以太网交换机基础培训教材
?
802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道); ?
802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”。此时,只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过(参见图32)。
802.1X认证体系分为三部分结构:
?
客户端(Supplicant System)——是—需要接入LAN,及享受Switch提供服务的设备(如PC机)。客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:华为开发的802.1X客户端,Microsoft Windows XP自带客户端; ?
认证系统(Authenticator System)——是根据客户的认证状态控制物理接入的设备,如交换机或无线接入设备。认证系统在客户和认证服务器间充当代理角色:认证系统与客户端间通过EAPOL协议进行通讯,认证系统与认证服务器间通过EAP over Radius或EAP承载在其他高层协议上,以便穿越复杂的网络到达Authentication Server。认证系统要求客户端提供身份标识(identity),接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同。 认证系统根据认证结果控制端口是否可用; ?
认证服务器(Authentication server System)——对客户进行实际认证,核实客户的identity,通知认证系统是否允许客户端访问LAN和交换机提供的服务。由于EAP协议较为灵活,除了IEEE 802.1X定义的端口状态外,认证服务器实际上也可以用于认证和下发更多用户相关的信息,如VLAN、QOS、加密认证密钥、DHCP响应等。
图 32 802.1X认证体系结构
Page 41 , Total 48 第41页,共48页
以太网交换机基础培训教材
5.5.2 PORTAL
PORTAL认证的提出主要用于解决以下问题: ? ? ?
免客户端软件:对于像宾馆、酒店等公共网络节点,免客户端软件是一个基本要求; 按上网时间计费:用户申请到IP地址,只要没有访问网络就不进行计费;
新业务载体:利用PORTAL认证的门户功能,运营商可以将小区广播、广告、信息查询、网上购物等业务放到PORTAL上。用户上网时就会强制地看到上述信息; ?
价值链项目:运营商、设备提供商、网络集成商、服务提供商、内容开发商等整合提供高质量网络和可盈利的系统。
PORTAL在英语中的原意是入口的意思,在IT行业一般将PORTAL称为门户网站,所以PORTAL认证通常也称为WEB认证。
PORTAL认证一般分为强制PORTAL和主动PORTAL认证两种: ?
强制PORTAL……强制PORTAL的意思就是用户获取IP地址后开始上网,不管输入什么网址,都会先强制定向到PORTAL服务器,只有通过认证,这种定向才会被取消。强制PORTAL的优点是用户不需要记忆PORTAL服务器的IP地址,登录PORTAL服务的过程是自动的,并且是强制的 ?
主动PORTAL……主动PORTAL是用户获取到PORTAL服务器的IP地址后才能开始上网,用户必自己主动登录到PORTAL服务器进行认证,才能访问网络。所以运营商在开户时,必须明确的告诉用户PORTAL服务器的IP地址
和802.1X认证类似,PORTAL认证也有几大要素组成:客户端、控制单元、PORTAL服务器、认证计费服务器,如图33。其中,控制单元是PORTAL认证的核心,即为接入设备。PORTAL控制单元的主要作用为:
? ? ?
通过DHCP协议提供IP地址,只能在有三层路由发现功能的设备上实施PORTAL认证; 对没有通过认证的IP地址进行过滤,一般采用ACL的方式控制未认证用户的访问范围; 提供强制认证特性,一般通过地址转换的方式将未认证用户的所有HTTP访问转换到PORTAL服务器; ? ?
