在现代宽带技术发展过程中,由于ATM技术的要求过于完美,导致实现的技术难度很大,设备成本高昂,使其发展非常缓慢。相对于ATM技术的弱点,以太网技术以其技术简单、成本低廉、高带宽而获得迅猛的发展,由早期的10M共享式以太网逐步发展出100M交换式以太网、1000M交换式以太网。配合VLAN划分技术、三层路由交换技术的发展,以太网技术已经由桌面办公环境逐步进入到企业网、园区网、城域网的建设中,目前10G以太网技术已经进入实验测试阶段,即将进入城域网和广域网的骨干层应用。
以太网技术进入城域网应用后,可以说应用的背景发生了质的改变,由一种局域网互连应用进入到网络运营商进行运营和盈利的经营活动中。原来基于局域网互连的基础发生了动摇,这些基础包括进行局域网互连建设的目标不是通过网络来产生盈利;进行局域网互连的用户是基于充分信任的基础上的;局域网互连的规模相对较小。因此,在进行宽带城域网建设中,不能简单地采用局域网的建设模型和设备,必须在局域网互连的基础上发展新的技术和设备来解决以上问题。
BAS在以太网中的作用与发展
在将传统的以太网改造成可运营、可治理的经营性以太网的过程中,BAS(宽带接入服务器)是不可缺少的要害设备。
在基于ATM技术的ADSL发展过程中,为了实现用户的鉴权、认证和计费(AAA)功能,按窄带拨号接入服务器的思路采用了宽带接入服务器(BAS)完成对ADSL用户的鉴权、认证和计费。在以太网进入城域网发展的早期,在发现传统以太网同样存在对用户的鉴权、认证和计费的要求后,对网络结构改动最小、最简单的方法就是直接在汇聚层的三层交换机旁边再安装一台BAS,由BAS完成对所有接入的以太网用户的治理和计费。由于早期的BAS设备只支持PPPoE/PPPoEoA等接入方式,也就要求以太网用户采用PPPoE的方式接入以太网。这样,采用在汇聚层交换机外接BAS的方式,解决了进行网络经营所面临的基本问题:用户治理和计费。
随着宽带网络经营的要求日益增多以及宽带用户数量的迅速增长,对BAS设备的要求也越来越多,使得BAS设备放在汇聚层交换机旁边的位置所带来的问题也日益暴露出来。首先,由于用户数量以及BAS设备须完成的功能越来越多,对BAS的处理能力的要求也越来越高;其次,PPPoE的报文封装也增加了对设备的负担,这些增加的要求使得在集中式处理的方式下,目前的硬件和软件技术无法提供足够的支撑,使得集中式的BAS设备逐渐成为网络中的瓶颈;再次,设备对网络稳定运行的影响也越来越大,BAS出现故障后直接导致成千上万的用户无法使用网络。
为了解决集中式BAS的处理能力和网络可靠性问题,在网络组网中开始出现了BAS分布化的要求和趋势。BAS分布化的要求表现在设备的分布化和功能的分布化两个方面。在设备的分布化方面表现在,原来集中放置在汇聚层L3交换机旁边的BAS设备。由多台分布放置在接入汇聚点的小容量BAS设备所取代,这些小容量的BAS设备可称之为EAS(边缘接入服务器)。EAS设备本身可以认为是L3+AAA+业务网关的集合体,由于治理的用户数量的减少和网络流量的降低,使得分布式放置的EAS设备的性能/价格都可以做到非常优秀。
在BAS设备功能的分布化方面主要表现在:用户认证治理层次的下放、接入层L3技术的发展等。用户认证治理早期有PPPoE认证,目前发展了在接入层的VLAN+WEB用户身份认证和802.1x用户接入交换机端口认证等技术。L3技术的发展使得原来需要BAS设备完成的部分功能目前在L3交换机上也可以实现,如流分类、访问控制等。通过设备和功能的分布化发展,在达到可运营、可治理的网络基础上较好地解决了网络瓶颈、网络可靠性等问题。
802.1x协议的起源和发展
802.1x协议起源于无线局域网(WLAN)的发展和应用,协议推出的主要目的是为了解决无线局域网用户的接入认证问题。802.1x协议目前开始应用于有线局域网中,通过对用户交换机接入端口的认证控制达到对用户治理的目的。目前802.1x协议已经正式发布,整个协议为二层协议,将用户报文分为业务报文和认证报文两种。为了区分这两种报文,专门为认证报文增加了特定的标志(EtherType=0E)。构成802.1x认证体系的主体有3部分:用户端、支持认证的交换机(包括支持认证报文透传的楼道交换机和执行认证过程的汇聚层交换机)、认证服务器。
用户在获得二层网络的使用权后,由于802.1x协议没有具体规定如何重新配置用户交换机端口的具体过程,因此,各家网络设备提供商可采用SNMP协议和私有协议两种方式。考虑到采用SNMP协议在成千上万台的用户交换机上进行配置的效率,厂商大多采用私有协议的方式。同时为了保证用户二层隔离等基本要求,须在配置端口过程中同时进行端口VLAN分配等用户控制工作。这些二层配置工作完成后,才开始三层网络的相关工作,如IP地址申请等。
因此在整个认证体系中,须有客户端软件支持认证的发起和接收过程、楼道交换机支持对认证报文的透传、汇聚交换机支持认证过程和对楼道交换机的配置操作、认证服务器完成对用户的鉴权和认证,最后还要求汇聚层认证交换机与楼道交换机之间具有高效的控制协议。在单独采用802.1x进行实际运营过程中有一些实际问题须考虑和解决:
1.客户端软件问题目前只有WINXP、WIN2000最新补丁版本支持802.1x协议,假如完全按该协议进行用户认证治理,就要求所有的用户必须进行软件升级,或采用专门开发的客户端软件。
2.网络现有楼道交换机的问题由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中存在对已经在网上的用户交换机的升级处理问题。
3.IP地址分配和网络安全问题802.1x协议是一个二层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,须继续解决用户IP地址分配、三层网络安全等问题。因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可治理以及接入安全性等方面的问题。
4.计费问题802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
5.发展宽带增值业务问题802.1x只是交换机端口的认证控制协议,全部由二层网络完成,因此无法解决未来宽带网络必须考虑的宽带增值业务的开展问题。
通过综合的对比和分析,我们可以将802.1x认证协议作为一项用户认证的基础技术,作为对VLAN+WEB认证的必要补充,发展成为802.1x+WEB的认证体系,全面解决单独使用802.1x所面临的问题。