【文章內(nèi)容簡介】 知。網(wǎng)絡(luò)管理員應(yīng)根據(jù)實際變化對AP的數(shù)量和分布作出調(diào)整。總之，良好的WLAN設(shè)計不僅可以保證較好的服務(wù)質(zhì)量，也可以減少AP的使用數(shù)量從而節(jié)約成本，其前提是事先經(jīng)過充分的實地測量和評估。5) 用戶認證管理核心技術(shù)（PPPoE、WEB、DHCP）解決方案　　認證可稱AAA，包含三個方面： Authentication鑒別、Authorization授權(quán)、Accounting計費。Radius協(xié)議是用來解決AAA的，現(xiàn)在用得最廣，成為事實上的標(biāo)準(zhǔn)。 　　用戶主機與網(wǎng)絡(luò)設(shè)備的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面會專門介紹這三種方式。 　　網(wǎng)絡(luò)設(shè)備與AAA Server的通信協(xié)議：采用標(biāo)準(zhǔn)的Radius協(xié)議，為實現(xiàn)增強功能，可采用擴展的Radius協(xié)議，即俗稱Radius+；網(wǎng)絡(luò)設(shè)備與AAA Server通過Radius協(xié)議的認證的簡要過程如下： 1) 網(wǎng)絡(luò)設(shè)備向AAA Server發(fā)出Access Request包，其中包含用戶的賬號、密碼、 端口號、埠類型等； 2) AAA Server向網(wǎng)絡(luò)設(shè)備回送Access Response包，其中包含用戶的合法性和用戶的一些設(shè)置，如IP地址，屏蔽，DNS server，上網(wǎng)帶寬，上網(wǎng)時段等；3) 網(wǎng)絡(luò)設(shè)備不斷向AAAServer發(fā)送計費消息包，這些消息包可以反映出上網(wǎng)開始時間，上網(wǎng)結(jié)束時間，輸入輸出流量，Session ID、賬號等； 三種認證方式在無線寬帶接入中，按用戶與網(wǎng)絡(luò)設(shè)備之間的通信方式，可將認證分為以下三種： （1）PPPoE（包PPPoA、PPTP等） （2）DHCP/DHCP+ （3）Web認證 PPPoE認證 　　通過PPPoE（PointtoPoint Protocol over Ethernet）協(xié)議，服務(wù)提供商可以在無線以太網(wǎng)上實現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。(說明:PPPoE（PointtoPoint Protocol over Ethernet）協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。) 　　PPPoE的建立需要兩個階段，分別是搜尋階段（Discovery stage）和點對點對話階段（PPP Session stage）。當(dāng)一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號（SESSION_ID）。 　　在PPP協(xié)議定義了一個端對端的關(guān)系時，搜尋階段是一個客戶 服務(wù)器的關(guān)系。在搜尋階段的進程中，主機（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓撲中，主機能與之通信的可能有不只一個網(wǎng)絡(luò)設(shè)備。在搜尋階段，主機可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個。當(dāng)搜索階段順利完成，主機和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息。 　　搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網(wǎng)絡(luò)設(shè)備都必須為點對點對話階段虛擬接口提供資源。PPPoE一般用于卡號用戶，卡號用戶的賬號和密碼是通過PPPoE拔號軟件輸入的，費用也從輸入的賬號上扣。 　　PPPoE認證主要利用PPP的一些屬性，與它類似的認證方式還有PPPoA、PPTP、L2TP等。相比之下，PPPoE應(yīng)用最普遍。 DHCP認證 　　DHCP的認證過程如下： 　　用戶主機上電，發(fā)出DHCP Requst廣播包；該包到達網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備得到用戶的Vlan ID，根據(jù)Vlan ID查表得到用戶的認證賬號。將認證賬號送到Radius Server認證。Radius server返回認證回應(yīng)。 　　用戶上internet，有流量流經(jīng)網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備檢測到用戶的上網(wǎng)流量，向Radius server發(fā)計費開始的消息包。 　　