智簡(jiǎn)園區(qū)交換機(jī)統(tǒng)一用戶管理技術(shù)白皮書

1、華為智簡(jiǎn)園區(qū)交換機(jī)統(tǒng)一用戶管理技術(shù)白皮書華為智簡(jiǎn)園區(qū)交換機(jī)統(tǒng)一用戶管理技術(shù)白皮書摘要摘要隨著智簡(jiǎn)園區(qū)中所承載業(yè)務(wù)的變化，以及接入終端的多樣化，用戶接入和管理也面臨著越來(lái)越多的挑戰(zhàn)。華為以敏捷交換機(jī)為基礎(chǔ)，提供統(tǒng)一用戶管理技術(shù)，以用戶為中心，為園區(qū)網(wǎng)提供有線、無(wú)線融合的統(tǒng)一認(rèn)證管理解決方案。華為智簡(jiǎn)園區(qū)交換機(jī)統(tǒng)一用戶管理技術(shù)白皮書目錄目錄 HYPERLINK l _bookmark0 摘要i HYPERLINK l _bookmark1 特性簡(jiǎn)介4 HYPERLINK l _bookmark2 技術(shù)背景4 HYPERLINK l _bookmark3 技術(shù)優(yōu)勢(shì)5 HYPERLINK l _boo

2、kmark4 技術(shù)原理6 HYPERLINK l _bookmark5 概述6 HYPERLINK l _bookmark6 AAA 技術(shù)簡(jiǎn)介6 HYPERLINK l _bookmark8 HWTACACS 技術(shù)7 HYPERLINK l _bookmark9 網(wǎng)絡(luò)組成7 HYPERLINK l _bookmark11 HWTACACS 報(bào)文8 HYPERLINK l _bookmark12 工作原理9 HYPERLINK l _bookmark13 HWTACACS 工作流程9 HYPERLINK l _bookmark15 HWTACACS 認(rèn)證9 HYPERLINK l _bookma

3、rk16 HWTACACS 授權(quán)10 HYPERLINK l _bookmark17 HWTACACS 計(jì)費(fèi)12 HYPERLINK l _bookmark20 2.1.3 技術(shù)對(duì)比14 HYPERLINK l _bookmark21 接入認(rèn)證技術(shù)15 HYPERLINK l _bookmark22 MAC 認(rèn)證15 HYPERLINK l _bookmark23 2.2.2 802.1x 認(rèn)證16 HYPERLINK l _bookmark24 Portal 認(rèn)證16 HYPERLINK l _bookmark25 PPPoE 認(rèn)證16 HYPERLINK l _bookmark26 PPP

4、oE 報(bào)文格式16 HYPERLINK l _bookmark28 PPPoE 發(fā)現(xiàn)報(bào)文格式17 HYPERLINK l _bookmark30 PPPoE 會(huì)話報(bào)文格式18 HYPERLINK l _bookmark32 PPPoE 業(yè)務(wù)流程19 HYPERLINK l _bookmark35 PPPoE 會(huì)話階段流程21 HYPERLINK l _bookmark40 無(wú)線認(rèn)證24 HYPERLINK l _bookmark41 無(wú)線用戶認(rèn)證24 HYPERLINK l _bookmark43 認(rèn)證方式比較26 HYPERLINK l _bookmark44 自適應(yīng)混合認(rèn)證27 HYPER

5、LINK l _bookmark45 有線用戶自適應(yīng)混合認(rèn)證27 HYPERLINK l _bookmark47 無(wú)線用戶自適應(yīng)混合認(rèn)證28 HYPERLINK l _bookmark49 用戶策略管理29 HYPERLINK l _bookmark50 動(dòng)態(tài)授權(quán)29 HYPERLINK l _bookmark51 用戶組策略30 HYPERLINK l _bookmark52 策略聯(lián)動(dòng)30 HYPERLINK l _bookmark55 用戶在線CoA 授權(quán)32 HYPERLINK l _bookmark56 用戶計(jì)費(fèi)功能33 HYPERLINK l _bookmark58 業(yè)務(wù)隨行34 H

6、YPERLINK l _bookmark60 典型組網(wǎng)應(yīng)用36 HYPERLINK l _bookmark61 企業(yè)三層園區(qū)方案36 HYPERLINK l _bookmark63 校園網(wǎng)三層網(wǎng)絡(luò)方案37 HYPERLINK l _bookmark65 A 縮 略語(yǔ)391 特性簡(jiǎn)介華為智簡(jiǎn)園區(qū)交換機(jī)統(tǒng)一用戶管理技術(shù)白皮書 1 特性簡(jiǎn)介技術(shù)背景園區(qū)網(wǎng)是指企業(yè)、學(xué)校等單位在園區(qū)內(nèi)鋪設(shè)的信息網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)中所承載業(yè)務(wù)的變化， 以及接入終端的多樣化，用戶接入和管理也面臨著越來(lái)越多的挑戰(zhàn)。接入認(rèn)證問(wèn)題為了安全和便捷需要，園區(qū)中一般會(huì)部署多種認(rèn)證方法。例如，訪客區(qū)域采用 Portal 認(rèn)證，辦公區(qū)域采用

7、802.1X 認(rèn)證，對(duì)于打印機(jī)、IP 電話等啞終端則部署 MAC 認(rèn)證。不同的接入認(rèn)證方式共存，對(duì)網(wǎng)絡(luò)設(shè)備提出了更高的要求，要求能夠做到自適應(yīng)，滿足多種認(rèn)證方式的接入需求，方便網(wǎng)絡(luò)部署。安全策略問(wèn)題接入用戶存在多樣性，包括內(nèi)部員工、合作伙伴、外部訪客等類型，不同身份的用戶需要不同的策略控制方式，不同身份的用戶只能訪問(wèn)特定的企業(yè)資源。用戶身份的多樣性決定了授權(quán)策略的差異性，傳統(tǒng)基于 VLAN 或者ACL 的授權(quán)方式，部署復(fù)雜，難于實(shí)施精細(xì)化的用戶策略管控。用戶計(jì)費(fèi)問(wèn)題對(duì)于需要運(yùn)營(yíng)的園區(qū)，例如校園網(wǎng)，一般在網(wǎng)絡(luò)出口處增加計(jì)費(fèi)網(wǎng)關(guān)（BAS 設(shè)備），當(dāng)用戶訪問(wèn) Internet 時(shí)進(jìn)行計(jì)費(fèi)，訪問(wèn)內(nèi)網(wǎng)時(shí)

8、不做計(jì)費(fèi)。這種額外部署 BAS 設(shè)備的方式， 一方面附加了網(wǎng)絡(luò)節(jié)點(diǎn)，提升了網(wǎng)絡(luò)管理復(fù)雜度；另一方面，單獨(dú)購(gòu)買 BAS 設(shè)備，不可避免的增加了網(wǎng)絡(luò)成本，提高了建網(wǎng) TCO。有線、無(wú)線用戶管理園區(qū)中，用戶的接入終端也復(fù)雜多樣，不僅存在 PC、筆記本等終端，也存在智能手機(jī)、平板 PAD 等終端。傳統(tǒng)園區(qū)網(wǎng)絡(luò)對(duì)有線用戶管理分布在各個(gè)交換機(jī)上，無(wú)線用戶管理分布在 AC 設(shè)備上，無(wú)法適應(yīng)這種復(fù)雜的接入場(chǎng)景，對(duì)有線、無(wú)線用戶也無(wú)法做到集中管理。針對(duì)園區(qū)網(wǎng)建設(shè)面臨的挑戰(zhàn)，華為以系列敏捷交換機(jī)為基礎(chǔ)，推出統(tǒng)一用戶管理技術(shù)。華為統(tǒng)一用戶管理技術(shù)以用戶為中心，為園區(qū)網(wǎng)提供有線、無(wú)線融合的網(wǎng)絡(luò)解決方案。技術(shù)優(yōu)勢(shì)華為敏

