802.1X和PPPoE认证在晋煤集团网络中的应用

陈丽君



802.1X和PPPoE认证在晋煤集团网络中的应用

陈丽君

山西省晋煤集团通信分公司运维中心，山西 晋城 048006

计算机网络中的常用认证方式有802.1X和PPPoE两种方式。因此，简单介绍了这两种认证方式的优缺点以及晋煤集团的网络现状。

802.1X协议；PPPoE协议；身份认证

1 概述

在企业内网安全管理中，准入控制是所有终端管理功能实现的基础所在。采用相应的准入控制技术能够主动监控桌面电脑的安全状态和管理状态，隔离不安全的电脑。

目前，在网络中我们常用到的主流用户接入身份认证方式有802.1X和PPPoE两种方式。

2 802.1X简介

802.1x 称为基于端口的访问控制协议。基于端口的访问控制能够在利用IEEE 802 LAN的优势基础上提供一种对连接到局域网（LAN）设备或用户进行认证和授权的手段。通过这种方式的认证，能够在 LAN这种多点访问环境中提供一种点对点的识别用户的方式。

802.1X协议采用典型的客户端/服务器体系结构，包括三个主要的部分：客户端（Supplicant System）、认证系统（Authenticator System）以及认证服务器（Authentication Server System）。

客户端指LAN所连接的一端的实体（entity），它向认证系统（Authenticator）发起请求，对其身份的合法性进行检验。客户端一般为一个用户终端系统。该终端系统通常需要安装一个客户端软件，用户通过启动这个客户端软件发起802.1X协议的认证过程。

认证系统指在LAN连接的一端用于认证另一端设备的实体（entity）。认证系统也称NAS（Network Access System，网络接入系统），通常为支持802.1X协议的网络设备。

认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务。

认证服务器通常为Radius服务器，该服务器可以存储有关用户的认证、计费、业务信息。

3 PPPoE简介

PPPoE是一种通过一个远端接入设备为以太网上的主机提供接入服务，并可以对接入的每个主机实现控制和计费的技术。

PPPoE使用Client/Server模型，PPPoE的客户端为PPPoE Client，PPPoE的服务器端为PPPoE Server。PPPoE Client向PPPoE Server发起连接请求，两者之间会话协商通过后，PPPoE Server向PPPoE Client提供接入控制、认证等功能。

根据PPP会话的起止点所在位置的不同，有两种组网结构：

第一种方式在设备之间建立PPP会话，所有主机通过同一个PPP会话传送数据。主机上不用安装PPPoE客户端拨号软件，一般是一个企业共用一个账号。

第二种部署方式，PPP会话建立在Host和运营商的路由器之间，为每一个Host建立一个PPP会话。每个Host都是PPPoE Client，每个Host一个帐号，方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件[1]。

4 802.1x协议和PPPoE协议的对比

4.1 802.1x的优点

802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。

通过组播实现，解决其他认证协议广播问题。对组播业务的支持性好。业务报文直接承载在正常的二层报文上。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。

4.2 802.1x的缺点

需要特定的客户端软件：由于802.1x是比较新的二层协议，要求接入层交换机支持认证报文透传或完成认证过程。因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题。

4.2.1 IP地址分配和网络安全问题

802.1x协议是一个2层协议，只负责完成对用户端口的认证控制。完成端口认证，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题。因此，单靠以太网交换机结合802.1x的模式，无法全面解决网络接入的可运营、可管理以及接入安全性等方面的问题。

4.2.2 计费问题

802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，但不能统计流量，因此无法开展基于流量的计费或满足用户永远在线的要求[2]。

4.3 PPPoE的优点

（1）传统PSTN窄带拨号接入技术在以太网接入技术的延伸；（2）和原有窄带网络用户接入认证体系一致；（3）最终用户相对比较容易接收。

4.4 PPPoE的缺点

（1）PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低；（2）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响；（3）组播业务开展困难，而视频业务大部分是基于组播的；（4）需要提供客户终端软件，维护工作量过大；（5）PPPoE认证一般需要外置BAS设备（Broadband Access Server），认证完成后，业务数据流也必须经过BAS设备，这容易造成单点瓶颈和故障。

5 晋煤集团网络所采用的协议

晋煤集团网络现分为办公网和信息网。生产网是为了满足各单位及各矿井生产数据的上传和各应用系统的正常运行。信息网主要是为了满足人们的日常上网需求，为其提供巨大的信息资源和服务资源。

结合晋煤集团的网络现状，由于办公网采用了固定IP地址，而且根据子分公司划分了子网及VLAN，综合上述协议的特点，选用了802.1X协议作为办公网的认证计费协议[3]。

信息网是面向家庭用户的，家庭用户普遍具有动态IP，无线Wi-Fi的需求，而且每个用户之间都是隔离的。综合上述协议的特点，选用了PPPOE协议作为信息网的认证计费协议。

[1]陈湘源.煤矿无线通信系统的现状与发展[J].工矿自动化，2009（1）：33-36.

[2]熊卿青，邓媛.现代无线通信技术的现状分析及其发展前景[J].科技创新导报，2012（2）：31.

[3]吕志强.煤矿井下通信系统的现状及趋势[J].中国煤炭，2014（5）：89-92.

Application of 802.1X and PPPoE Authentication in Jincheng Anthracitemining Mining Group Network

Chen Lijun

Shanxi Jincheng Anthracitemining Mining Group Communications Branch Operation and Maintenance Center,Shanxi Jincheng 048006

There are two common methods of authentication in computer networks: 802.1X and PPPoE. The paper briefly introduces the advantages and disadvantages of the two authentication methods and the network status of Jin coal group.

802.1X protocol; PPPoE protocol; identity authentication

TP393.18

A

1009-6434（2017）10-0037-02