图2 802.1X认证过程示意图

　　802.1X协议是一种基于端口的接入控制协议。如图2，802.1X认证系统一般包含三个实体：客户端(Supplicant)、认证系统(authenticator system，通常为支持802.1X的接入交换机)、认证服务器(authenticatorserver)。客户端向认证系统发起接入请求；认证服务器验证用户账户，并通知认证系统是否开放业务数据接入端口。802.1X的认证数据流和业务数据流是分开的。在认证前，客户端只能发送认证数据包，直接屏蔽了ARP 广播；认证成功后，对该主机开放交换机端口的业务数据接入通道，不改变用户的数据包格式和传输路径。目前，大部分主流交换机均支持802.1X，可以较为方便地实施802.1X认证的分布式部署。

　　在不结合其他机制的情况下，802.1X认证会出现以下问题：第一，接入交换机作为认证者，只能绑定用户主机的网卡物理地址MAC，只要MAC是通过认证的数据包都被允许通过，因此IP冲突、ARP攻击等各类局域网安全问题依然存在；第二，802.1X无法进行基于用户的带宽控制。

　　针对上述802.1X的问题，大部分支持802.1X 的交换机同时也能够从DHCP包中获取主机IP地址，因此可以在部署了DHCP 的情况下，实现IP+MAC+端口的绑定，解决IP冲突、ARP攻击等网络安全问题。在使用固定IP的情况下，目前部分厂商交换机可以通过私有机制使认证交换机获取用户IP地址，但通常要求认证系统和交换机是由同个厂商提供才能实现该功能。

　　两种协议在高校网络中应用的建议

　　校园网中用户数庞大，局域网内数据交换多且频繁，如文件传输、局域网游戏；校内资源丰富，希望达到高速资源共享，如校园数据中心资源、图书馆资源等；网络应用复杂，组播流量大，特别是视频流量；用户群活跃，喜欢尝试对网络的攻击；不同区域的用户群体不同，网络流量特征有差别，管理需求相异。

　　从前面的分析可以总结出PPPoE认证更侧重于管理，802.1X认证则可以更好维护网络性能。校园网中认证模式可以基于用户群体特点和管理需求进行选择。

表1 高校中不同群体网络流量的特性

　　如表1所列，高校网络群体一般可以分为学生群体、办公群体、家属群体。学生群体较熟练掌握计算机的使用，网络使用频繁，数据流量大、局域网内数据交互频繁，隐藏大量网络攻击行为，如果针对这样群体部署PPPoE，要求BRAS有很大的业务处理能力，实施成本高；反之，如果部署802.1X话，网络利用率较高，实施成本比较低廉。办公群体以网页浏览、文档传输为主，对网络的要求是安全性高和带宽稳定，在办公场合部署PPPoE，则更方便管理，网络稳定性较高。家属群体是消费型的群体，用户间数据传输较少，用户希望能够根据自己的需求选择带宽，并愿意为此差别付费，因此部署PPPoE会更为合理。

　　PPPoE 同时管理了用户接入认证和用户数据传输，适用于对带宽管理要求较高的场合。802.1X 只对用户接入进行控制，适用于内部数据流量较大，用户带宽管理需求低的场合。两种认证的实施都要结合一定的网络安全手段，才能更好体现协议优势，防止协议漏洞引起的安全问题。PPPoE 的宽带接入服务器BRAS 和802.1X的认证服务器，都要做好DDOS攻击防御。

　　(作者单位为华南理工大学信息网络工程研究中心)