9、捷交換機(jī)支持統(tǒng)一用戶管理技術(shù)，統(tǒng)一管理用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)，實(shí)現(xiàn)有線、無(wú)線用戶的集中管控。華為統(tǒng)一用戶管理技術(shù)在構(gòu)建園區(qū)網(wǎng)絡(luò)中具有多重優(yōu)勢(shì)：統(tǒng)一認(rèn)證，滿足多樣性的接入場(chǎng)景華為敏捷交換機(jī)不僅支持 MAC、802.1X、Portal 認(rèn)證，還新增 PPPoE 認(rèn)證；當(dāng)存在多種認(rèn)證方式時(shí)，華為交換機(jī)支持自適應(yīng)混合認(rèn)證，滿足不同場(chǎng)景的接入需求。統(tǒng)一策略，實(shí)現(xiàn)用戶業(yè)務(wù)隨行華為交換機(jī)提供基于用戶組的策略控制能力，結(jié)合策略聯(lián)動(dòng)功能，可實(shí)現(xiàn)跨區(qū)域的業(yè)務(wù)隨行，不管用戶身處何地，都可以保證該用戶獲得相同的網(wǎng)絡(luò)訪問(wèn)策略。統(tǒng)一計(jì)費(fèi)，節(jié)省建網(wǎng) TCO華為敏捷交換機(jī)具有計(jì)費(fèi)功能，不僅支持按時(shí)長(zhǎng)計(jì)費(fèi)、按流量計(jì)費(fèi)等模式，還

10、支持 DAA 目的地址計(jì)費(fèi)。在校園網(wǎng)等需要運(yùn)營(yíng)的場(chǎng)景，用戶無(wú)需額外購(gòu)買 BAS 設(shè)備，降低了建設(shè)成本。有線無(wú)線用戶融合管理，簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維華為敏捷交換機(jī)內(nèi)置 AC 功能可直接管理 WLAN AP 設(shè)備，滿足無(wú)線用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)要求，實(shí)現(xiàn)有線、無(wú)線用戶的融合管理，簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維。2 技術(shù)原理華為智簡(jiǎn)園區(qū)交換機(jī)統(tǒng)一用戶管理技術(shù)白皮書 2 技術(shù)原理概述AAA 技術(shù)簡(jiǎn)介在統(tǒng)一用戶管理技術(shù)中，AAA 是一個(gè)基本概念。AAA 是 Authentication（認(rèn)證）、Authorization（授權(quán)）和 Accounting（計(jì)費(fèi)）的簡(jiǎn)稱。網(wǎng)絡(luò)設(shè)備通過(guò)和 AAA 服務(wù)器配合完成用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)等功

11、能，如 HYPERLINK l _bookmark7 圖 2-1。圖2-1 敏捷交換機(jī)在 AAA 系統(tǒng)中的位置用戶終端用戶終端是指 PC、智能手機(jī)、平板 PAD 等各種終端設(shè)備，通過(guò)有線、無(wú)線方式接入園區(qū)網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備包括接入設(shè)備和敏捷交換機(jī)。接入設(shè)備主要指接入交換機(jī)和 WLANAP 設(shè)備， 分別負(fù)責(zé)有線、無(wú)線用戶的接入；敏捷交換機(jī)內(nèi)置計(jì)費(fèi)功能，通過(guò)和 AAA 服務(wù)器配合， 實(shí)現(xiàn)有線、無(wú)線用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)功能。AAA 服務(wù)器AAA 服務(wù)器實(shí)現(xiàn)協(xié)議主要有 RADIUS、HWTACACS 兩種類型。HWTACACS 協(xié)議具有更加可靠的傳輸和加密特性，RADIUS 協(xié)議各服務(wù)器廠商支持

12、最為完善，在實(shí)際網(wǎng)絡(luò)規(guī)劃中應(yīng)用最為廣泛。對(duì)接入用戶的管理是敏捷交換機(jī)的主要職責(zé)，華為統(tǒng)一用戶管理技術(shù)就是基于敏捷交換機(jī)，實(shí)現(xiàn)有線、無(wú)線用戶在接入認(rèn)證、策略授權(quán)、用戶計(jì)費(fèi)等方面的融合管理能力，并在此基礎(chǔ)上，為企業(yè)園區(qū)提供有線、無(wú)線融合的網(wǎng)絡(luò)解決方案。HWTACACS 技術(shù)HWTACACS 是實(shí)現(xiàn) AAA 功能的一種安全協(xié)議，它與 RADIUS 協(xié)議類似，主要是通過(guò)HWTACACS 客戶端與 HWTACACS 服務(wù)器（即客戶端/服務(wù)器模式）通信來(lái)實(shí)現(xiàn)多種用戶的 AAA 功能。HWTACACS 是在 TACACS（RFC 1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議，使用公共密鑰對(duì)傳輸?shù)挠脩粜畔⑦M(jìn)行加密

13、,具有較好的安全性和靈活性。HWTACACS 采用 TCP 協(xié)議承載報(bào)文，TCP 端口號(hào)是 49，它相對(duì)于 RADIUS 使用 UDP 協(xié)議，使得傳輸更加可靠。HWTACACS 認(rèn)證功能，可以對(duì) 802.1X、Portal、PPP 等普通接入用戶進(jìn)行認(rèn)證，也可以對(duì)串口、telnet、SSH、ftp 等管理用戶進(jìn)行認(rèn)證。同樣，HWTACACS 授權(quán)功能，既可以對(duì)普通接入用戶進(jìn)行授權(quán)，也可以對(duì)登陸設(shè)備的管理用戶進(jìn)行授權(quán)，還可以對(duì)管理用戶的每條命令進(jìn)行授權(quán)。HWTACACS 計(jì)費(fèi)功能，既可以對(duì)普通接入用戶上線時(shí)間的傳統(tǒng)意義的網(wǎng)絡(luò)計(jì)費(fèi)，還可以記錄管理用戶登陸到設(shè)備停留時(shí)間記錄，用戶執(zhí)行操作命令進(jìn)行記錄

14、等。HWTACACS 兼容 CISCO 的 TACACS+協(xié)議，華為交換機(jī)作為 HWTACACS 客戶端可以和 TACACS+服務(wù)器對(duì)接實(shí)現(xiàn) AAA 功能。網(wǎng)絡(luò)組成HWTACACS 協(xié)議用于 802.1x、Portal、PPP 等接入用戶以及對(duì)設(shè)備進(jìn)行操作的 Telnet、SSH、FTP 等管理用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)，如 HYPERLINK l _bookmark10 圖 2-2 所示，主要由用戶、HWTACACS Client、HWTACACS Server 三部分組成。HWTACACS Client 通常也稱為NAS 網(wǎng)絡(luò)接入服務(wù)器，Switch 可作為 NAS 對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制

15、，NAS 和 HWTACACS Server 基于 HWTACACS 協(xié)議實(shí)現(xiàn)對(duì)用戶的 AAA 功能。HWTACACS Server 可以部署主備服務(wù)器， 當(dāng)主 HWTACACS Server 服務(wù)器故障不能訪問(wèn)，NAS 會(huì)切換到備 HWTACACS Server 去認(rèn)證、授權(quán)和計(jì)費(fèi)，保證用戶業(yè)務(wù)不中斷。圖2-2 基于 HWTACACS 協(xié)議的 AAA 組網(wǎng)HWTACACS 報(bào)文HWTACACS 認(rèn)證報(bào)文包括三種類型：認(rèn)證開始報(bào)文（Authentication Start）：認(rèn)證開始時(shí)，客戶端向服務(wù)器發(fā)送認(rèn)證開始報(bào)文，該報(bào)文中包括認(rèn)證類型，同時(shí)可能包括用戶名和一些認(rèn)證數(shù)據(jù)。認(rèn)證持續(xù)報(bào)文（Aut

