 |
问答管理员:
已解决问题
关闭所有答案回应
最佳答案
最佳答案说来话长
1. 最早的时候,BRAS和DSLAM都是基于ATM的,当时能够利用的成熟的认证计费技术就只有PPP,打下了一个底。华为的8850一开始就奔着ATM做的,后来被GW逼着改路线的,不过基础打歪了,能力有限。华为的MA5100也是走错道了。
2. GW看到了IP的趋势,首先启动IPDSLAM的研发,后来启动了ESR80 IP BRAS的研发。这两个产品逼迫华为研发MA5300/MA5600 DSLAM,以及MA5200G BRAS。当时的技术基础依然无法有效实现802.1X,这样最自然的选择就PPPOE,至此PPPOE渐成气候。
3. GW推广LAN介入,这个时候楼道交换机已经具备了802.1X的技术基础,GW也开始推广802.1X搅局。无奈当时的IP/以太网技术作为新生事物让电信网通的规划运维人员头大,最主要的问题在于当时还没有想出来每用户每VLAN的部署方式,N多用户处于一个VLAN内,当时又不支持L2隔离,广播泛滥病毒泛滥,尤其是当时防病毒技术也超烂,运维人员对于LAN部署简直就是焦头烂额,搞了LAN已经够倒霉了,再搞什么鸟802.1X就成SB了,自然人人倾心已经成熟应用的PPPOE,至此PPPOE成为江湖一哥,地位无人能够撼动。
4. FTTB/FTTH的部署,让技术派又想起来了802.1X,屁股坐在接入网的懂数通的兄弟(接入网的很多兄弟出身话音交换机,对IP以太网的理解当年很是不敢恭维),难免对数通的肥肉虎视眈眈,无奈多数接入网的兄弟既懵懂无知又不思进取(包括HW和ZTE的),外边一片太平公司也不允许公司内部掐架把到嘴的肥肉搞没了。电信网通的傻鸟们自然也不会无中生有给自己添麻烦,最终FTTB/FTTH沿用既有的认证计费方式,至此PPPOE一发不可收拾。
5. 如今BRAS是H/E/J,最近据说又搅和进Z,江湖大佬相安无事,一起把技术门槛磊的天高,有用没用的功能都往BRAS上堆砌,总之其他厂商甭想分一杯羹,这样才能把价钱维持住,至此再无人挑战PPPOE。
6. WLAN再一次把802.1X摆在运营商面前作为选择,结果电信那帮不成材的又是继承传统,竟然在无线上搞PPPOE。幸好移动还算争气,没有历史包袱,开始推广EAP-SIM/PEAP。
归根结底,作为技术派虽然骂骂电信(网通就省省力气吧),但PPPOE已经是一种强大的习惯的力量,
1)众多用户熟悉,并略知一二;
2)运维人员习惯这种组网;
所以唯技术派只能过过嘴瘾,技术选择毕竟是服务于业务运营的。
PPPOE的技术劣势:
1. 增加了无谓的封装开销,导致效率降低;增加分片处理的开销;
2. 作为一个有连接的技术,导致系统实现的成本高;
3. 支持组播困难,当然组播也是一个伪需求和比较扯淡的技术;
总之这个技术现在看就是脱裤子放屁多此一举。
PPPOE当年的必要性:
1. 在广播域内创造了点对点的连接,实现了用户的识别和隔离;-------- 现在通过VLAN以及QINQ已经解决了一样的问题;叠加在一起就是多此一举。
2. 解决了计时计费的问题,有明确的用户可理解的上线、下线操作。-------- 802.1X同样可以解决。
总结一句话,不是802.1X不好,是生不逢时。PPPOE虽然不完美,但存在的就是合理的。
顺便骂一句,WLAN搞PPPOE就有点二逼青年了。
1. 最早的时候,BRAS和DSLAM都是基于ATM的,当时能够利用的成熟的认证计费技术就只有PPP,打下了一个底。华为的8850一开始就奔着ATM做的,后来被GW逼着改路线的,不过基础打歪了,能力有限。华为的MA5100也是走错道了。
