实现方法利弊

　　以太网上扩展802.1x应用的途径一般有两种：通过扩展EAPOL帧的EAP类型域和通过与SNMP协议结合。

　　通过扩展EAPOL帧的EAP类型域，利用EAP帧携带更多的相关信息。这种做法一般网络设备生产商使用得更多，通过定义自己私有的EAP帧，使该帧携带相关设备控制信息，在发送认证结果的同时把相关控制信息一并附带发送。

　　通过和SNMP协议结合，在进行802.1x认证时，利用SNMP代理对相关的网络设备进行管理控制，实现其扩展应用。系统结构可参照图3。

　　“802.1x认证模块”，一般是通过RADIUS服务器，负责进行802.1x认证，可用如OPEN1X这类软件；“网络管理策略模块”，一般需要自己开发相关程序，负责根据“802.1x认证模块”传送过来的认证用户信息调用既定的管理策略，并把管理策略传递给“SNMP网络管理模块”；“SNMP网络管理模块”可使用如SNMP++BROWSER等软件作相关修改后实现，接受来自“网络管理策略模块”的管理策略，按策略对网络设备进行管理。

　　这两种方法各有利弊。第一种途径的结构非常简单，对于厂商来说易于实现，而且由于没加入其他的模块，其实现效率也会有很大优势。由于实现的时候不需要考虑各模块之间的协作问题，其实际工作的可靠性会更强，系统的耦合性也更强。但是，这种实现方式最大的问题是涉及到网络设备的嵌入式开发，所以需要厂家直接参与，第三方很难介入。而不同的厂商有不同的实现方式，没有任何标准可循，将导致一个系统难以兼容多种设备。第二种途径实现起来比较复杂，效率等方面都不如第一种途径，但是SNMP和802.1x都是标准协议，第三方开发比较方便，而且SNMP和802.1x都有开源的免费软件实现，便于高校进行教学研究。

　　市场观望难挡主流之路

　　所有上述的扩展应用都没有统一的标准，因此造成各厂商产品之间要么只能实现标准802.1x功能，要么实现扩展功能但与其他厂商产品互不兼容，而第三方软件开发机构因为担心重复投资，仍保持谨慎观望的态度，因而没有相应具备扩展功能的产品推出。

　　802.1x在以太网上的应用处于起步阶段，绝大多数支持802.1x的网络设备都只是支持EAP-MD5类型的认证方式，但MD5是单向简单认证，其安全性较低，由此降低了其相关扩展应用的可行性。

　　多种扩展功能都需要接入交换机，即俗称的“二层半”的接入交换机，这类交换机刚推出不久，其价格仍处于较高的水平，部分用户难以负担。

　　虽然如此，由于以太网的发展，网内数据流量的激增，对网络管理控制的需求提高，802.1x仍将逐步成为主流的网络认证方式。关于第一个难点，市场的壮大必定促使厂商之间互相协商解决扩展应用的兼容性问题，或使第三方机构通过SNMP+802.1x的方式或其他方式提供更好的扩展应用系统。对于第二个难点，随着802.1x认证在以太网上应用的成熟，支持如EAP-TLS等类型认证方式的交换设备也很快会普及。而随着技术的成熟和市场的扩大，其价格必定下降至绝大多数用户能接受的范围，第三个难点也会得以解决。

　　现在，越来越多的高校网络设计人员都意识到802.1x非常适合作为快速以太网的认证接入方式，在资金允许的情况下，越来越多高校组网时首选802.1x作为接入认证方式，如能在其扩展应用上提供更完善更高兼容性的产品，对用户的实际使用及产品的迅速推广都将能提供很好的帮助。

　　(作者单位：广州中医药大学)