16、hentication Continue）：客戶端接收到服務(wù)器回應(yīng)的認(rèn)證回應(yīng)報(bào)文后，如果確認(rèn)認(rèn)證過(guò)程沒(méi)有結(jié)束，則使用認(rèn)證持續(xù)報(bào)文響應(yīng)。認(rèn)證回應(yīng)報(bào)文（Authentication Reply）：服務(wù)器接收到客戶端發(fā)送的認(rèn)證開始報(bào)文或認(rèn)證持續(xù)報(bào)文后，向客戶端發(fā)送的唯一一種認(rèn)證報(bào)文，用于向客戶端反饋當(dāng)前認(rèn)證的狀態(tài)。HWTACACS 授權(quán)報(bào)文包括兩種類型：授權(quán)請(qǐng)求報(bào)文（Authorization Request）：HWTACACS 的認(rèn)證和授權(quán)是分離的，用戶可以使用 HWTACACS 認(rèn)證而使用其他協(xié)議進(jìn)行授權(quán)。如果需要通過(guò) HWTACACS 進(jìn)行授權(quán)， 則客戶端向服務(wù)器發(fā)送授權(quán)請(qǐng)求報(bào)文，該報(bào)文中包括

17、了授權(quán)所需的一切信息。授權(quán)回應(yīng)報(bào)文（Authorization Response）：服務(wù)器接收到授權(quán)請(qǐng)求報(bào)文后，向客戶端發(fā)送授權(quán)回應(yīng)報(bào)文，該報(bào)文中包括了授權(quán)的結(jié)果。HWTACACS 計(jì)費(fèi)報(bào)文包括兩種類型：計(jì)費(fèi)請(qǐng)求報(bào)文（Accounting Request）：該報(bào)文中包括了計(jì)費(fèi)所需的信息。計(jì)費(fèi)回應(yīng)報(bào)文（Accounting Response）：服務(wù)器接收并成功記錄計(jì)費(fèi)請(qǐng)求報(bào)文后，需要回應(yīng)一個(gè)計(jì)費(fèi)響應(yīng)報(bào)文。工作原理HWTACACS 工作流程下面以 Telnet 管理用戶為例，說(shuō)明使用 HWTACACS 對(duì)用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)的過(guò)程?；鞠⒔换チ鞒虉D如 HYPERLINK l _bookmar

18、k14 圖 2-3 所示。圖2-3 HWTACACS 的基本消息交互流程HWTACACS 認(rèn)證接入用戶和管理用戶認(rèn)證HWTACACS 用戶認(rèn)證分不認(rèn)證、本地認(rèn)證、遠(yuǎn)端認(rèn)證。不認(rèn)證對(duì)用戶非常信任，對(duì)用戶合法性不作檢查，一般不建議使用；本地認(rèn)證是將用戶名和密碼等信息直接配置在 NAS 上，不需要額外部署 HWTACACS 服務(wù)器，可以降低投入成本，但由于 NAS 存儲(chǔ)用戶信息有限，適合用戶數(shù)少的場(chǎng)景；遠(yuǎn)端認(rèn)證用戶名和密碼等信息配置在遠(yuǎn)端的 HWTACACS 服務(wù)器上，對(duì)用戶信息集中管理，適合用戶數(shù)較多的場(chǎng)景。HWTACACS 認(rèn)證方案支持一次認(rèn)證方法或多次認(rèn)證方法的組合。網(wǎng)絡(luò)中可能出現(xiàn)認(rèn)證服務(wù)器本

19、身故障或 NAS 到認(rèn)證服務(wù)器中間鏈路故障，用戶在認(rèn)證過(guò)程中得不到認(rèn)證服務(wù)器的響應(yīng)，用戶就不能成功認(rèn)證接入網(wǎng)絡(luò)，HWTACACS 認(rèn)證方案的多次認(rèn)證組合為這種故障提供了旁路機(jī)制。多次認(rèn)證是按照認(rèn)證方法的配置順序執(zhí)行，采用當(dāng)前認(rèn)證方法進(jìn)行認(rèn)證的時(shí)，只有在認(rèn)證服務(wù)器無(wú)響應(yīng)的情況下，才會(huì)嘗試下一個(gè)認(rèn)證方法。如果當(dāng)前認(rèn)證方法已認(rèn)證失敗，則按認(rèn)證失敗處理，不會(huì)嘗試下一個(gè)認(rèn)證方法。如果選用了多次認(rèn)證，不認(rèn)證只能是最后一個(gè)認(rèn)證方法。管理用戶級(jí)別提升認(rèn)證為了限制不同管理用戶對(duì)設(shè)備的訪問(wèn)權(quán)限，系統(tǒng)對(duì)用戶進(jìn)行了分級(jí)管理。用戶的級(jí)別與命令級(jí)別對(duì)應(yīng)，不同級(jí)別的用戶登錄設(shè)備后，只能使用等于或低于自己級(jí)別的命令。但在有些

20、情況下，用戶需要在不退出當(dāng)前登錄或不斷開當(dāng)前連接的前提下，提升自身的用戶級(jí)別，讓自己享有更高的命令操作權(quán)限。用戶級(jí)別的提升需要認(rèn)證，只有認(rèn)證通過(guò)， 才賦予該管理用戶新的訪問(wèn)權(quán)限，但用戶從當(dāng)前高級(jí)別權(quán)限向低級(jí)別切換時(shí)，無(wú)需認(rèn)證。如維護(hù)人員以較低級(jí)別的用戶身份登錄設(shè)備，查看設(shè)備運(yùn)行狀態(tài)，當(dāng)需要進(jìn)行配置、維護(hù)類操作時(shí)，就希望臨時(shí)切換到較高的級(jí)別，這種切換后的級(jí)別是臨時(shí)的，只對(duì)當(dāng)前登錄生效，用戶重新登錄后，又會(huì)恢復(fù)到原有級(jí)別。管理用戶級(jí)別提升認(rèn)證同樣支持不認(rèn)證、本地認(rèn)證、遠(yuǎn)端認(rèn)證三種認(rèn)證方法，也支持多次認(rèn)證方法的組合，原理同上面用戶認(rèn)證過(guò)程實(shí)現(xiàn)類似。如下所示，某個(gè)網(wǎng)絡(luò)管理部門的所有維護(hù)人員均使用 HW

21、TACACS 認(rèn)證登陸設(shè)備，且登陸設(shè)備的用戶級(jí)別設(shè)置為 0 級(jí)（即 VISIT 級(jí)別），維護(hù)人員只具有一些基本的網(wǎng)絡(luò)診斷操作命令執(zhí)行權(quán)限，如 ping、tracert 功能等。維護(hù)人員可以通過(guò) super 命令提升自己的級(jí)別，該部門的核心維護(hù)人員具有設(shè)備操作的最高權(quán)限，在輸入正確的密碼認(rèn)證通過(guò)之后， 將自己級(jí)別提升到 3 級(jí)（即 MANAGE 級(jí)），這樣該維護(hù)人員對(duì)設(shè)備具有所有命令行的操作權(quán)限。管理用戶 HWTACACS 服務(wù)器上賬戶密碼修改為了提升設(shè)備管理的安全性，在HWTACACS 服務(wù)器上設(shè)置允許修改管理用戶密碼功能， 同時(shí)需要設(shè)定密碼有效期限和密碼老化告警期，只有在用戶名和密碼沒(méi)有過(guò)期