2. GW看到了IP的趋势,首先启动IPDSLAM的研发,后来启动了ESR80 IP BRAS的研发。这两个产品逼迫华为研发MA5300/MA5600 DSLAM,以及MA5200G BRAS。当时的技术基础依然无法有效实现802.1X,这样最自然的选择就PPPOE,至此PPPOE渐成气候。
3. GW推广LAN介入,这个时候楼道交换机已经具备了802.1X的技术基础,GW也开始推广802.1X搅局。无奈当时的IP/以太网技术作为新生事物让电信网通的规划运维人员头大,最主要的问题在于当时还没有想出来每用户每VLAN的部署方式,N多用户处于一个VLAN内,当时又不支持L2隔离,广播泛滥病毒泛滥,尤其是当时防病毒技术也超烂,运维人员对于LAN部署简直就是焦头烂额,搞了LAN已经够倒霉了,再搞什么鸟802.1X就成SB了,自然人人倾心已经成熟应用的PPPOE,至此PPPOE成为江湖一哥,地位无人能够撼动。
4. FTTB/FTTH的部署,让技术派又想起来了802.1X,屁股坐在接入网的懂数通的兄弟(接入网的很多兄弟出身话音交换机,对IP以太网的理解当年很是不敢恭维),难免对数通的肥肉虎视眈眈,无奈多数接入网的兄弟既懵懂无知又不思进取(包括HW和ZTE的),外边一片太平公司也不允许公司内部掐架把到嘴的肥肉搞没了。电信网通的傻鸟们自然也不会无中生有给自己添麻烦,最终FTTB/FTTH沿用既有的认证计费方式,至此PPPOE一发不可收拾。
5. 如今BRAS是H/E/J,最近据说又搅和进Z,江湖大佬相安无事,一起把技术门槛磊的天高,有用没用的功能都往BRAS上堆砌,总之其他厂商甭想分一杯羹,这样才能把价钱维持住,至此再无人挑战PPPOE。
6. WLAN再一次把802.1X摆在运营商面前作为选择,结果电信那帮不成材的又是继承传统,竟然在无线上搞PPPOE。幸好移动还算争气,没有历史包袱,开始推广EAP-SIM/PEAP。
归根结底,作为技术派虽然骂骂电信(网通就省省力气吧),但PPPOE已经是一种强大的习惯的力量,
1)众多用户熟悉,并略知一二;
2)运维人员习惯这种组网;
所以唯技术派只能过过嘴瘾,技术选择毕竟是服务于业务运营的。
PPPOE的技术劣势:
1. 增加了无谓的封装开销,导致效率降低;增加分片处理的开销;
2. 作为一个有连接的技术,导致系统实现的成本高;
3. 支持组播困难,当然组播也是一个伪需求和比较扯淡的技术;
总之这个技术现在看就是脱裤子放屁多此一举。
PPPOE当年的必要性:
1. 在广播域内创造了点对点的连接,实现了用户的识别和隔离;-------- 现在通过VLAN以及QINQ已经解决了一样的问题;叠加在一起就是多此一举。
2. 解决了计时计费的问题,有明确的用户可理解的上线、下线操作。-------- 802.1X同样可以解决。
总结一句话,不是802.1X不好,是生不逢时。PPPOE虽然不完美,但存在的就是合理的。
顺便骂一句,WLAN搞PPPOE就有点二逼青年了。
|
回应该答案 (1) |
回答时间:2012-7-10 19:59其他答案 ( 45 条 )
好像802.1x是二层的协议。AD认证要经过三层,用PPPOE咯。校园网等局域网用802.1x就好像比较多。个人理解,不知对错
PPPoE好像管理起来方便(计费什么之类的)
客户端方面也简单
客户端方面也简单
现在WIFI不好计费的原因可能就出在这里。PPPOE应当更成熟吧。
PPPoE控制流量好轻松
:lol 管理方便
PPPOE能够有效管理IP地址、预防ARP攻击。802.1x不适用家庭快餐式生活理念吧,虽然比PPPOE更方便,但是不适用高速宽带就是内伤。
802.1x只是控制面,认证后数据就与以太网没啥区别了,不能做到每用户隔离开。
而pppoe每个用户都有独立的pppoe的封装,相当于每个用户都是隔离的.
