[ 13683 查看 / 2 回复 ]
admin
宽带网认证技术比较
当前在宽带网中使用的主要认证技术包括三类,即PPPoE技术、802.1X技术和DHCP+WEB技术。 PPPoE(RFC2516)技术采用以太网报文封装PPP报文,由于IP包和PPP报文不兼容,必须有专门的设备终结PPP报文并转换成IP报文,这种设备就是宽带接入服务器。用户和宽带接入服务器之间采用以太网封装PPP报文,其通信过程包括两个阶段,即发现阶段和会话阶段。因此PPPoE方式其整个通信过程都必须进行PPPoE的封装,效率较低,随着用户数量的大量增加对BRAS设备的性能要求呈指数上升。 802.1X技术是基于端口(包括物理端口和逻辑端口如MAC地址、VLAN等)的认证技术,其认证阶段采用EAP(RFC2284)报文,EAP报文是PPP报文的扩展,其认证阶段与PPPoE方式类似。其认证过程为:用户通过802.1X客户端软件发起认证(EAPoL报文)->交换机终结EAPoA报文并向认证服务器转发EAP报文->认证通过->DHCP服务器分配IP地址->受控端口打开->正常通信。由此可以看出,802.1X认证仅仅在认证阶段进行EAP封装,通信过程中采用TCP/IP协议。 DHCP+WEB方式各设备厂商具体实现并不完全一致,但其认证过程可以归纳为:用户开机并通过DHCP服务器分配认证IP地址->局端设备通过对该IP地址进行强制URL访问到登陆页面->用户输入用户帐号信息并发往认证服务器->认证服务器反馈认证成功信息->局端设备将用户VLAN、用户端口、用户IP地址和MAC地址进行可选择性的绑定并开放用户的上网功能。这种方式认证和业务流也实现了分离,并可以方面地利用WEB服务器推出PORTAL和广告等增值业务,对用户进行业务宣传及业务引导。现将三种认证方式特点比较如下: PPPoE802.1XDHCP+WEB标准化程度RFC2516IETF草案,客户端软件厂商私有WEB软件厂商私有封装开销大小小控制方式数据认证统一数据认证分开数据认证分开IP地址认证后分配认证后分配认证前分配组播支持差好好VLAN要求无无多客户端软件需要需要不需要对设备要求BRAS设备特殊交换机芯片私有设备安全性高高高控制能力端口/数量/带宽端口/带宽端口/数量/带宽地址仿冒能力强弱强 通过上表可以看出,802.1X和DHCP+WEB均采用认证流和数据流相分离的方式,该方式也决定了其对组播支持能力较强(只要局端设备支持),这两种方式的带宽利用率均较高,同时可以避免城域网汇聚层同时作为BRAS使用。802.1X和DHCP+WEB两种方式比较而言,802.1X在用户控制能力方面较弱,只能进行端口/带宽的控制,而DHCP+WEB方式则可以对接入的用户数量进行控制,但认证阶段需要全程VLAN支持,对VLAN资源消耗较大,802.1X和DHCP+WEB对局端交换机均有要求,DHCP+WEB由于采用Portal方式,其增值业务能力较强。从产品支持能力来看,由于802.1X是IEEE标准,局端设备选择范围较大,同时可以避免城域网汇聚层设备同时作为BRAS使用,而DHCP+WEB则要实现较多的ACL控制,其设备要求也较高;从客户端支持来看,由于802.1X目前没有标准的客户端,不同厂商客户端程序不同,容易导致放号困难及维护工作量较大。总体而言,PPPoE技术成熟,效率低,对组播等新业务支持能力差(目前BRAS均不支持组播);802.1X设备选择范围大,但对用户控制能力及客户端软件标准性较差,目前尚未大规模商业;DHCP+WEB可以实现较多的增值业务,同时可以很好的支持组播业务,但WEB目前没有统一的标准。