22、的情況下， 才允許用戶主動(dòng)修改密碼；對(duì)于密碼已經(jīng)過(guò)期的用戶，登錄設(shè)備時(shí)，HWTACACS 服務(wù)器將返回認(rèn)證不成功，不能成功登陸設(shè)備，當(dāng)然就不允許用戶主動(dòng)更改密碼。當(dāng)用戶密碼 在有效期內(nèi)并且進(jìn)入最后的密碼老化告警期后，在管理用戶每次登陸設(shè)備時(shí)，都會(huì)提醒 用戶密碼將要終止和讓其及時(shí)修改密碼。在 HWTACACS 服務(wù)器上設(shè)置管理用戶密碼修改功能之后，Telnet 或 SSH 登陸的管理員可以直接在設(shè)備上修改密碼，而不需要登陸到 HWTACACS 服務(wù)器上去修改，這樣就不要所有的設(shè)備管理員擁有 HWTACACS 服務(wù)器登陸權(quán)限。如下所示，經(jīng)過(guò) HWTACACS 認(rèn)證的用戶主動(dòng)修改用戶密碼。HWTAC

23、ACS 授權(quán)接入用戶和管理用戶 EXEC 授權(quán)接入用戶授權(quán)是指通過(guò) HWTACACS 服務(wù)器對(duì) 802.1X、Portal 等接入用戶進(jìn)行權(quán)限控制； 管理用戶 EXEC 授權(quán)是指通過(guò) HWTACACS 服務(wù)器對(duì) telnet、SSH 和 FTP 登錄的管理用戶進(jìn)行權(quán)限控制。用戶授權(quán)是通過(guò) NAS 和 HWTACACS 服務(wù)器交互授權(quán)報(bào)文中攜帶的HWTACACS 屬性來(lái)完成信息傳遞的，HWTACACS 屬性詳情可參考附錄。接入用戶授權(quán)可以給用戶下發(fā)上行/下行的 CIR、上行/下行的 PIR、IP 地址、DNS 地址等。管理用戶 EXEC 授權(quán)可以給管理用戶下發(fā) idle-time、privile

24、ge-level、ftp-directory、auto- cmd 等屬性。idle-time 屬性用于當(dāng)管理用戶登陸到設(shè)備后，在多長(zhǎng)時(shí)間段沒(méi)有操作就將用戶連接切斷。privilege-level 屬性是授權(quán)管理用戶的登陸級(jí)別。ftp- directory 屬性是授權(quán) FTP 用戶的本地目錄。auto-cmd 屬性是授權(quán)管理用戶登陸設(shè)備后，自動(dòng)執(zhí)行下發(fā)的指定命令行。HWTACACS 支持不授權(quán)、本地授權(quán)及遠(yuǎn)端授權(quán)的組合授權(quán)，HWTACACS 組合授權(quán)原理和 HWTACACS 組合認(rèn)證原理類似，如 HWTACACS 遠(yuǎn)端授權(quán)由于沒(méi)有響應(yīng)遠(yuǎn)端授權(quán)失敗后，可以跳轉(zhuǎn)到本地授權(quán)。管理用戶命令行授權(quán)HWTA

25、CACS 可以對(duì)管理用戶進(jìn)行用戶級(jí)別授權(quán)和用戶命令行授權(quán)。telnet、SSH、FTP 等管理用戶的級(jí)別權(quán)限分為 0-訪問(wèn)級(jí)，1-監(jiān)控級(jí)，2-系統(tǒng)級(jí)，3-管理級(jí)四個(gè)級(jí)別。管理級(jí)的權(quán)限最高，可以使用所有的命令；其他的級(jí)別越低，可以進(jìn)入的視圖及使用的命令行就越少；高級(jí)別擁有低級(jí)別的命令行操作權(quán)限。訪問(wèn)級(jí)只具有如 ping、tracert 網(wǎng)絡(luò)診斷和 telnet、SSH 訪問(wèn)外部設(shè)備的權(quán)限；監(jiān)控級(jí)具有系統(tǒng)維護(hù)權(quán)限，如 display 等顯示查詢命令；系統(tǒng)級(jí)用戶具有業(yè)務(wù)配置命令權(quán)限；管理級(jí)具有最高權(quán)限，除了業(yè)務(wù)配置命令權(quán)限外，還擁有系統(tǒng)管理權(quán)限（如文件系統(tǒng)、FTP、TFTP 下載）、用戶管理命令、命

26、令級(jí)別設(shè)置命令、業(yè)務(wù)故障診斷的 debugging 命令等。雖然管理用戶可分為四個(gè)級(jí)別命令權(quán)限，每個(gè)級(jí)別的不同管理用戶都具有相同的命令操作權(quán)限，這樣應(yīng)用還不夠靈活，如果要想相同級(jí)別的管理用戶，也具有不同的命令行操作權(quán)限，可以通過(guò)命令行授權(quán)來(lái)實(shí)現(xiàn)。命令行授權(quán)是基于用戶級(jí)別對(duì)每一條命令行逐條授權(quán)，即某一級(jí)別的用戶可以看到該級(jí)別的所有命令行，但只有授權(quán)通過(guò)后才可以執(zhí)行該命令，否則命令會(huì)執(zhí)行失敗。如下圖所示，首先在NAS 設(shè)備上使能命令行授權(quán)功能，在 HWTACACS 服務(wù)器上創(chuàng)建授權(quán)命令行集，對(duì)需要授權(quán)的用戶綁定命令行授權(quán)集。管理用戶登陸到 NAS 設(shè)備上，如果該管理員對(duì)應(yīng)的用戶級(jí)別沒(méi)有設(shè)置命令行授

27、權(quán)功能，按照正常處理，命令行立即執(zhí)行成功；如果已經(jīng)配置了命令行授權(quán)功能，它每配置一條命令都需要NAS 向 HWTACACS 服務(wù)器發(fā)送命令行授權(quán)請(qǐng)求報(bào)文，HWTACACS 服務(wù)器會(huì)查詢?cè)摴芾碛脩羰欠駥?duì)此命令行已經(jīng)授權(quán)，若已經(jīng)授權(quán)則回應(yīng)授權(quán)成功，此命令在 NAS 上執(zhí)行成功；若沒(méi)有授權(quán)此命令則回應(yīng)授權(quán)失敗，在NAS 上執(zhí)行失敗。HWTACACS 計(jì)費(fèi)接入用戶計(jì)費(fèi)接入用戶計(jì)費(fèi)是指對(duì) 802.1x、Portal、PPP 等普通用戶接入網(wǎng)絡(luò)的傳統(tǒng)意義的計(jì)費(fèi)。在用戶初始接入時(shí)發(fā)送開始計(jì)費(fèi)報(bào)文，用戶在線過(guò)程中定時(shí)發(fā)送實(shí)時(shí)計(jì)費(fèi)報(bào)文，用戶下線時(shí)發(fā)送結(jié)束計(jì)費(fèi)報(bào)文。HWTACACS 協(xié)議計(jì)費(fèi)包括按時(shí)長(zhǎng)計(jì)費(fèi)和按流量

28、計(jì)費(fèi)兩種模式。按時(shí)長(zhǎng)計(jì)費(fèi)是按照用戶在線的時(shí)間長(zhǎng)短來(lái)計(jì)費(fèi)；按流量計(jì)費(fèi)是按照用戶上線使用的流量大小來(lái)計(jì)費(fèi)。管理用戶記錄審計(jì) HYPERLINK l _bookmark18 如圖 2-4 所示，管理用戶跟普通接入用戶一樣，在用戶登陸設(shè)備開始可以發(fā)送計(jì)費(fèi)開始報(bào)文，退出登陸設(shè)備時(shí)發(fā)送計(jì)費(fèi)結(jié)束報(bào)文，在 HWTACACS 服務(wù)器上記錄登陸開始時(shí)間和結(jié)束時(shí)間，即在 HWTACACS 服務(wù)器上記錄用戶登陸信息，但管理用戶通常不需要計(jì)費(fèi)，一般用于管理用戶登陸信息的記錄和審查。HWTACACS 計(jì)費(fèi)報(bào)文可以在 HWTACACS 服務(wù)器上記錄兩種類型的管理用戶登陸信息，第一種是用戶通過(guò) Telnet 或者 FTP 等