而pppoe每个用户都有独立的pppoe的封装,相当于每个用户都是隔离的.
学习了,记得在学校里用的就是802,1x的,现在工作了是PPPOE
PPPoE全称Point to Point Protocol over Ethernet
PPPoE全称Point to Point Protocol over Ethernet,意思是基于以太网的点对点协议。实质是以太网和拨号网络之间的一个中继协议,所以在网络中,它的物理结构与原来的LAN接入方式没有任何变化,只是用户需要在保持原接入方式的基础上,安装一个PPPoE客户端(这个是通用的)。之所以采用该方式给小区计时/计流量用户,是方便计算时长和流量。
PPPoE全称Point to Point Protocol over Ethernet,意思是基于以太网的点对点协议。实质是以太网和拨号网络之间的一个中继协议,所以在网络中,它的物理结构与原来的LAN接入方式没有任何变化,只是用户需要在保持原接入方式的基础上,安装一个PPPoE客户端(这个是通用的)。之所以采用该方式给小区计时/计流量用户,是方便计算时长和流量。
PPPoE对单个。。。网页认证对多个。。。
很简单 ,PPPOE客户端WINDOWS自带 并且配置方便,易于集中管理,计费认证比较方便,安全性也比802.1x安全得多
802.1x协议的缺陷
1、网络现有楼道交换机的问题:由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题;
2、IP地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
3、计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
1、网络现有楼道交换机的问题:由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题;
2、IP地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
3、计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
802.1用在FTTH上了
作为研发人员,我知道802.1X从设计上来看就是要弥补ADSL在宽带认证的不足,也就是说,它比PPPOE要更适合宽带接入控制。
为什么运营商没有采用802.1x?简单来说,是运营商原有采用PPPOE的网络暂时还能满足其需求。以前的DSLAM支持PPPOE,不支持802.1X;而DOT1X是最近这两年在DSLAM上才做起来。离用户较近的中低端太网交换机一般来说支持DOT1X,不支持PPPOE,PPPOE只是一个透传(顶多支持一个PPPOE+)。至于楼上说的,DOT1X的许多缺陷,在我看来都是不存在,有好几种成熟方案可以解决这些问题!
为什么运营商没有采用802.1x?简单来说,是运营商原有采用PPPOE的网络暂时还能满足其需求。以前的DSLAM支持PPPOE,不支持802.1X;而DOT1X是最近这两年在DSLAM上才做起来。离用户较近的中低端太网交换机一般来说支持DOT1X,不支持PPPOE,PPPOE只是一个透传(顶多支持一个PPPOE+)。至于楼上说的,DOT1X的许多缺陷,在我看来都是不存在,有好几种成熟方案可以解决这些问题!
时间有先后啊,ADSL进来的早(lz的问题是针对内地运营商而言的,那么就只说内地运营商),那个时候以太网还很弱的说,对于运营商这种认证点高,用户量大的运营需求,自然是PPPoE适合啦。
谁知道后来以太网发展那么快啊,1X说白了还是搭乘以太网高速发展的快车起来的,主要是在校园网接入,因为各个校园开始建设接入网络的时候,以太网正大行其道,而且校园网相对规模较小,认证点位子较低,用户量也小一些,用1X勉勉强强够啦。
话说回来了,当年某NB厂商刚开始在校园网部署1X的时候,那个性能啊,实在不好意思拿出手,并发用户稍微多一点就瘫了,掉线率居高不下,估计也就学生比较好对付,所以没闹啥事儿,要搁运营商.....
谁知道后来以太网发展那么快啊,1X说白了还是搭乘以太网高速发展的快车起来的,主要是在校园网接入,因为各个校园开始建设接入网络的时候,以太网正大行其道,而且校园网相对规模较小,认证点位子较低,用户量也小一些,用1X勉勉强强够啦。
话说回来了,当年某NB厂商刚开始在校园网部署1X的时候,那个性能啊,实在不好意思拿出手,并发用户稍微多一点就瘫了,掉线率居高不下,估计也就学生比较好对付,所以没闹啥事儿,要搁运营商.....