提供与PORTAL服务器的接口,采用我司的PORTAL 2.2协议; 提供认证、计费接口,一般通过RADIUS协议与认证计费服务器通信。
Page 42 , Total 48 第42页,共48页
以太网交换机基础培训教材
图 33 PORTAL认证四大要素
目前,宽带网络中另外一种常用的认证方式是PPPoE/A。下表给出了PORTAL、PPPoE/A、802.1X三种认证方式的特点对比。
表 3.PORTAL、PPPoE/A、802.1X三种认证方式的特点对比
兼容性 成熟度 主要标准 业界支持程度 报文效率 组播能力 安全性 新业务支承能力 流程处理 客户软件支持
三种认证方式都有它存在的理由,它们之间是互补的关系。相比较而言PORTAL认证和802.1X更加受运营商的欢迎,因为PORTAL认证是宽带网络生态系统中一种比较高级的形态,而802.1X是一种比较低级的形态,满足低成本低附加值的需求。
PORTAL认证 好 成熟 HTTP/HTTPS 广泛支持 高 好 一般 好 复杂 不需要 PPPoE/A 一般 成熟 PPP/PPPoE/A 广泛支持 低 差,开销大 一般 差 复杂 需要,业界普遍提供 802.1X 差 不成熟 IEEE802.1X 目前仅被少数厂商支持 高 好 低 差 清晰 需要,目前没有业界广泛支持的软件 5.6 管理特性
Page 43 , Total 48 第43页,共48页
以太网交换机基础培训教材
5.6.1 集群管理
我们知道,接入交换机一般放在用户侧,有的在楼道、有的在办公区,且数量庞大。因此,对此类交换机的管理和配置成为了一个很大的问题。
传统的方法是通过一个IP地址管理一个交换机,来实现远程配置。但由于网络中的设备太多,每一台都要配置,重复工作量还是很大。
因此,集群管理的目的就是解决上述问题。通过集群管理,整个网络能完成其拓朴结构的自发现;不用设置IP也能管理,达到了节省IP地址的作用;通过了统一而简单的配置模式来统一管理所有交换机;简化了升级过程。
集群管理的基本功能是允许网络管理员通过一个主交换机的公网IP地址,实现对多个交换机的 管理。主交换机称为命令交换机,其它被管理的交换机称为成员交换机。
主交换机提供了对整个集群的管理接口,一般来说是集群中唯一配有公网IP 地址的交换机。从交换机一般不配置公网 IP 地址,通过主交换机重定向来进行对从交换机的管理和维护。具有集群管理功能的交换机可以通过配置来决定是否加入集群。通常为了提高网络管理的可靠性,避免单点故障影响集群管理功能,还应该设置多个备份交换机,在主交换机无法工作时替代主交换机来工作。
集群管理支持用户通过网管来管理整个集群,包括SNMP和WEB网管方式。 集群管理通过NAT来完成成员地址转换。集群模块是基于NAT进行开发的。 集群中的角色有命令交换机、成员交换机,还有备份交换机以及候选交换机四种:
1)命令交换机: 配置有公网IP地址的交换机,管理命令首先发送到命令交换机上由命令交换机处理,如果发现目的是某成员交换机,则转发到成员交换机上处理。
2)备份交换机: 备份交换机,用于命令交换机的备份。当命令交换机失效时,备份交换机能够转换成为命令交换机。通常设置了多个备份交换机时,还需要提供一定的机制选出其中一个作为命令交换机。
3)成员交换机: 集群中的成员,对成员交换机的管理是通过命令交换机的代理来完成的,它一般不设置公网IP地址。
4)候选交换机: 候选交换机,没有加入任何集群但有集群能力、能够成为集群成员的交换机称为候选交换机。
Page 44 , Total 48 第44页,共48页
以太网交换机基础培训教材
图 34 集群的组成
5.6.2 WEB网管
WEB网管的基本工作原理如下: ?
以太网交换机提供一个内置的WEB Server,网管客户端通过浏览器,使用HTTP协议向WEB Server请求交换机的管理网页。 ?
管理网页上嵌有功能强大的JAVA Applet小程序,JAVA Applet小程序随着网页一起下载到网管客户端,并通过SNMPv3协议与SNMP Agent通讯,获取交换机上的配置数据,或者向交换机下达管理命令,从而达到管理交换机的目的。
由此可以看出,WEB网管不需要特殊的客户端,利用常用浏览器就可以完成交换机的配置和监控。但是,WEB网管的局限性也是显而易见的,它不能同时对整个网络中的设备进行监控,无法了解网络的组成结构等。
5.7 IRF
IRF—Intelligent Resilient Framework,智能弹性架构。其基本的思想是:使多台设备互相连接起来,形成一个“联合设备”。无论在管理还是在使用上,都与单台设备类似。
IRF和原来通过NDP协议建立的堆叠有很大的区别。NDP堆叠只是使多台设备集中管理,但L2、L3转发还是和每台设备级联起来一样,即在每台设备上都要进行L2、L3转发。但IRF形成的“联合设备”L2、L3转发却可以做到和单台设备一样,即L2、L3转发只需要一次。因此,IRF需要对每台设备端口号进行重新排序,扩展了端口数量和交换机能力。另外,IRF中的某台设备故障并不会影响其
Page 45 , Total 48 第45页,共48页
以太网交换机基础培训教材 - 图文