29、方式登錄到NAS 設(shè)備的場(chǎng)景；第二種是用戶將 NAS 設(shè)備作為 Telnet 或者 FTP 的客戶端登錄到遠(yuǎn)程服務(wù)器端的場(chǎng)景，用戶登陸 NAS 設(shè)備后，再輸入命令與遠(yuǎn)程服務(wù)器的建立連接并訪問(wèn)遠(yuǎn)程主機(jī)上的文件。這兩種信息的登陸記錄通常稱為 connection 信息記錄。圖2-4 管理用戶 connection 信息記錄 HYPERLINK l _bookmark19 如圖 2-5 所示，HWTACACS 計(jì)費(fèi)報(bào)文還可以發(fā)送管理員在設(shè)備上配置的任何命令行，在HWTACACS 服務(wù)器上記錄配置的命令行，此信息記錄通常稱為 command 記錄，可以為錯(cuò)誤配置導(dǎo)致業(yè)務(wù)受損提供歷史命令配置軌跡查詢；設(shè)

30、備還支持通過(guò)發(fā)送 HWTACACS 計(jì)費(fèi)報(bào)文，在服務(wù)器上記錄系統(tǒng)級(jí)事件（如單板復(fù)位等），此信息記錄通常稱為 system信息記錄，可以幫助管理員用戶根據(jù)服務(wù)器上的記錄信息進(jìn)行故障定位。圖2-5 管理用戶 command 記錄和 system 信息記錄技術(shù)對(duì)比HWTACACS 協(xié)議與 RADIUS 協(xié)議相比較，具有以下優(yōu)勢(shì)。從 HWTACACS 優(yōu)勢(shì)來(lái)看，HWTACACS 更適合設(shè)備控制管理；RADIUS 協(xié)議更適合接入用戶管理，兩種協(xié)議對(duì)比：AAA 功能靈活部署AAA 功能的認(rèn)證、授權(quán)和計(jì)費(fèi)，這三個(gè)過(guò)程是可以完全分離的，即用戶可以只認(rèn)證不授權(quán)，或者只授權(quán)不認(rèn)證，或者單單只計(jì)費(fèi)。設(shè)備管理更安全靈

31、活采用 HWTACACS 對(duì)登陸到設(shè)備的管理用戶進(jìn)行命令行授權(quán)，用戶執(zhí)行每條命令行時(shí)均進(jìn)行權(quán)限控制，只有授權(quán)通過(guò)后才可以執(zhí)行該命令，否則不能執(zhí)行，這樣用戶可使用的命令行受到命令級(jí)別和 AAA 授權(quán)的雙重限制，針對(duì)不同級(jí)別的管理用戶進(jìn)行精細(xì)化的命令行操作授權(quán)，使得設(shè)備管理更加安全和靈活。網(wǎng)絡(luò)傳輸更可靠HWTACACS 采用 TCP 協(xié)議承載，TCP 協(xié)議是面向連接的，而 RADIUS 協(xié)議是采用 UDP報(bào)文傳輸?shù)?，HWTACACS 報(bào)文網(wǎng)絡(luò)傳輸更加可靠。傳輸安全性更高HWTACACS 會(huì)對(duì)除標(biāo)準(zhǔn)的 HWTACACS 報(bào)文頭外，對(duì)報(bào)文主體全部進(jìn)行加密，使得在報(bào)文傳輸過(guò)程中更加安全。HWTACACS

32、 協(xié)議與 RADIUS 協(xié)議的對(duì)比：HWTACACSRADIUS通過(guò) TCP 傳輸，網(wǎng)絡(luò)傳輸更可靠。通過(guò) UDP 傳輸，網(wǎng)絡(luò)傳輸效率及性能更高。除了標(biāo)準(zhǔn)的 HWTACACS 報(bào)文頭，對(duì)報(bào)文主體全部進(jìn)行加密。只是對(duì)認(rèn)證報(bào)文中的密碼字段進(jìn)行加密。認(rèn)證與授權(quán)分離，使得認(rèn)證、授權(quán)服務(wù)可以在不同的安全服務(wù)器上實(shí)現(xiàn)。例如，可以用一臺(tái) HWTACACS 服務(wù)器進(jìn)行認(rèn)證，另外一臺(tái) HWTACACS 服務(wù)器進(jìn)行授權(quán)。認(rèn)證與授權(quán)結(jié)合，難以分離。對(duì)設(shè)備上的配置命令進(jìn)行授權(quán)使用。即用戶可使用的命令行受到命令級(jí)別和AAA 授權(quán)的雙重限制，某一級(jí)別的用戶輸入的每一條命令都需要通過(guò) HWTACACS 服務(wù)器授權(quán)，如果授權(quán)通

33、過(guò)，命令才可以被執(zhí)行。不支持對(duì)設(shè)備上的配置命令進(jìn)行授權(quán)使用。用戶登錄設(shè)備后可以使用的命令行由用戶級(jí)別決定，用戶只能使用級(jí)別等于或低于用戶級(jí)別的命令行。HWTACACS 屬于私有協(xié)議，兼容TACACS+。RADIUS 是標(biāo)準(zhǔn)協(xié)議，基本所有主流設(shè)備廠商都支持，可對(duì)接的服務(wù)器選擇更多；RADIUS 屬性包括標(biāo)準(zhǔn)屬性和私有屬性，各設(shè)備廠商可對(duì)私有屬性進(jìn)行靈活擴(kuò)展，以實(shí)現(xiàn)標(biāo)準(zhǔn) RADIUS 沒(méi)有定義的功能。HWTACACS 在命令行授權(quán)、修改服務(wù)器上管理用戶密碼等設(shè)備控制方面具有優(yōu)勢(shì)，更適合設(shè)備用戶管理。RADIUS 屬性易擴(kuò)展、網(wǎng)絡(luò)傳輸效率及性能優(yōu)，RADIUS 協(xié)議各服務(wù)器廠商支持最為完善，服務(wù)器選

34、擇多,在實(shí)際網(wǎng)絡(luò)規(guī)劃中應(yīng)用最為廣泛。2.2 接入認(rèn)證技術(shù)常用的接入認(rèn)證方式有 MAC 認(rèn)證、802.1X 認(rèn)證、Portal 認(rèn)證、PPPoE 認(rèn)證等，在統(tǒng)一用戶管理技術(shù)中，多種認(rèn)證方法可集中部署在敏捷交換機(jī)上，配合 AAA 服務(wù)器共同完成策略控制和用戶管理功能，為企業(yè)園區(qū)提供安全可靠的接入控制。2.2.1 MAC 認(rèn)證MAC 認(rèn)證就是以終端的 MAC 地址作為身份憑據(jù)到系統(tǒng)進(jìn)行認(rèn)證，用戶無(wú)需輸入用戶名和密碼。啟用 MAC 認(rèn)證后，當(dāng)終端接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)準(zhǔn)入設(shè)備提取終端 MAC 地址，并送到遠(yuǎn)端 AAA 服務(wù)器進(jìn)行認(rèn)證。一般對(duì)于啞終端，如打印機(jī)、IP 電話等設(shè)備，無(wú)法通過(guò)輸入用戶帳號(hào)信息的方式