PPPoE 重要的不是 oE,而是 PPP,那是经过很多年发展完善的一个协议族。接入协议并不是简单对用户做个一次性的认证就完了,还需要有链路层的协商控制,包括一些参数比如链路速率什么的协商、链路状态的检测(看看有没有掉线),以及网络层的控制,比如分配个IP地址什么的。
撇开 PPP 再另外搞一套也是可以的,但在用户管理上不能比 PPP 差太多,肯定不是一个 802.1X 能搞定的。
撇开 PPP 再另外搞一套也是可以的,但在用户管理上不能比 PPP 差太多,肯定不是一个 802.1X 能搞定的。
撇开 PPP 的话,网络层控制通常只能用 DHCP。但 DHCP 本来不是干这个的。有几年大家花了很多心思强化 DHCP,让 DHCP 可以携带很多参数,管很多事情。但链路层的东西 DHCP 还是不方便管。或者换句话说,如果真的把 DHCP 强化到很方便管理接入用户,那它大概就会变成另一个 PPP。
802.1x + DHCP + arp + (portal)的接入方式也曾经推过。但大家很快发现,其实根本用不着 802.1x 。802.1x 不能完成完整的用户认证,也不能保证用户间隔离,而它的端口使能功能可以被轻松替代。或许传统数通 lanswitch 之类的设备上感觉还有一定的作用,对电信接入设备如 DSLAM 来说端口使能简直是与生具来的。
所以 05年以后就没 802.1x 什么事了。DHCP 认证这条路倒是还有发展。
所以 05年以后就没 802.1x 什么事了。DHCP 认证这条路倒是还有发展。
pppoe便于设定控制用户带宽,能够有效区分隔离用户,控制比较灵活
遥想当年,就因为一个802.1X成就了当今一个上市公司。
每当我看到某些人的时候,我就在想:看你们当年干的那些事。当年你们要是搞了1X,现在风光的不就是你们了!
每当我看到某些人的时候,我就在想:看你们当年干的那些事。当年你们要是搞了1X,现在风光的不就是你们了!
管理方便等等原因:lol
撇开 PPP 的话,网络层控制通常只能用 DHCP。但 DHCP 本来不是干这个的。有几年大家花了很多心思强化 DHCP,让 DHCP 可以携带很多参数,管很多事情。但链路层的东西 DHCP 还是不方便管。或者换句话说,如果真的把 DHCP 强化到很方便管理接入用户,那它大概就会变成另一个 PPP。
pppoe便于设定控制用户带宽,能够有效区分隔离用户,控制比较灵活
pppOe主要还是为了管理方便吧。
802.1x是二层的协议 在管理和安全性上问题都比较大 用在城域网认证范围内缺陷还是有的 计费上的问题也没法解决
所以小范围使用还是可以的 全网用就有问题了
所以小范围使用还是可以的 全网用就有问题了
以我们公司使用的实际情况看,802.1x非常麻烦,尤其是h3c的拨号程序,实在是。。。都是眼泪啊
PPPOE使用传统的基于PPP的软件来管理一个不是使用串行线路而是使用类似于以太网的有向分组网络的连接。这种有登陆和口令的标准连接,方便了接入供应商的记费。并且,连接的另一端仅当PPPoE连接接通时才分配IP地址,所以允许IP地址的动态复用。
1、PPPOE应用时间长,使用简单,为用户所熟知,且没有发现PPPOE认证有什么不足之处。
2、802.1X基于端口的认证,PPPOE通过VBAS协议也可以实现。
2、802.1X基于端口的认证,PPPOE通过VBAS协议也可以实现。
802.1X认证,认证完成还要涉及到IP地址的获取,终端的管理等等!
