PPPoE和802.1X是较常见的两种宽带网络接入认证方式。两种方法的用户使用体验非常类似,但两种协议却有很大的差异,并带来不同的优缺点。本文分析了两种协议在实际应用中的特点以及在部署过程中可能引发的安全问题,结合校园网络的特点,提出两种协议在校园网络中的部署建议。
PPPoE和802.1X的分析
PPPoE(以太网上点对点协议,PPPover Ethernet)是在以太网上传送PPP分组的协议,沿用了传统PSTN窄带拨号接入技术,同时也继承了传统PSTN窄带拨号接入技术的特点。PPPoE 认证系统由客户端和宽带接入服务器(BRAS)两个实体组成,会话过程经历发现阶段和会话阶段。在发现阶段,客户端向网络广播寻找可以连接的BRAS,然后与选定的BRAS建立点对点逻辑链路;在会话阶段,客户端收发的数据包都经过PPPoE封装,并通过这唯一链路进行传输,所有用户网络数据包都要经过BRAS进行PPPoE的封装或解封装,如图1。
图1 PPPoE组网示意图
由于客户端只通过与BRAS建立的点对点逻辑链路收发数据,所有认证数据流和业务数据流都必须通过BRAS,简化了接入安全和管理的工作。在局域网安全方面,减少了IP冲突、ARP攻击;在用户管理方面,可以进行基于用户的带宽管理。PPPoE在当前运营商接入网中得到广泛的应用,并且Windows系统自带客户端,更容易被用户接受。
然而,PPPoE也存在几方面问题:第一,在网络安全方面,存在广播域的ARP攻击,假冒BRAS骗取用户账号密码等问题;第二,在网络稳定方面,容易产生巨包被网络中的节点丢弃,网络在BRAS设备上容易形成单点瓶颈和故障;第三,在协议支持方面,PPPoE不支持组播BRAS需要将组播包单个封装后转发,组播数据流大量增加了BRAS的负担;第四,在安全审计方面,BRAS只能记录用户的IP、MAC、登录时间,无法进行更详细定位;第五,在计费策略方面,无法实施分区域的收费策略。
实际应用中,部分PPPoE存在的问题通过结合一定安全机制是可以得到解决的。在网络安全问题上,主要防止BRAS欺骗和广播包占用带宽,可以在接入交换机上配置MAC ACL,使以太网类型为0x8863(客户端寻找BRAS广播包的以太网类型)的广播包只能转发到上联接口,同时采用多VLAN隔离广播包或限制广播包占用的带宽。
在网络稳定方面,调整接入交换机最大传输单元参数,可以防止巨包被交换机丢弃;采用双机热备,或限制设备管理的网络规模等方式,可以降低单点故障率。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。