802.1x技术在校园以太网中应用
http://www.edu.cn 2005-06-01 作者:陈沁群 陈素 周丹云2014年高等教育信息化十大“... 01-04 教育部成立教育信息化专家组 12-24
CERNET第二十一届学术年会 11-24 李志民:互联网促进人类文明... 11-15
|
实现方法利弊 以太网上扩展802.1x应用的途径一般有两种:通过扩展EAPOL帧的EAP类型域和通过与SNMP协议结合。 通过扩展EAPOL帧的EAP类型域,利用EAP帧携带更多的相关信息。这种做法一般网络设备生产商使用得更多,通过定义自己私有的EAP帧,使该帧携带相关设备控制信息,在发送认证结果的同时把相关控制信息一并附带发送。 通过和SNMP协议结合,在进行802.1x认证时,利用SNMP代理对相关的网络设备进行管理控制,实现其扩展应用。系统结构可参照图3。 “802.1x认证模块”,一般是通过RADIUS服务器,负责进行802.1x认证,可用如OPEN1X这类软件;“网络管理策略模块”,一般需要自己开发相关程序,负责根据“802.1x认证模块”传送过来的认证用户信息调用既定的管理策略,并把管理策略传递给“SNMP网络管理模块”;“SNMP网络管理模块”可使用如SNMP++BROWSER等软件作相关修改后实现,接受来自“网络管理策略模块”的管理策略,按策略对网络设备进行管理。 这两种方法各有利弊。第一种途径的结构非常简单,对于厂商来说易于实现,而且由于没加入其他的模块,其实现效率也会有很大优势。由于实现的时候不需要考虑各模块之间的协作问题,其实际工作的可靠性会更强,系统的耦合性也更强。但是,这种实现方式最大的问题是涉及到网络设备的嵌入式开发,所以需要厂家直接参与,第三方很难介入。而不同的厂商有不同的实现方式,没有任何标准可循,将导致一个系统难以兼容多种设备。第二种途径实现起来比较复杂,效率等方面都不如第一种途径,但是SNMP和802.1x都是标准协议,第三方开发比较方便,而且SNMP和802.1x都有开源的免费软件实现,便于高校进行教学研究。 市场观望难挡主流之路 所有上述的扩展应用都没有统一的标准,因此造成各厂商产品之间要么只能实现标准802.1x功能,要么实现扩展功能但与其他厂商产品互不兼容,而第三方软件开发机构因为担心重复投资,仍保持谨慎观望的态度,因而没有相应具备扩展功能的产品推出。 802.1x在以太网上的应用处于起步阶段,绝大多数支持802.1x的网络设备都只是支持EAP-MD5类型的认证方式,但MD5是单向简单认证,其安全性较低,由此降低了其相关扩展应用的可行性。 多种扩展功能都需要接入交换机,即俗称的“二层半”的接入交换机,这类交换机刚推出不久,其价格仍处于较高的水平,部分用户难以负担。 虽然如此,由于以太网的发展,网内数据流量的激增,对网络管理控制的需求提高,802.1x仍将逐步成为主流的网络认证方式。关于第一个难点,市场的壮大必定促使厂商之间互相协商解决扩展应用的兼容性问题,或使第三方机构通过SNMP+802.1x的方式或其他方式提供更好的扩展应用系统。对于第二个难点,随着802.1x认证在以太网上应用的成熟,支持如EAP-TLS等类型认证方式的交换设备也很快会普及。而随着技术的成熟和市场的扩大,其价格必定下降至绝大多数用户能接受的范围,第三个难点也会得以解决。 现在,越来越多的高校网络设计人员都意识到802.1x非常适合作为快速以太网的认证接入方式,在资金允许的情况下,越来越多高校组网时首选802.1x作为接入认证方式,如能在其扩展应用上提供更完善更高兼容性的产品,对用户的实际使用及产品的迅速推广都将能提供很好的帮助。 (作者单位:广州中医药大学) |
- 2005-09-21“超级”以太网—VPLS技术及应用
- 2005-12-16瑞通的城域以太网技术