并且一般802.1X一般都需要在接入交换机上做,环路,广播风暴,IP地址冲突等,真要用802.1X,相信运营商维护人员,每周都会疯几个。
802.1X更适合校园网,企事业单位的办公网等局域网。
PPPOE管理简单!实际就是Ethernet上的PPP,没有风险小,控制方便,带宽控制方便,易于维护,城域网目前看还是PPPOE更适合。
并且一般802.1X一般都需要在接入交换机上做,环路,广播风暴,IP地址冲突等,真要用802.1X,相信运营商维护人员,每周都会疯几个。
802.1X更适合校园网,企事业单位的办公网等局域网。
PPPOE管理简单!实际就是Ethernet上的PPP,没有风险小,控制方便,带宽控制方便,易于维护,城域网目前看还是PPPOE更适合。
pppoe 带认证
802.1x没有PPPOE成熟
刚开始就被忽悠了吧,PPPOE先入为主
刚开始就被忽悠了吧,PPPOE先入为主。
刚开始就被忽悠了吧,PPPOE先入为主。
刚开始就被忽悠了吧,PPPOE先入为主。
PPPOE先入为主吧,很多时候是市场决定格局的。
PPPoE与802.1X在校园网中的应用分析(转载,认为写得可以)
PPPoE和802.1X是较常见的两种宽带网络接入认证方式。两种方法的用户使用体验非常类似,但两种协议却有很大的差异,并带来不同的优缺点。本文分析了两种协议在实际应用中的特点以及在部署过程中可能引发的安全问题,结合校园网络的特点,提出两种协议在校园网络中的部署建议。
PPPoE和802.1X的分析
PPPoE(以太网上点对点协议,PPPover Ethernet)是在以太网上传送PPP分组的协议,沿用了传统PSTN窄带拨号接入技术,同时也继承了传统PSTN窄带拨号接入技术的特点。PPPoE 认证系统由客户端和宽带接入服务器(BRAS)两个实体组成,会话过程经历发现阶段和会话阶段。在发现阶段,客户端向网络广播寻找可以连接的BRAS,然后与选定的BRAS建立点对点逻辑链路;在会话阶段,客户端收发的数据包都经过PPPoE封装,并通过这唯一链路进行传输,所有用户网络数据包都要经过BRAS进行PPPoE的封装或解封装,如图1。
图1 PPPoE组网示意图
由于客户端只通过与BRAS建立的点对点逻辑链路收发数据,所有认证数据流和业务数据流都必须通过BRAS,简化了接入安全和管理的工作。在局域网安全方面,减少了IP冲突、ARP攻击;在用户管理方面,可以进行基于用户的带宽管理。PPPoE在当前运营商接入网中得到广泛的应用,并且Windows系统自带客户端,更容易被用户接受。
然而,PPPoE也存在几方面问题:第一,在网络安全方面,存在广播域的ARP攻击,假冒BRAS骗取用户账号密码等问题;第二,在网络稳定方面,容易产生巨包被网络中的节点丢弃,网络在BRAS设备上容易形成单点瓶颈和故障;第三,在协议支持方面,PPPoE不支持组播BRAS需要将组播包单个封装后转发,组播数据流大量增加了BRAS的负担;第四,在安全审计方面,BRAS只能记录用户的IP、MAC、登录时间,无法进行更详细定位;第五,在计费策略方面,无法实施分区域的收费策略。
实际应用中,部分PPPoE存在的问题通过结合一定安全机制是可以得到解决的。在网络安全问题上,主要防止BRAS欺骗和广播包占用带宽,可以在接入交换机上配置MAC ACL,使以太网类型为0x8863(客户端寻找BRAS广播包的以太网类型)的广播包只能转发到上联接口,同时采用多VLAN隔离广播包或限制广播包占用的带宽。
在网络稳定方面,调整接入交换机最大传输单元参数,可以防止巨包被交换机丢弃;采用双机热备,或限制设备管理的网络规模等方式,可以降低单点故障率。
图2 802.1X认证过程示意图