關(guān)機時，用戶主機會發(fā)出DHCP Release包；該包達到網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備將向Radius server發(fā)一個終止計費的消息包，該包同時也包含了用戶的流量。計費結(jié)束。 　　DHCP認證適合固定用戶。Web認證 　　認證步驟如下： 用戶機器上電啟動，系統(tǒng)程序根據(jù)配置，通過DHCP由ISN做DHCPRelay，向DHCP Server 要IP地址（私網(wǎng)或公網(wǎng)）； ISN為該用戶構(gòu)造對應(yīng)表項信息（基于端口號、IP），添加用戶ACL服務(wù)策略（讓用戶只能訪問portal server和一些內(nèi)部服務(wù)器，個別外部服務(wù)器如DNS）； Portal server向用戶提供認證頁面。在該頁面中，用戶輸入賬號和口令，并單擊log in按鈕。也可不輸入由賬號和口令，直接單擊Log in按鈕； 該按鈕啟動portal server上的Java程序，該程序?qū)⒂脩粜畔ⅲ↖P地址，賬號和口令）送給網(wǎng)絡(luò)中心設(shè)備ISN； ISN8850利用IP地址將收到用戶的信息，對用戶的合法性進行檢查。便于以后的合法性檢查。如果用輸入了賬號，則認為是卡號用戶，使用用戶輸入的賬號和口令到Radius server對用戶進行認證。如果用戶未輸入賬號，則認為用戶是固定用戶，網(wǎng)絡(luò)設(shè)備利用Vlan ID（或PVC ID）查用戶表得到用戶的賬號和口令。將賬號送到Radius server進行認證； Radius Server返回認證結(jié)果給網(wǎng)絡(luò)設(shè)備； 認證通過后，修改該用戶的ACL，用戶可以訪問外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)。 用戶離開網(wǎng)絡(luò)前，連接到portal server上，單擊斷開網(wǎng)絡(luò)按鈕。系統(tǒng)停止計費，刪除用記的ACL和轉(zhuǎn)發(fā)信息，限制用戶不能訪問外部網(wǎng)絡(luò)。 在以上過程中，要注意檢測用戶非正常離開網(wǎng)絡(luò)的情況，如用戶主機死機，網(wǎng)絡(luò)斷掉，直接關(guān)機等。華為公司提供多種專利檢測辦法，如根據(jù)流量進行判斷，通過測試用戶主機是否正常運作進行判斷等。 一 前言　　隨著寬帶以太網(wǎng)建設(shè)規(guī)模的迅速擴大，網(wǎng)絡(luò)上原有的認證系統(tǒng)已經(jīng)不能很好的適應(yīng)用戶數(shù)量急劇增加和寬帶業(yè)務(wù)多樣性的要求。、管理功能，很好地支撐寬帶網(wǎng)絡(luò)的計費、安全、運營和管理要求，對無線寬帶IP城域網(wǎng)等電信級網(wǎng)絡(luò)的運營和管理具有極大的優(yōu)勢。，解決了傳統(tǒng)PPPOE和WEB/PORTAL認證方式帶來的問題，更適合在寬帶以太網(wǎng)中的使用。，引發(fā)了業(yè)界討論，引起了各廠商的關(guān)注，受到了廣大ISP的歡迎；國內(nèi)外各大寬帶設(shè)備廠商紛紛做好了準(zhǔn)備，以迎接新認證時代的到來。二 　　IEEE 稱為基于端口的訪問控制協(xié)議（Port based network access control protocol）。IEEE ：Supplicant System客戶端、Authenticator System認證系統(tǒng)、Authentication Server System認證服務(wù)器?！　】蛻舳讼到y(tǒng)：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件。為支持基于埠的接入控制，客戶端系統(tǒng)需支持EAPOL（Extensible Authentication Protocol Over LAN）協(xié)議。　　認證系統(tǒng)：。該設(shè)備對應(yīng)于不同用戶的端口（可以是物理端口，也可以是用戶設(shè)備的MAC地址、VLAN、IP等）有兩個邏輯端口：受控（controlled Port）埠和不受控埠（uncontrolled Port）。不受控埠始終處于雙向連通狀態(tài)，主要用來傳遞 EAPOL 協(xié)議封包，可保證客戶端始終可以發(fā)出或接受認證。受控埠只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。如果用戶未通過認證，則受控埠處于未認證狀態(tài)，則用戶無法訪問認證系統(tǒng)提供的服務(wù)。 　　認證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶的信息，比如用戶所屬的VLAN、CAR參數(shù)、優(yōu)先級、用戶的訪問控制列表等等。當(dāng)用戶通過認證后，認證服務(wù)器會把用戶的相關(guān)信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管。認證服務(wù)器和RADIUS服務(wù)器之間通過EAP協(xié)議進行通信?！　