得到了客户认同和推动。
目前在实际的宽带网络建设中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,尤其是在校园网,即使使用mac或ip地址绑定均无法控制此现象。如Wingate、Sygate,或使用Windows本身提供的网络共享功能。这些地址代理软件从工作原理上来说主要分为两大类:一、应用级的代理,如使用Wingate、CCProxy代理软件,它将被代理用户向外部的请求,转换为服务器的请求报文发送到外网(需认证才能访问的网络资源),外网响应的数据存储到本地硬盘并发回给被代理用户,以代理缓存技术提高代理工作的效率;二、采用NAT地址转换网络地址转换(Network Address Translator)方式,包括使用Sygate、WinRouter代理软件,及Windows系统自带的网络共享,它将内网用户的外部请求报文的地址转换为外网的地址再发送出去,外网返回的结果再经过地址转换成内网的用户地址,传给请求的被代理用户。
用802.1x防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源,需侦测出被代理用户和代理服务器之间代理关系,已认证通过的客户端被当作代理服务器使用,确认代理服务器从经过802.1x认证成功的端口提供外部的代理服务。能够准确快速地检测出代理服务器地必要条件包括,分析应用代理关系的建立,NAT代理服务器的运行状态的确认等。
三层(路由)交换机上802.1x经过特定的功能扩展后,可建立基于流的认证控制,通过功能扩展,提高了使用802.1x认证技术的安全性,可有效防止代理服务器上网,从而保护网络运营商的投资,从而加速了在应用上的普及,极大的推动了可运营、可管理的电信级宽带以太网的建设。