802.1X协议是一种基于端口的接入控制协议。如图2,802.1X认证系统一般包含三个实体:客户端(Supplicant)、认证系统(authenticator system,通常为支持802.1X的接入交换机)、认证服务器(authenticatorserver)。客户端向认证系统发起接入请求;认证服务器验证用户账户,并通知认证系统是否开放业务数据接入端口。802.1X的认证数据流和业务数据流是分开的。在认证前,客户端只能发送认证数据包,直接屏蔽了ARP 广播;认证成功后,对该主机开放交换机端口的业务数据接入通道,不改变用户的数据包格式和传输路径。目前,大部分主流交换机均支持802.1X,可以较为方便地实施802.1X认证的分布式部署。
在不结合其他机制的情况下,802.1X认证会出现以下问题:第一,接入交换机作为认证者,只能绑定用户主机的网卡物理地址MAC,只要MAC是通过认证的数据包都被允许通过,因此IP冲突、ARP攻击等各类局域网安全问题依然存在;第二,802.1X无法进行基于用户的带宽控制。
针对上述802.1X的问题,大部分支持802.1X 的交换机同时也能够从DHCP包中获取主机IP地址,因此可以在部署了DHCP 的情况下,实现IP+MAC+端口的绑定,解决IP冲突、ARP攻击等网络安全问题。在使用固定IP的情况下,目前部分厂商交换机可以通过私有机制使认证交换机获取用户IP地址,但通常要求认证系统和交换机是由同个厂商提供才能实现该功能。
两种协议在高校网络中应用的建议
校园网中用户数庞大,局域网内数据交换多且频繁,如文件传输、局域网游戏;校内资源丰富,希望达到高速资源共享,如校园数据中心资源、图书馆资源等;网络应用复杂,组播流量大,特别是视频流量;用户群活跃,喜欢尝试对网络的攻击;不同区域的用户群体不同,网络流量特征有差别,管理需求相异。
从前面的分析可以总结出PPPoE认证更侧重于管理,802.1X认证则可以更好维护网络性能。校园网中认证模式可以基于用户群体特点和管理需求进行选择。
如表1所列,高校网络群体一般可以分为学生群体、办公群体、家属群体。学生群体较熟练掌握计算机的使用,网络使用频繁,数据流量大、局域网内数据交互频繁,隐藏大量网络攻击行为,如果针对这样群体部署PPPoE,要求BRAS有很大的业务处理能力,实施成本高;反之,如果部署802.1X话,网络利用率较高,实施成本比较低廉。办公群体以网页浏览、文档传输为主,对网络的要求是安全性高和带宽稳定,在办公场合部署PPPoE,则更方便管理,网络稳定性较高。家属群体是消费型的群体,用户间数据传输较少,用户希望能够根据自己的需求选择带宽,并愿意为此差别付费,因此部署PPPoE会更为合理。
PPPoE 同时管理了用户接入认证和用户数据传输,适用于对带宽管理要求较高的场合。802.1X 只对用户接入进行控制,适用于内部数据流量较大,用户带宽管理需求低的场合。两种认证的实施都要结合一定的网络安全手段,才能更好体现协议优势,防止协议漏洞引起的安全问题。PPPoE 的宽带接入服务器BRAS 和802.1X的认证服务器,都要做好DDOS攻击防御。
PPPoE和802.1X是较常见的两种宽带网络接入认证方式。两种方法的用户使用体验非常类似,但两种协议却有很大的差异,并带来不同的优缺点。本文分析了两种协议在实际应用中的特点以及在部署过程中可能引发的安全问题,结合校园网络的特点,提出两种协议在校园网络中的部署建议。
PPPoE和802.1X的分析
PPPoE(以太网上点对点协议,PPPover Ethernet)是在以太网上传送PPP分组的协议,沿用了传统PSTN窄带拨号接入技术,同时也继承了传统PSTN窄带拨号接入技术的特点。PPPoE 认证系统由客户端和宽带接入服务器(BRAS)两个实体组成,会话过程经历发现阶段和会话阶段。在发现阶段,客户端向网络广播寻找可以连接的BRAS,然后与选定的BRAS建立点对点逻辑链路;在会话阶段,客户端收发的数据包都经过PPPoE封装,并通过这唯一链路进行传输,所有用户网络数据包都要经过BRAS进行PPPoE的封装或解封装,如图1。
