锐客网

  1. 首页 > 睿知 > it技术 > >

如何完成城域汇聚层以太网用户认证

IT知识以太网

网络技术是从1990年代中期发展起来的新技术 , 它把互联网上分散的资源融为有机整体 , 实现资源的全面共享和有机协作 , 使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享 , 网络则被认为是互联网发展的第三阶段 。对于以太网络中多数业务来说 , 运营商无法从物理上完全控制客户端设备或者媒介 。运营商要实现对宽带业务的可运营、可管理 , 就必须从逻辑上对用户或者用户设备进行控制 。该控制过程主要通过对用户和用户设备的认证和授权完成 。
以太网用户接入认证技术需求分析
面临着基于以太业务应用的日益广泛 , 迫切需要一种适应以太网多业务承载需求 , 兼顾以太接入灵活性和扩展性好的特点 , 并能确保以太接入安全性、支持运营商对接入用户进行控制和管理的接入认证技术 。
以太技术和接入认证技术的结合要求网络接入控制完成以下功能:
网络的接入控制与网络提供的业务类型无关 , 即无论是有线接入业务或者是无线接入业务 , 或者其它形式的公众以太接入业务 , 都采用一个通用的接入认证解决方案;电信级IP接入网络要求对用户进行严格的控制和管理 , 包括控制用户对网络的访问、用户身份识别;对于用户来说 , 只需要面对单一的认证界面 , 用户可以实现在多种网络接入业务间漫游;对于新兴业务的支持也是选择认证技术时要考虑的一个重要因素 , 认证技术必须保证在现有的认证体系下对新兴业务的支持;对于运营商而言 , 通用的认证解决方案可以简化远程接入VPN的安全管理 , 将用户认证的范畴延伸到LAN范围内;适应电信级IP宽带网接入控制需求的认证技术将简化运营商网络认证的体系结构 , 降低运营商用于培训和维护的费用 , 减少运营成本 。
认证技术分析
按照Internet网络分层模型 , 在协议每一层都可以针对用户或者设备进行网络接入的认证、鉴权 。一般来说根据认证发生所属的网络分层模型层次 , 可以将认证技术大致划分为几类 , 包括物理层认证、MAC层认证、IP层认证、UDP/TCP应用层认证 。
802.11b采用典型的物理层认证 。物理层认证的优势是 , 不需要改动上层MAC或者TCP/IP协议;缺点是需要对NIC和接入服务器的硬件进行改动 , 并且协议修改反应到设备支持的周期长(比如WEPv1.0) , 而且很难和AAA进行集成 。
MAC层认证的代表技术是PPP和802.1x , 该认证方式的优点是不需要对设备的硬件进行改动 , 通过软件升级就可以实现新的认证技术引入 。协议反应周期短 , 可以和AAA进行快速有效的融合(通过EAP) 。其缺点是需要对MAC层进行改动 。
IP层认证不需要对客户的MAC和TCP/IP层进行修改 , 其缺陷是在认证前需要向认证请求者开放一部分网络访问权限 , 为用户分配地址 。基于IP的认证一般不提供统计计费能力 , 扩展性不好 。
UDP/TCP认证采用应用层认证 , 不需要对底层进行修改 , 一般采用令牌卡协议 , 在认证前需要开放部分网络 , 没有统计计费能力 , 扩展性不好 。
综合对比以上几种认证方式 , 可以发现链路层认证的优势突出 。其特点是快速、简单和成本低廉 。多数的链路层协议像PPP和IEEE802都可以支持基于链路层的认证技术 。客户在认证之前不需要进行服务器的定位 , 不需要获得IP地址 。网络接入设备只需要有限的3层功能 , 可以轻易实现和AAA的结合 , 从而提供丰富、灵活的认证方式和计费手段 。在多协议网络环境中 , 基于链路层的认证可以实现对上层应用的完全透明 , 也就是说可以实现和新的网络层协议(比如IPv6)的兼容 。链路层认证处理减小了认证包处理的延时 , 保证了关键性应用的服务质量。

    推荐阅读


    上一篇:远程传输的2种技术

    下一篇:用访问控制下文完成网络单向访问