PPPoE与802.1X在校园网中的应用分析

转自：http://www.autooo.net/classid123-id54221.html

PPPoE和802.1X是较常见的两种宽带网络接入认证方式。两种方法的用户使用体验非常类似，但两种协议却有很大的差异，并带来不同的优缺点。本文分析了两种协议在实际应用中的特点以及在部署过程中可能引发的安全问题，结合校园网络的特点，提出两种协议在校园网络中的部署建议。

PPPoE和802.1X的分析

PPPoE(以太网上点对点协议，PPPover Ethernet)是在以太网上传送PPP分组的协议，沿用了传统PSTN窄带拨号接入技术，同时也继承了传统PSTN窄带拨号接入技术的特点。PPPoE 认证系统由客户端和宽带接入服务器(BRAS)两个实体组成，会话过程经历发现阶段和会话阶段。在发现阶段，客户端向网络广播寻找可以连接的BRAS，然后与选定的BRAS建立点对点逻辑链路；在会话阶段，客户端收发的数据包都经过PPPoE封装，并通过这唯一链路进行传输，所有用户网络数据包都要经过BRAS进行PPPoE的封装或解封装，如图1。

由于客户端只通过与BRAS建立的点对点逻辑链路收发数据，所有认证数据流和业务数据流都必须通过BRAS，简化了接入安全和管理的工作。在局域网安全方面，减少了IP冲突、ARP攻击；在用户管理方面，可以进行基于用户的带宽管理。PPPoE在当前运营商接入网中得到广泛的应用，并且Windows系统自带客户端，更容易被用户接受。

然而，PPPoE也存在几方面问题：第一，在网络安全方面，存在广播域的ARP攻击，假冒BRAS骗取用户账号密码等问题；第二，在网络稳定方面，容易产生巨包被网络中的节点丢弃，网络在BRAS设备上容易形成单点瓶颈和故障；第三，在协议支持方面，PPPoE不支持组播BRAS需要将组播包单个封装后转发，组播数据流大量增加了BRAS的负担；第四，在安全审计方面，BRAS只能记录用户的IP、MAC、登录时间，无法进行更详细定位；第五，在计费策略方面，无法实施分区域的收费策略。

实际应用中，部分PPPoE存在的问题通过结合一定安全机制是可以得到解决的。在网络安全问题上，主要防止BRAS欺骗和广播包占用带宽，可以在接入交换机上配置MAC ACL，使以太网类型为0x8863(客户端寻找BRAS广播包的以太网类型)的广播包只能转发到上联接口，同时采用多VLAN隔离广播包或限制广播包占用的带宽。

在网络稳定方面，调整接入交换机最大传输单元参数，可以防止巨包被交换机丢弃；采用双机热备，或限制设备管理的网络规模等方式，可以降低单点故障率。

802.1X协议是一种基于端口的接入控制协议。如图2，802.1X认证系统一般包含三个实体：客户端(Supplicant)、认证系统(authenticator system，通常为支持802.1X的接入交换机)、认证服务器(authenticatorserver)。客户端向认证系统发起接入请求；认证服务器验证用户账户，并通知认证系统是否开放业务数据接入端口。802.1X的认证数据流和业务数据流是分开的。在认证前，客户端只能发送认证数据包，直接屏蔽了ARP 广播；认证成功后，对该主机开放交换机端口的业务数据接入通道，不改变用户的数据包格式和传输路径。目前，大部分主流交换机均支持802.1X，可以较为方便地实施802.1X认证的分布式部署。

在不结合其他机制的情况下，802.1X认证会出现以下问题：第一，接入交换机作为认证者，只能绑定用户主机的网卡物理地址MAC，只要MAC是通过认证的数据包都被允许通过，因此IP冲突、ARP攻击等各类局域网安全问题依然存在；第二，802.1X无法进行基于用户的带宽控制。

针对上述802.1X的问题，大部分支持802.1X 的交换机同时也能够从DHCP包中获取主机IP地址，因此可以在部署了DHCP 的情况下，实现IP+MAC+端口的绑定，解决IP冲突、ARP攻击等网络安全问题。在使用固定IP的情况下，目前部分厂商交换机可以通过私有机制使认证交换机获取用户IP地址，但通常要求认证系统和交换机是由同个厂商提供才能实现该功能。