图1 PPPoE组网示意图
由于客户端只通过与BRAS建立的点对点逻辑链路收发数据,所有认证数据流和业务数据流都必须通过BRAS,简化了接入安全和管理的工作。在局域网安全方面,减少了IP冲突、ARP攻击;在用户管理方面,可以进行基于用户的带宽管理。PPPoE在当前运营商接入网中得到广泛的应用,并且Windows系统自带客户端,更容易被用户接受。
然而,PPPoE也存在几方面问题:第一,在网络安全方面,存在广播域的ARP攻击,假冒BRAS骗取用户账号密码等问题;第二,在网络稳定方面,容易产生巨包被网络中的节点丢弃,网络在BRAS设备上容易形成单点瓶颈和故障;第三,在协议支持方面,PPPoE不支持组播BRAS需要将组播包单个封装后转发,组播数据流大量增加了BRAS的负担;第四,在安全审计方面,BRAS只能记录用户的IP、MAC、登录时间,无法进行更详细定位;第五,在计费策略方面,无法实施分区域的收费策略。
实际应用中,部分PPPoE存在的问题通过结合一定安全机制是可以得到解决的。在网络安全问题上,主要防止BRAS欺骗和广播包占用带宽,可以在接入交换机上配置MAC ACL,使以太网类型为0x8863(客户端寻找BRAS广播包的以太网类型)的广播包只能转发到上联接口,同时采用多VLAN隔离广播包或限制广播包占用的带宽。
在网络稳定方面,调整接入交换机最大传输单元参数,可以防止巨包被交换机丢弃;采用双机热备,或限制设备管理的网络规模等方式,可以降低单点故障率。
图2 802.1X认证过程示意图
802.1X协议是一种基于端口的接入控制协议。如图2,802.1X认证系统一般包含三个实体:客户端(Supplicant)、认证系统(authenticator system,通常为支持802.1X的接入交换机)、认证服务器(authenticatorserver)。客户端向认证系统发起接入请求;认证服务器验证用户账户,并通知认证系统是否开放业务数据接入端口。802.1X的认证数据流和业务数据流是分开的。在认证前,客户端只能发送认证数据包,直接屏蔽了ARP 广播;认证成功后,对该主机开放交换机端口的业务数据接入通道,不改变用户的数据包格式和传输路径。目前,大部分主流交换机均支持802.1X,可以较为方便地实施802.1X认证的分布式部署。
在不结合其他机制的情况下,802.1X认证会出现以下问题:第一,接入交换机作为认证者,只能绑定用户主机的网卡物理地址MAC,只要MAC是通过认证的数据包都被允许通过,因此IP冲突、ARP攻击等各类局域网安全问题依然存在;第二,802.1X无法进行基于用户的带宽控制。
针对上述802.1X的问题,大部分支持802.1X 的交换机同时也能够从DHCP包中获取主机IP地址,因此可以在部署了DHCP 的情况下,实现IP+MAC+端口的绑定,解决IP冲突、ARP攻击等网络安全问题。在使用固定IP的情况下,目前部分厂商交换机可以通过私有机制使认证交换机获取用户IP地址,但通常要求认证系统和交换机是由同个厂商提供才能实现该功能。
两种协议在高校网络中应用的建议
校园网中用户数庞大,局域网内数据交换多且频繁,如文件传输、局域网游戏;校内资源丰富,希望达到高速资源共享,如校园数据中心资源、图书馆资源等;网络应用复杂,组播流量大,特别是视频流量;用户群活跃,喜欢尝试对网络的攻击;不同区域的用户群体不同,网络流量特征有差别,管理需求相异。
从前面的分析可以总结出PPPoE认证更侧重于管理,802.1X认证则可以更好维护网络性能。校园网中认证模式可以基于用户群体特点和管理需求进行选择。
