PPPoE與802.1X在校園網(wǎng)中的應(yīng)用分析

PPPoE和802.1X是較常見(jiàn)的兩種寬帶網(wǎng)絡(luò)接入認(rèn)證方式。兩種方法的用戶使用體驗(yàn)非常類似，但兩種協(xié)議卻有很大的差異，并帶來(lái)不同的優(yōu)缺點(diǎn)。本文分析了兩種協(xié)議在實(shí)際應(yīng)用中的特點(diǎn)以及在部署過(guò)程中可能引發(fā)的安全問(wèn)題，結(jié)合校園網(wǎng)絡(luò)的特點(diǎn)，提出兩種協(xié)議在校園網(wǎng)絡(luò)中的部署建議。

PPPoE和802.1X的分析

PPPoE(以太網(wǎng)上點(diǎn)對(duì)點(diǎn)協(xié)議，PPPover Ethernet)是在以太網(wǎng)上傳送PPP分組的協(xié)議，沿用了傳統(tǒng)PSTN窄帶撥號(hào)接入技術(shù)，同時(shí)也繼承了傳統(tǒng)PSTN窄帶撥號(hào)接入技術(shù)的特點(diǎn)。PPPoE 認(rèn)證系統(tǒng)由客戶端和寬帶接入服務(wù)器(BRAS)兩個(gè)實(shí)體組成，會(huì)話過(guò)程經(jīng)歷發(fā)現(xiàn)階段和會(huì)話階段。在發(fā)現(xiàn)階段，客戶端向網(wǎng)絡(luò)廣播尋找可以連接的BRAS，然后與選定的BRAS建立點(diǎn)對(duì)點(diǎn)邏輯鏈路；在會(huì)話階段，客戶端收發(fā)的數(shù)據(jù)包都經(jīng)過(guò)PPPoE封裝，并通過(guò)這唯一鏈路進(jìn)行傳輸，所有用戶網(wǎng)絡(luò)數(shù)據(jù)包都要經(jīng)過(guò)BRAS進(jìn)行PPPoE的封裝或解封裝，如圖1。

圖1 PPPoE組網(wǎng)示意圖

由于客戶端只通過(guò)與BRAS建立的點(diǎn)對(duì)點(diǎn)邏輯鏈路收發(fā)數(shù)據(jù)，所有認(rèn)證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流都必須通過(guò)BRAS，簡(jiǎn)化了接入安全和管理的工作。在局域網(wǎng)安全方面，減少了IP沖突、ARP攻擊；在用戶管理方面，可以進(jìn)行基于用戶的帶寬管理。PPPoE在當(dāng)前運(yùn)營(yíng)商接入網(wǎng)中得到廣泛的應(yīng)用，并且Windows系統(tǒng)自帶客戶端，更容易被用戶接受。

然而，PPPoE也存在幾方面問(wèn)題：第一，在網(wǎng)絡(luò)安全方面，存在廣播域的ARP攻擊，假冒BRAS騙取用戶賬號(hào)密碼等問(wèn)題；第二，在網(wǎng)絡(luò)穩(wěn)定方面，容易產(chǎn)生巨包被網(wǎng)絡(luò)中的節(jié)點(diǎn)丟棄，網(wǎng)絡(luò)在BRAS設(shè)備上容易形成單點(diǎn)瓶頸和故障；第三，在協(xié)議支持方面，PPPoE不支持組播BRAS需要將組播包單個(gè)封裝后轉(zhuǎn)發(fā)，組播數(shù)據(jù)流大量增加了BRAS的負(fù)擔(dān)；第四，在安全審計(jì)方面，BRAS只能記錄用戶的IP、MAC、登錄時(shí)間，無(wú)法進(jìn)行更詳細(xì)定位；第五，在計(jì)費(fèi)策略方面，無(wú)法實(shí)施分區(qū)域的收費(fèi)策略。

實(shí)際應(yīng)用中，部分PPPoE存在的問(wèn)題通過(guò)結(jié)合一定安全機(jī)制是可以得到解決的。在網(wǎng)絡(luò)安全問(wèn)題上，主要防止BRAS欺騙和廣播包占用帶寬，可以在接入交換機(jī)上配置MAC ACL，使以太網(wǎng)類型為0x8863(客戶端尋找BRAS廣播包的以太網(wǎng)類型)的廣播包只能轉(zhuǎn)發(fā)到上聯(lián)接口，同時(shí)采用多VLAN隔離廣播包或限制廣播包占用的帶寬。

在網(wǎng)絡(luò)穩(wěn)定方面，調(diào)整接入交換機(jī)最大傳輸單元參數(shù)，可以防止巨包被交換機(jī)丟棄；采用雙機(jī)熱備，或限制設(shè)備管理的網(wǎng)絡(luò)規(guī)模等方式，可以降低單點(diǎn)故障率。