两种协议在高校网络中应用的建议

校园网中用户数庞大，局域网内数据交换多且频繁，如文件传输、局域网游戏；校内资源丰富，希望达到高速资源共享，如校园数据中心资源、图书馆资源等；网络应用复杂，组播流量大，特别是视频流量；用户群活跃，喜欢尝试对网络的攻击；不同区域的用户群体不同，网络流量特征有差别，管理需求相异。

从前面的分析可以总结出PPPoE认证更侧重于管理，802.1X认证则可以更好维护网络性能。校园网中认证模式可以基于用户群体特点和管理需求进行选择。

如表1所列，高校网络群体一般可以分为学生群体、办公群体、家属群体。学生群体较熟练掌握计算机的使用，网络使用频繁，数据流量大、局域网内数据交互频繁，隐藏大量网络攻击行为，如果针对这样群体部署PPPoE，要求BRAS有很大的业务处理能力，实施成本高；反之，如果部署802.1X话，网络利用率较高，实施成本比较低廉。办公群体以网页浏览、文档传输为主，对网络的要求是安全性高和带宽稳定，在办公场合部署PPPoE，则更方便管理，网络稳定性较高。家属群体是消费型的群体，用户间数据传输较少，用户希望能够根据自己的需求选择带宽，并愿意为此差别付费，因此部署PPPoE会更为合理。

PPPoE 同时管理了用户接入认证和用户数据传输，适用于对带宽管理要求较高的场合。802.1X 只对用户接入进行控制，适用于内部数据流量较大，用户带宽管理需求低的场合。两种认证的实施都要结合一定的网络安全手段，才能更好体现协议优势，防止协议漏洞引起的安全问题。PPPoE 的宽带接入服务器BRAS 和802.1X的认证服务器，都要做好DDOS攻击防御。

 /*******************************************************************************华丽的分割线*************************************************************************************/

转自：http://hi.baidu.com/new/davidpeng?page=4

PPPOE和802.1X的困惑

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access
port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

有几位朋友困惑于自己的校园网认证方式是采用pppoe还是802.1x，这个问题我也很难解释。

其实说起来还要看你的网络是倾向于管理还是倾向于性能

pppoe是最传统的认证方式，脱胎于早期的窄带网络，反对者的理由是封包开销大，不支持组播，性能低，不适合现代的高速校园网。

802.1x虽然是较新的标准，但同样也是脱胎于无线网络认证，而不是专为高速宽带设计。802.1x有很多的优点，但其实802.1x要比pppoe简单的多，仅仅是对交换机端口开合的控制，所谓的大量优点：VLAN和ACL的下发，强大的控制能力之类其实并不属于802.1x标准本身，而是各个厂家利用802.1x的灵活性做的扩展，包括802.1x的客户端都被各厂家加入了准入认证、补丁下发、外联检测之类的功能，功能的确是强大，但是毫无疑问的是：这些功能是各个厂家自己做的扩展，需要配合他们的认证端软件、客户端软件和自家的交换机设备来实现，排他性太强，对于高校这种需要开放、融合的技术的地方似乎不太合适。

反观“古老”的PPPOE，被竞争对手攻击的效率低下等缺点恰恰也是它的优点，PPPOE协议本身就可以实现流量管理，由于传统的以太网数据帧被经过重新封装成PPPOE帧，所有的流量都要经过PPPOE服务端，效率低的同时也实现了强大的管理功能，被IP地址管理、ARP攻击搞的焦头烂额的管理员们会发现在PPPOE面前这些根本就不是问题，而802.1x对此却完全无能为力。

802.1x经过认证以后，所有的数据流跟以前就完全一样了，所有以太网上让人头疼的事情在802.1x认证后依然如故，802.1x本身其实解决不了任何管理上的问题，网管员依然要借助传统的管理工具方式管理网络，单是IP地址管理、ARP病毒防护、流量限制就足够忙活的了。

还有客户端的问题，由于各个厂家的管理功能需要专用的802.1x客户端，每个客户都需要安装客户端，而由于这些厂家自身的实力有限，而不同的操作系统需要不同的客户端，各种发型版本的linux、
windows xp、 windows vista、windows 7.即使厂家能跟得上，管理员们还要不断的为各种客户更新客户端。

在综合各种因素以后,在学校家属宿舍区还是倾向于使用pppoe,虽然对于非法外联还是无能为力，但是通过限制流量还是能起到一定作用。对于少数难管的学生宿舍区，还是采用802.1x加厂家专用的客户端软件，杜绝非法外联