35、進(jìn)行認(rèn)證授權(quán)，此時(shí)采用 MAC 認(rèn)證的方式實(shí)現(xiàn)對(duì)終端的網(wǎng)絡(luò)訪問(wèn)控制。2.2.2 802.1x 認(rèn)證802.1X 認(rèn)證使用 EAP 認(rèn)證協(xié)議，實(shí)現(xiàn)終端、準(zhǔn)入設(shè)備和 AAA 服務(wù)器之間認(rèn)證信息的交換。標(biāo)準(zhǔn) 802.1X 協(xié)議用于在局域網(wǎng)接入設(shè)備的端口級(jí)別，對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制，是一種基于端口的準(zhǔn)入控制協(xié)議。當(dāng)交換機(jī)同一物理端口下掛 HUB 時(shí)，可接入多個(gè)用戶終端，對(duì)于標(biāo)準(zhǔn)的基于端口的802.1X 協(xié)議，無(wú)法實(shí)現(xiàn)對(duì)各個(gè)終端的單獨(dú)訪問(wèn)控制。華為交換機(jī)對(duì)標(biāo)準(zhǔn) 802.1X 協(xié)議進(jìn)行了功能增強(qiáng)，實(shí)現(xiàn)了基于 MAC 的 802.1X 訪問(wèn)控制。在華為交換機(jī)上，如果單端口接入多用戶終端時(shí)，支持針對(duì)

36、具體終端實(shí)施不同的權(quán)限控制。在實(shí)際部署中，802.1X 認(rèn)證一般用于辦公區(qū)域員工接入，提升辦公環(huán)境安全性。Portal 認(rèn)證Portal 認(rèn)證一般通過(guò) Web 認(rèn)證頁(yè)面，輸入用戶帳號(hào)信息，由 Portal 服務(wù)器、AAA 服務(wù)器和網(wǎng)絡(luò)設(shè)備配合，實(shí)現(xiàn)對(duì)終端用戶身份的認(rèn)證。由于 Portal 認(rèn)證無(wú)需安裝客戶端軟件， 這使得 Portal 認(rèn)證在園區(qū)網(wǎng)中獲得廣泛的應(yīng)用，特別是在安全要求適中的公共區(qū)域，對(duì)于外部訪客可采用便捷的 Portal 認(rèn)證接入。PPPoE 認(rèn)證PPP（Point-to-Point Protocol）協(xié)議是一種在點(diǎn)到點(diǎn)鏈路上傳輸、封裝網(wǎng)絡(luò)層數(shù)據(jù)包的數(shù)據(jù)鏈路層協(xié)議。由于它能夠提供

37、用戶認(rèn)證、易于擴(kuò)充，并且支持同/異步通信，因而獲得廣泛應(yīng)用。PPPoE(PPP over Ethernet)屬于鏈路層協(xié)議，主要功能是在以太網(wǎng)上提供點(diǎn)到點(diǎn)的連接， 建立 PPP 會(huì)話，以及封裝 PPP 數(shù)據(jù)包的方法，是 PPP 協(xié)議在更廣范圍內(nèi)應(yīng)用的補(bǔ)充性協(xié)議。PPPoE 協(xié)議采用 Client/Server 方式。主機(jī)作為 PPPoE Client,交換機(jī)作為 PPPoE Server。每個(gè) PPPoE Client 都和 PPPoE Server 建立點(diǎn)到點(diǎn)的連接。由 PPPoE Server 統(tǒng)一對(duì) PPPoE Client 進(jìn)行接入控制、認(rèn)證、計(jì)費(fèi)。PPPoE 報(bào)文格式 HYPERLI

38、NK l _bookmark27 如圖 2-6 為 PPPoE 報(bào)文格式，PPPoE 報(bào)文封裝在以太幀中。PPPoE 包含發(fā)現(xiàn)（Discovery）和會(huì)話（Session）兩個(gè)階段。這兩個(gè)階段通過(guò)以太網(wǎng)的類型域（Ether_Type）進(jìn)行區(qū)分：在 PPPoE 的發(fā)現(xiàn)階段時(shí)，以太網(wǎng)類型域值為 0 x8863在 PPPoE 的會(huì)話階段時(shí)，以太網(wǎng)類型域值為 0 x8864圖2-6 PPPoE 報(bào)文格式PPPoE 報(bào)文包含固定格式的報(bào)文頭和可變長(zhǎng)度的載荷：版本（4bits），該域的值為 0 x01；類型（4bits），該域的值為 0 x01；代碼（1byte），PPPoE 的不同階段這個(gè)域內(nèi)的內(nèi)容不同

39、；會(huì)話 ID（2bytes），當(dāng) PPPoE Server 還未分配唯一的會(huì)話 ID 給 PPPoE Client 時(shí)，則該域內(nèi)的內(nèi)容必須填充為 0 x0000，一旦 PPPoE Client 獲取了會(huì)話 ID 后，那么在后續(xù)的所有報(bào)文中該域必須填充那個(gè)唯一的會(huì)話 ID 值；長(zhǎng)度（2bytes），用來(lái)表示 PPPoE 報(bào)文中載荷的長(zhǎng)度；載荷，可以為控制報(bào)文和數(shù)據(jù)報(bào)文。PPPoE 發(fā)現(xiàn)報(bào)文格式 HYPERLINK l _bookmark29 如圖 2-7 為 PPPoE 發(fā)現(xiàn)階段報(bào)文格式，在此階段以太網(wǎng)類型域值始終為 0 x8863。圖2-7 PPPoE 發(fā)現(xiàn)報(bào)文格式發(fā)現(xiàn)階段 PPPoE 報(bào)文頭

40、中的 Code 值標(biāo)識(shí)不同類型的發(fā)現(xiàn)報(bào)文，其含義如下表：Code含義0 x09PADI(PPPoE Active Discovery Initiation)發(fā)現(xiàn)初始報(bào)文0 x07PADO(PPPoE Active Discovery Offer) 發(fā)現(xiàn)提供報(bào)文Code含義0 x19PADR(PPPoE Active Discovery Request) 發(fā)現(xiàn)請(qǐng)求報(bào)文0 x65PADS(PPPoE Active Discovery Session-confirmation) 發(fā)現(xiàn)會(huì)話確認(rèn)報(bào)文0 xa7PADT(PPPoE Active Discovery Terminate) 發(fā)現(xiàn)終止報(bào)文發(fā)現(xiàn)階

41、段的 PPPoE 報(bào)文載荷可以攜帶多個(gè) TAG（標(biāo)記），TAG 的具體值和含義如下表所示：TAG名稱含義0 x0000End-of-list表示 PPPoE 報(bào)文中多個(gè)連續(xù)標(biāo)記的結(jié)束，為了保證版本的兼容性而保留0 x0101Service-Name服務(wù)名稱，主要用來(lái)表明網(wǎng)絡(luò)側(cè)所能提供給用戶的服務(wù)名稱0 x0102AC-Name訪問(wèn)集中器名稱，當(dāng)用戶側(cè)接收到了AC 的回應(yīng)的 PADO 報(bào)文時(shí)，就可獲從所攜帶的標(biāo)記中獲知訪問(wèn)集中器的名字，并根據(jù)此來(lái)選擇相應(yīng)的訪問(wèn)集中器。0 x0103Host-Uniq主機(jī)唯一標(biāo)識(shí)，主要是用來(lái)匹配發(fā)送和接收端0 x0104AC-CookieAC-Cookies，主要

42、被用來(lái)防止惡意性 DOS 功擊。0 x0105Verdor-Specific生產(chǎn)廠家的標(biāo)識(shí)符。0 x0110Relay-Session-ID中繼會(huì)話 ID0 x0201Service-Name-Error服務(wù)名稱錯(cuò)誤，當(dāng)請(qǐng)求的服務(wù)名稱不被對(duì)端接受時(shí)，會(huì)在響應(yīng)的報(bào)文中攜帶這個(gè)標(biāo)記。0 x0202AC-System-Error訪問(wèn)集中器出錯(cuò)。0 x0203Generic-Error通用錯(cuò)誤。PPPoE 會(huì)話報(bào)文格式 HYPERLINK l _bookmark31 如圖 2-8 為 PPPoE 會(huì)話階段報(bào)文格式，在此階段以太網(wǎng)類型域值始終為 0 x8864。以太幀的源 MAC 地址為 PPPoE C

