| 出版日期:2003-08-11 总期号:1240 本年期号:59 |
|
 |
部署认证的校园网
大部分高校在规划校园网时,已计划将网络覆盖至学生宿舍区以及教师家属区,向在校学生及教职工提供园区内部互连以及Internet接入服务。随之而来的网络运营和安全,要求以太网能够进行管理,其具体管理方式是通过AAA架构来进行的。目前主要的认证技术有PPPoE、Web+Portal、IEEE802.1x。
PPPoE是传统PSTN窄带拨号接入技术在以太网接入技术的延伸,和原有窄带网络用户接入认证体系一致,最终用户相对比较容易接受。但是,它和Ethernet本质上存在差异,其封装效率很低。PPPoE在发现阶段会产生大量的广播流量,对网络性能产生影响,组播业务开展困难,而视频业务大部分是基于组播的。它需要运营商提供客户终端软件,维护工作量过大。而且,PPPoE认证一般需要外置BAS,容易造成单点瓶颈和故障,而且该设备通常非常昂贵。 Portal认证不需要特殊的客户端软件,可降低网络维护工作量,并可以提供Portal等业务认证。但是,Web承载在七层协议上,对于设备的要求较高,建网成本高;用户连接性差,不容易检测用户离线,基于时间的计费较难实现;易用性不够好,用户在访问网络前,必须使用浏览器进行Web认证;IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持;认证前后业务流和数据流无法区分。 802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。它通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。但是,802.1x协议除需要特定客户端软件之外,还存在一些问题。由于802.1x是新协议,现有楼道交换机需要升级。它是二层协议,存在IP地址分配和网络安全问题,单靠交换机+802.1x无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题。而且,802.1x协议不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