∫韵聢D為例圖中認證系統(tǒng)的受控端口處于未認證狀態(tài)，因此無法訪問認證系統(tǒng)提供的服務(wù)。 EAP：Extensible Authentication Protocol　　 EAPOL：Extensible Authentication Protocol OVER LAN　　注意的是，可控埠與非可控端口是邏輯上的理解，設(shè)備內(nèi)部并不存在這樣的物理開關(guān)。對于每個用戶而言，該邏輯信道其它用戶無法使用，不存在端口打開后被其它用戶利用問題?！　?，目前微軟公司也在其Windows操作系統(tǒng)中的最新版Windows ，用戶無需要另外安裝客戶端軟件。三 實現(xiàn)簡單 ，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。認證和業(yè)務(wù)分離　　可控埠和不可控端口的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由Radius和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控埠進行交換；所以通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。認證系統(tǒng)簡化了PPPOE方式中對每個數(shù)據(jù)包進行拆包和封裝等繁瑣的工作，所以802 .1x封裝效率高，消除了網(wǎng)絡(luò)瓶頸；同時，因此認證處理容量可以很大，遠遠高于傳統(tǒng)的BAS，無需要購買昂貴設(shè)備，降低了建網(wǎng)成本；用戶通過認證后，業(yè)務(wù)流和認證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求，業(yè)務(wù)可以很靈活，尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢，所有業(yè)務(wù)都不受認證方式限制。認證方式的比較 　　 （EAPOW），但是，它在以太網(wǎng)中的引入，解決了傳統(tǒng)的PPPOE和WEB/PORTAL認證方式帶來的問題，消除了網(wǎng)絡(luò)瓶頸，簡輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本。 眾所周知，PPPOE是從基于ATM的窄帶網(wǎng)引入到寬帶以太網(wǎng)的，由此可以看出，PPPOE并不是為寬帶以太網(wǎng)量身定做的認證技術(shù)，將其應(yīng)用于寬帶以太網(wǎng)，必然會有其局限性，雖然其方式較靈活，在窄帶網(wǎng)中有較豐富的應(yīng)用經(jīng)驗，但是，它的封裝方式，也造成了寬帶以太網(wǎng)的種種等問題。在PPPOE認證中，認證系統(tǒng)必須將每個包進行拆解才能判斷和識別用戶是否合法，一旦用戶增多或者數(shù)據(jù)包增大，封裝速度必然跟不上，成為了網(wǎng)絡(luò)瓶頸；其次這樣大量的拆包解包過程必須由一個功能強勁同時價格昂貴的設(shè)備來完成，這個設(shè)備就是我們傳統(tǒng)的BAS，每個用戶發(fā)出的每個數(shù)據(jù)包BAS必須進行拆包識別和封裝轉(zhuǎn)發(fā)；為了解決瓶頸問題，廠商想出了提高BAS性能，或者采用大量分布式BAS等方式來解決問題，但是BAS的功能就決定了它是一個昂貴的設(shè)備，這樣一來建設(shè)成本就會越來越高?！　EB/PORTAL認證是基于業(yè)務(wù)類型的認證，不需要安裝其它客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于WEB認證走的是7層協(xié)議，從邏輯上來說為了達到網(wǎng)絡(luò)2層的連接而跑到7層做認證，這首先不符合網(wǎng)絡(luò)邏輯。其次由于認證走的是7層協(xié)議，對設(shè)備必然提出更高要求，增加了建網(wǎng)成本。第三，WEB是在認證前就為用戶分配了IP地址，對目前網(wǎng)絡(luò)珍貴的IP地址來說造成了浪費，而且分配IP地址的DHCP對用戶而言是完全裸露的，容易造成被惡意攻擊，一旦受攻擊癱瘓，整網(wǎng)就沒法認證；為了解決易受攻擊問題，就必須加裝一個防火墻，這樣一來又大大增加了建網(wǎng)成本。 WEB/PORTAL認證用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)；用戶在訪問網(wǎng)絡(luò)前，不管是 TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進行WEB認證，易用性不夠好；而且認證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。所以，在以太網(wǎng)中，WEB/PORTAL認證目前只是限于在酒店,校園等網(wǎng)絡(luò)環(huán)境中使用?！　EEE ，一經(jīng)推出就引起了廣大網(wǎng)絡(luò)設(shè)備制造商的重視?？梢哉f，在這一方面，我公司開發(fā)的比一般早，在業(yè)界內(nèi)率先推出了包括客戶端