43、lient 的 MAC 地址，目的MAC 地址為 PPPoE Server 地址。會(huì)話階段 PPPoE 報(bào)文頭中的 Code 值為 0 x00，會(huì)話 ID 為發(fā)現(xiàn)階段 PPPoE Server 所分配的會(huì)話 ID。PPPoE 的載荷為 PPP 報(bào)文，但只包含 PPP 報(bào)文的協(xié)議域和數(shù)據(jù)域。圖2-8 PPPoE 會(huì)話報(bào)文格式下表列出了 PPP 的常用 Protocol 和含義：報(bào)文類型PPP Protocol含義LCP0 xc021LCP 協(xié)商報(bào)文ECHO0 xc021心跳報(bào)文，通過(guò) PPP Code 區(qū)分PAP0 xc023PAP 認(rèn)證CHAP0 xc223CHAP 認(rèn)證IPCP0 x8021

44、IPCP 協(xié)商報(bào)文IP0 x0021PPP 承載的 IP 數(shù)據(jù)報(bào)文PPPoE 業(yè)務(wù)流程PPPoE 協(xié)議采用 Client/Server 方式，它將 PPP 報(bào)文封裝在以太網(wǎng)幀之內(nèi)，在以太網(wǎng)上提供點(diǎn)對(duì)點(diǎn)的連接。PPPoE 協(xié)議共包括兩個(gè)階段，即 PPPoE 發(fā)現(xiàn)階段（PPPoE Discovery Stage）和 PPPoE 會(huì)話階段（PPPoE Session Stage）。在 PPPoE 發(fā)現(xiàn)階段，PPPoE Client 與 PPPoE Server 之間獲知對(duì)方的 MAC 地址和分配唯一的會(huì)話 ID 號(hào)。圖2-9 PPPoE 業(yè)務(wù)流程PPPoE 發(fā)現(xiàn)階段上線流程可分為四步，如 HYPER

45、LINK l _bookmark33 圖 2-10 所示： 圖2-10 PPPoE 協(xié)商上線流程PPPoE Client 由于不知道 PPPoE Server 的MAC 地址，所以廣播發(fā)送一個(gè)PAD（IPPPoEActive Discovery Initial）報(bào)文，源 MAC 為 PPPoE Client 的 MAC 地址，會(huì)話 ID 為 0。在此報(bào)文中包含兩個(gè)標(biāo)記：一個(gè)是主機(jī)唯一標(biāo)識(shí)，另一個(gè)是服務(wù)名稱標(biāo)記。如果服務(wù)名沒(méi)有具體實(shí)際的內(nèi)容，則說(shuō)明 PPPoE Client 可以接受任何由 PPPoE Server 所提供的服務(wù)；所有的 PPPoE Server 收到PADI 報(bào)文之后，將其中請(qǐng)

46、求的服務(wù)與自己能夠提供的服務(wù)進(jìn)行比較，如果可以提供，則單播回復(fù)一個(gè) PADO（PPPoE Active Discovery Offer） 報(bào)文。該報(bào)文所對(duì)應(yīng)的以太網(wǎng)幀的源地址填充 PPPoE Server 的 MAC 地址，目的地址則填充從 PADI 中所獲取的 PPPoE Client 的 MAC 地址。另外 PPPoE 報(bào)文會(huì)話 ID 為 0，在此報(bào)文中包含訪問(wèn)集中器名稱，即 PPPoE Serve 的名稱。根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，PPPoE Client 可能收到多個(gè) PPPoE Server 發(fā)送的PADO 報(bào)文， PPPoE Client 選擇最先收到的 PADO 報(bào)文對(duì)應(yīng)的 PPPoE

47、 Server 做為自己的 PPPoE Server，并單播發(fā)送一個(gè) PADR（PPPoE Active Discovery Request）報(bào)文。PPPoE Server 產(chǎn)生一個(gè)唯一的會(huì)話ID（Session ID），標(biāo)識(shí) PPPoE Client 的這個(gè)會(huì)話，通過(guò)發(fā)送一個(gè) PADS（PPPoE Active Discovery Session-confirmation）報(bào)文把會(huì)話 ID 發(fā)送給 PPPoE Client，會(huì)話建立成功后便進(jìn)入 PPPoE Session 階段。完成之后通信雙方都會(huì)知道 PPPoE 的 Session_ID 以及對(duì)方以太網(wǎng)地址，它們共同確定了唯一的 PPPo

48、E Session。圖2-11 PPPoE 協(xié)商下線流程PPP 通信雙方應(yīng)該使用 PPP 協(xié)議自身來(lái)結(jié)束 PPPoE 會(huì)話，但在無(wú)法使用 PPP 協(xié)議結(jié)束會(huì)話時(shí)可以使用 PADT（PPPoE Active Discovery Terminate）報(bào)文來(lái)結(jié)束會(huì)話。 HYPERLINK l _bookmark34 如圖 2-11 所示，進(jìn)入 PPPoE Session 階段后，PPPoE Client 和 PPPoE Server 都可以通過(guò)發(fā)送 PADT 報(bào)文的方式來(lái)結(jié)束 PPPoE 連接。PADT 數(shù)據(jù)包可以在會(huì)話建立以后的任意時(shí)刻單播發(fā)送。在發(fā)送或接收到PADT 后，就不允許再使用該會(huì)話發(fā)送

49、 PPP 流量了。PPPoE 會(huì)話階段流程PPPoE Discovery 階段的工作為 PPPoE Client 和 PPPoE Server 之間建立了 Session，之后PPPoE 便進(jìn)入到 Session 階段，Session 階段可劃分為兩部分，一是 PPPoE 認(rèn)證的 PPP 協(xié)商階段，二是 PPP 報(bào)文傳輸階段。PPPoE 認(rèn)證過(guò)程中的 PPP 協(xié)商和普通的 PPP 協(xié)商方式一致，分為 LCP、認(rèn)證、NCP 三個(gè)階段。LCP 協(xié)商LCP 協(xié)商階段主要完成建立、配置和檢測(cè)數(shù)據(jù)鏈路連接。用于 PPPoE Client 和 PPPoE Server 之間協(xié)商認(rèn)證方式(PAP 或者 CH

50、AP)和最大接收單元 MRU(Maximum Receive Unit)。LCP 協(xié)商的過(guò)程如下：協(xié)商雙方互相發(fā)送一個(gè) Config-Request 報(bào)文，確認(rèn)收到的 Config- Request 報(bào)文中的協(xié)商選項(xiàng)，根據(jù)這些選項(xiàng)的支持與接受情況，做出適當(dāng)?shù)幕貞?yīng)。若兩端都回應(yīng)了 Config-ACK，則標(biāo)志 LCP 鏈路建立成功，否則雙方會(huì)繼續(xù)發(fā)送 Config-Request報(bào)文，直到對(duì)端回應(yīng)了 Config-ACK 報(bào)文為止。 HYPERLINK l _bookmark36 如圖 2-12 為 LCP 協(xié)商的基本過(guò)程：圖2-12 LCP 協(xié)商流程認(rèn)證LCP 協(xié)商成功后，開始進(jìn)行認(rèn)證工作，認(rèn)

51、證協(xié)議類型由 LCP 協(xié)商結(jié)果（CHAP 或者 PAP） 決定。CHAP 與PAP 驗(yàn)證過(guò)程對(duì)比：PAP 認(rèn)證中，口令以明文方式在鏈路上發(fā)送，完成 PPP 鏈路建立后，PPPoE Client 會(huì)不停地在鏈路上反復(fù)發(fā)送用戶名和口令，直到身份驗(yàn)證過(guò)程結(jié)束，所以安全性不高。當(dāng)實(shí)際應(yīng)用過(guò)程中，對(duì)安全性要求不高時(shí)，可以采用 PAP 認(rèn)證建立 PPP 連接。CHAP 認(rèn)證中，驗(yàn)證協(xié)議為三次握手驗(yàn)證協(xié)議。它只在網(wǎng)絡(luò)上傳輸用戶名，而并不傳輸用戶密碼，因此安全性比 PAP 認(rèn)證高。當(dāng)實(shí)際應(yīng)用過(guò)程中，對(duì)安全性要求較高時(shí)，可以采用 CHAP 認(rèn)證建立 PPP 連接。圖2-13 PAP 認(rèn)證 HYPERLINK l

