宽带网认证技术比较
当前在宽带网中使用的主要认证技术包括三类,即PPPoE技术、802.1X技术和DHCP+WEB技术。
PPPoE(RFC2516)技术采用以太网报文封装PPP报文,由于IP包和PPP报文不兼容,必须有专门的设备终结PPP报文并转换成IP报文,这种设备就是宽带接入服务器。用户和宽带接入服务器之间采用以太网封装PPP报文,其通信过程包括两个阶段,即发现阶段和会话阶段。因此PPPoE方式其整个通信过程都必须进行PPPoE的封装,效率较低,随着用户数量的大量增加对BRAS设备的性能要求呈指数上升。
802.1X技术是基于端口(包括物理端口和逻辑端口如MAC地址、VLAN等)的认证技术,其认证阶段采用EAP(RFC2284)报文,EAP报文是PPP报文的扩展,其认证阶段与PPPoE方式类似。其认证过程为:用户通过802.1X客户端软件发起认证(EAPoL报文)->交换机终结EAPoA报文并向认证服务器转发EAP报文->认证通过->DHCP服务器分配IP地址->受控端口打开->正常通信。由此可以看出,802.1X认证仅仅在认证阶段进行EAP封装,通信过程中采用TCP/IP协议。
DHCP+WEB方式各设备厂商具体实现并不完全一致,但其认证过程可以归纳为:用户开机并通过DHCP服务器分配认证IP地址->局端设备通过对该IP地址进行强制URL访问到登陆页面->用户输入用户帐号信息并发往认证服务器->认证服务器反馈认证成功信息->局端设备将用户VLAN、用户端口、用户IP地址和MAC地址进行可选择性的绑定并开放用户的上网功能。这种方式认证和业务流也实现了分离,并可以方面地利用WEB服务器推出PORTAL和广告等增值业务,对用户进行业务宣传及业务引导。
现将三种认证方式特点比较如下:通过上表可以看出,802.1X和DHCP+WEB均采用认证流和数据流相分离的方式,该方式也决定了其对组播支持能力较强(只要局端设备支持),这两种方式的带宽利用率均较高,同时可以避免城域网汇聚层同时作为BRAS使用。802.1X和DHCP+WEB两种方式比较而言,802.1X在用户控制能力方面较弱,只能进行端口/带宽的控制,而DHCP+WEB方式则可以对接入的用户数量进行控制,但认证阶段需要全程VLAN支持,对VLAN资源消耗较大,802.1X和DHCP+WEB对局端交换机均有要求,DHCP+WEB由于采用Portal方式,其增值业务能力较强。从产品支持能力来看,由于802.1X是IEEE标准,局端设备选择范围较大,同时可以避免城域网汇聚层设备同时作为BRAS使用,而DHCP+WEB则要实现较多的ACL控制,其设备要求也较高;从客户端支持来看,由于802.1X目前没有标准的客户端,不同厂商客户端程序不同,容易导致放号困难及维护工作量较大。总体而言,PPPoE技术成熟,效率低,对组播等新业务支持能力差(目前BRAS均不支持组播);802.1X设备选择范围大,但对用户控制能力及客户端软件标准性较差,目前尚未大规模商业;DHCP+WEB可以实现较多的增值业务,同时可以很好的支持组播业务,但WEB目前没有统一的标准。
PPPoE 802.1X DHCP+WEB 标准化程度 RFC2516 IETF草案,客户端软件厂商私有 WEB软件厂商私有 封装开销 大 小 小 控制方式 数据认证统一 数据认证分开 数据认证分开 IP地址 认证后分配 认证后分配 认证前分配 组播支持 差 好 好 VLAN要求 无 无 多 客户端软件 需要 需要 不需要 对设备要求 BRAS设备 特殊交换机芯片 私有设备 安全性 高 高 高 控制能力 端口/数量/带宽 端口/带宽 端口/数量/带宽 地址仿冒能力 强 弱 强