如表1所列,高校网络群体一般可以分为学生群体、办公群体、家属群体。学生群体较熟练掌握计算机的使用,网络使用频繁,数据流量大、局域网内数据交互频繁,隐藏大量网络攻击行为,如果针对这样群体部署PPPoE,要求BRAS有很大的业务处理能力,实施成本高;反之,如果部署802.1X话,网络利用率较高,实施成本比较低廉。办公群体以网页浏览、文档传输为主,对网络的要求是安全性高和带宽稳定,在办公场合部署PPPoE,则更方便管理,网络稳定性较高。家属群体是消费型的群体,用户间数据传输较少,用户希望能够根据自己的需求选择带宽,并愿意为此差别付费,因此部署PPPoE会更为合理。
PPPoE 同时管理了用户接入认证和用户数据传输,适用于对带宽管理要求较高的场合。802.1X 只对用户接入进行控制,适用于内部数据流量较大,用户带宽管理需求低的场合。两种认证的实施都要结合一定的网络安全手段,才能更好体现协议优势,防止协议漏洞引起的安全问题。PPPoE 的宽带接入服务器BRAS 和802.1X的认证服务器,都要做好DDOS攻击防御。
赚不到钱了
回复 16# 的帖子
弱问: “以太网” 的核心是什么?
总提以太网,但是一直不太理解 以太网 代表了怎样一种技术。
弱问: “以太网” 的核心是什么?
总提以太网,但是一直不太理解 以太网 代表了怎样一种技术。
回复 1# 的帖子
PPPOE认证问题比较少吧
PPPOE认证问题比较少吧
PPOE可以使用现有网络,成本低,组网要求低,管理方便。
802.1x都指的什么?802.11是无线局域网,不能形成大面积的盖吧,只能是一些热点,现在各大运营商都有自己的wifi网络嘛,而且热点越来越多了……
802.16也被列入的3G标准,但它是在3G标准关门很多年之后于2007年由meiguo强行标准组织接纳其成为3G标准的,这让很多国家很不爽,比如咱们,因为wimax也是TDD标准,比TDS要先进的,毕竟wimax是多少年后的技术嘛,据说当时wimax成为3g标准时中国代表团中求在封皮上写上中国不同意几个字……
至于wimax,meiguo自己发展成啥样子了不知道,反正欧洲肯定不用吧,它们有W,很多其它国家也用W,中国还算是好的,T,W,C三种制式都用了……
802.16也被列入的3G标准,但它是在3G标准关门很多年之后于2007年由meiguo强行标准组织接纳其成为3G标准的,这让很多国家很不爽,比如咱们,因为wimax也是TDD标准,比TDS要先进的,毕竟wimax是多少年后的技术嘛,据说当时wimax成为3g标准时中国代表团中求在封皮上写上中国不同意几个字……
至于wimax,meiguo自己发展成啥样子了不知道,反正欧洲肯定不用吧,它们有W,很多其它国家也用W,中国还算是好的,T,W,C三种制式都用了……
IEEE802.1x协议在以太网中的引入,解决了传统的PPPOE和WEB/PORTAL认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本。
运营商没有采用802.1x?应该是运营商原有PPPOE的网络暂时还能满足其需求。以前的DSLAM支持PPPOE,不支持802.1X。
运营商没有采用802.1x?应该是运营商原有PPPOE的网络暂时还能满足其需求。以前的DSLAM支持PPPOE,不支持802.1X。
PPPoE应该更加通用,支持的厂商更多,更易互通吧
PPPOE组网简单,开销不大。故障修复快!
“古老”的PPPOE,被竞争对手攻击的效率低下等缺点恰恰也是它的优点,PPPOE协议本身就可以实现流量管理,由于传统的以太网数据帧被经过重新封装成PPPOE帧,所有的流量都要经过PPPOE服务端,效率低的同时也实现了强大的管理功能,被IP地址管理、ARP攻击搞的焦头烂额的管理员们会发现在PPPOE面前这些根本就不是问题,而802.1x对此却完全无能为力。
回复 33# 的帖子
哥们的回答好专业啊!
哥们的回答好专业啊!