圖2 802.1X認(rèn)證過(guò)程示意圖

802.1X協(xié)議是一種基于端口的接入控制協(xié)議。如圖2，802.1X認(rèn)證系統(tǒng)一般包含三個(gè)實(shí)體：客戶端(Supplicant)、認(rèn)證系統(tǒng)(authenticator system，通常為支持802.1X的接入交換機(jī))、認(rèn)證服務(wù)器(authenticatorserver)?？蛻舳讼蛘J(rèn)證系統(tǒng)發(fā)起接入請(qǐng)求；認(rèn)證服務(wù)器驗(yàn)證用戶賬戶，并通知認(rèn)證系統(tǒng)是否開(kāi)放業(yè)務(wù)數(shù)據(jù)接入端口。802.1X的認(rèn)證數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流是分開(kāi)的。在認(rèn)證前，客戶端只能發(fā)送認(rèn)證數(shù)據(jù)包，直接屏蔽了ARP 廣播；認(rèn)證成功后，對(duì)該主機(jī)開(kāi)放交換機(jī)端口的業(yè)務(wù)數(shù)據(jù)接入通道，不改變用戶的數(shù)據(jù)包格式和傳輸路徑。目前，大部分主流交換機(jī)均支持802.1X，可以較為方便地實(shí)施802.1X認(rèn)證的分布式部署。

在不結(jié)合其他機(jī)制的情況下，802.1X認(rèn)證會(huì)出現(xiàn)以下問(wèn)題：第一，接入交換機(jī)作為認(rèn)證者，只能綁定用戶主機(jī)的網(wǎng)卡物理地址MAC，只要MAC是通過(guò)認(rèn)證的數(shù)據(jù)包都被允許通過(guò)，因此IP沖突、ARP攻擊等各類局域網(wǎng)安全問(wèn)題依然存在；第二，802.1X無(wú)法進(jìn)行基于用戶的帶寬控制。

針對(duì)上述802.1X的問(wèn)題，大部分支持802.1X 的交換機(jī)同時(shí)也能夠從DHCP包中獲取主機(jī)IP地址，因此可以在部署了DHCP 的情況下，實(shí)現(xiàn)IP+MAC+端口的綁定，解決IP沖突、ARP攻擊等網(wǎng)絡(luò)安全問(wèn)題。在使用固定IP的情況下，目前部分廠商交換機(jī)可以通過(guò)私有機(jī)制使認(rèn)證交換機(jī)獲取用戶IP地址，但通常要求認(rèn)證系統(tǒng)和交換機(jī)是由同個(gè)廠商提供才能實(shí)現(xiàn)該功能。

兩種協(xié)議在高校網(wǎng)絡(luò)中應(yīng)用的建議

校園網(wǎng)中用戶數(shù)龐大，局域網(wǎng)內(nèi)數(shù)據(jù)交換多且頻繁，如文件傳輸、局域網(wǎng)游戲；校內(nèi)資源豐富，希望達(dá)到高速資源共享，如校園數(shù)據(jù)中心資源、圖書(shū)館資源等；網(wǎng)絡(luò)應(yīng)用復(fù)雜，組播流量大，特別是視頻流量；用戶群活躍，喜歡嘗試對(duì)網(wǎng)絡(luò)的攻擊；不同區(qū)域的用戶群體不同，網(wǎng)絡(luò)流量特征有差別，管理需求相異。

從前面的分析可以總結(jié)出PPPoE認(rèn)證更側(cè)重于管理，802.1X認(rèn)證則可以更好維護(hù)網(wǎng)絡(luò)性能。校園網(wǎng)中認(rèn)證模式可以基于用戶群體特點(diǎn)和管理需求進(jìn)行選擇。

表1 高校中不同群體網(wǎng)絡(luò)流量的特性

如表1所列，高校網(wǎng)絡(luò)群體一般可以分為學(xué)生群體、辦公群體、家屬群體。學(xué)生群體較熟練掌握計(jì)算機(jī)的使用，網(wǎng)絡(luò)使用頻繁，數(shù)據(jù)流量大、局域網(wǎng)內(nèi)數(shù)據(jù)交互頻繁，隱藏大量網(wǎng)絡(luò)攻擊行為，如果針對(duì)這樣群體部署PPPoE，要求BRAS有很大的業(yè)務(wù)處理能力，實(shí)施成本高；反之，如果部署802.1X話，網(wǎng)絡(luò)利用率較高，實(shí)施成本比較低廉。辦公群體以網(wǎng)頁(yè)瀏覽、文檔傳輸為主，對(duì)網(wǎng)絡(luò)的要求是安全性高和帶寬穩(wěn)定，在辦公場(chǎng)合部署PPPoE，則更方便管理，網(wǎng)絡(luò)穩(wěn)定性較高。家屬群體是消費(fèi)型的群體，用戶間數(shù)據(jù)傳輸較少，用戶希望能夠根據(jù)自己的需求選擇帶寬，并愿意為此差別付費(fèi)，因此部署PPPoE會(huì)更為合理。

PPPoE 同時(shí)管理了用戶接入認(rèn)證和用戶數(shù)據(jù)傳輸，適用于對(duì)帶寬管理要求較高的場(chǎng)合。802.1X 只對(duì)用戶接入進(jìn)行控制，適用于內(nèi)部數(shù)據(jù)流量較大，用戶帶寬管理需求低的場(chǎng)合。兩種認(rèn)證的實(shí)施都要結(jié)合一定的網(wǎng)絡(luò)安全手段，才能更好體現(xiàn)協(xié)議優(yōu)勢(shì)，防止協(xié)議漏洞引起的安全問(wèn)題。PPPoE 的寬帶接入服務(wù)器BRAS 和802.1X的認(rèn)證服務(wù)器，都要做好DDOS攻擊防御。