52、 _bookmark37 如圖 2-13 所示為PAP 認(rèn)證。PAP 驗(yàn)證協(xié)議為兩次握手驗(yàn)證，口令為明文。PPPoE Client 把本地用戶名和口令發(fā)送到 PPPoE ServerPPPoE Server 根據(jù)本地用戶表查看是否有 PPPoE Client 的用戶名若有，則查看口令是否正確，若口令正確，則認(rèn)證通過(guò)；若口令不正確，則認(rèn)證失敗。若沒(méi)有，則認(rèn)證失敗。圖2-14 CHAP 認(rèn)證 HYPERLINK l _bookmark38 如圖 2-14 所示為 CHAP 認(rèn)證過(guò)程。CHAP 驗(yàn)證協(xié)議為三次握手驗(yàn)證協(xié)議，它在網(wǎng)絡(luò)上采用加密形式傳輸用戶密碼，因此安全性要比 PAP 高。PPPoE S

53、erver 主動(dòng)發(fā)起驗(yàn)證請(qǐng)求，PPPoE Server 向 PPPoE Client 發(fā)送一些隨機(jī)產(chǎn)生的報(bào)文（Challenge）。PPPoE Client 接到 PPPoE Server 的驗(yàn)證請(qǐng)求后，利用報(bào)文 ID、CHAP 密碼和 MD5 算法對(duì)該隨機(jī)報(bào)文進(jìn)行加密，將生成的密文和自己的用戶名發(fā)回 PPPoE Server（Response）。PPPoE Server 用自己保存的 PPPoE Client 密碼和MD5 算法對(duì)原隨機(jī)報(bào)文加密，比較二者的密文，若比較結(jié)果一致，認(rèn)證通過(guò)，若比較結(jié)果不一致，認(rèn)證失敗。NCP 協(xié)商認(rèn)證成功后，PPP 進(jìn)入 NCP 階段。NCP 階段的主要功能是協(xié)

54、商 PPP 報(bào)文的網(wǎng)絡(luò)層參數(shù)，如 IP 地址，DNS Server IP 地址，WINS Server IP 地址等。NCP 協(xié)商支持多種協(xié)議，如 IPCP 協(xié)議、BCP 協(xié)議,最為常用的是 IPCP 協(xié)議。PPPoE 用戶主要通過(guò)IPCP 來(lái)獲取訪問(wèn)網(wǎng)絡(luò)的 IP 地址或IP 地址段。IPCP 的協(xié)商過(guò)程是基于 PPP 狀態(tài)機(jī)進(jìn)行協(xié)商的。經(jīng)過(guò)雙方協(xié)商，通過(guò)配置請(qǐng)求、配置確認(rèn)、配置否認(rèn)等包文交換配置信息，最終由 initial(或 closed)狀態(tài)變?yōu)?Opened 狀態(tài)。IPCP 狀態(tài)變?yōu)?Opened 的條件必須是發(fā)送方和接收方都發(fā)送和接收過(guò)確認(rèn)包文。IPCP 協(xié)商過(guò)程中，協(xié)商包文可包含多

55、個(gè)選項(xiàng)，即參數(shù)。各個(gè)選項(xiàng)的拒絕或否認(rèn)都不能影響 IPCP 的UP，IPCP 可以無(wú)選項(xiàng)協(xié)商，無(wú)選項(xiàng)協(xié)商也同樣能夠UP。選項(xiàng)有 IP Address、網(wǎng)關(guān)、掩碼等，其中 IP Address 是最重要的一個(gè)選項(xiàng)，有些廠家的實(shí)現(xiàn)必須這個(gè)選項(xiàng)得到確認(rèn)，大多數(shù)廠家的實(shí)現(xiàn)允許這個(gè)選項(xiàng)為空。NCP 協(xié)商流程與 LCP 協(xié)商流程類似，協(xié)商雙方互相發(fā)送 NCP 報(bào)文，并且互相回應(yīng) Ack報(bào)文后，標(biāo)志 NCP 己協(xié)商完，用戶上線成功，可以正常訪問(wèn)網(wǎng)絡(luò)。圖2-15 NCP 基本協(xié)商流程 HYPERLINK l _bookmark39 如圖 2-15 為NCP 基本協(xié)商流程。PPPoE Session 的 PPP

56、協(xié)商成功后，就可以承載 PPP 數(shù)據(jù)報(bào)文。在 PPPoE Session 階段所有的以太網(wǎng)數(shù)據(jù)包都是單播發(fā)送的。無(wú)線認(rèn)證無(wú)線用戶認(rèn)證無(wú)線接入和有線接入相比，由于無(wú)線報(bào)文在空口傳輸，報(bào)文可以被任何合適的接收設(shè)備捕獲，所以無(wú)線用戶不僅要進(jìn)行認(rèn)證，還要考慮無(wú)線空口的安全問(wèn)題。WLAN 無(wú)線安全協(xié)議標(biāo)準(zhǔn)主要有：WEP、WPA/WPA2 和 WAPI，其中 WAPI 為中國(guó)標(biāo)準(zhǔn)。這些無(wú)線協(xié)議和 MAC、802.1X、Portal 等接入認(rèn)證技術(shù)結(jié)合，共同保證無(wú)線鏈路和用戶安全。敏捷交換機(jī)內(nèi)置 WLAN AC 功能，首先和WLAN AP 建立 CAPWAP 管理隧道，管理所有下轄的 AP 設(shè)備。對(duì)于后續(xù)用

57、戶接入認(rèn)證，敏捷交換機(jī)和 AAA 服務(wù)器通過(guò) RADIUS 協(xié)議 HYPERLINK l _bookmark42 進(jìn)行，如圖 2-16。無(wú)線用戶接入主要經(jīng)過(guò)服務(wù)發(fā)現(xiàn)、鏈路認(rèn)證、終端關(guān)聯(lián)、接入認(rèn)證、密鑰協(xié)商、數(shù)據(jù)轉(zhuǎn)發(fā)等六個(gè)階段，其中前文提到的 MAC 認(rèn)證、802.1X 認(rèn)證、Portal 認(rèn)證等技術(shù)，位于接入認(rèn)證階段，其他階段都是無(wú)線用戶上線獨(dú)有的流程。圖2-16 無(wú)線用戶接入認(rèn)證服務(wù)發(fā)現(xiàn)在無(wú)線領(lǐng)域中，用戶終端也稱為 STA（Station），STA 加入任何無(wú)線網(wǎng)絡(luò)之前，必須先經(jīng)過(guò)一番服務(wù)辨識(shí)的過(guò)程，稱為WLAN 服務(wù)發(fā)現(xiàn)過(guò)程。鏈路認(rèn)證這是 STA 連入無(wú)線網(wǎng)絡(luò)的起點(diǎn)，當(dāng)前 802.11 的

58、鏈路認(rèn)證支持兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證（Open System）和共享密鑰認(rèn)證（Shared Key）。終端關(guān)聯(lián)一旦完成鏈路認(rèn)證，STA 就可以跟 AP 進(jìn)行關(guān)聯(lián)，以便獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限。STA 客戶端和 WLAN 服務(wù)端（包括 AP 和 AC）完成鏈路服務(wù)協(xié)商，例如后續(xù)接入認(rèn)證方法等，建立了 802.11 鏈路。對(duì)于沒(méi)有使能接入認(rèn)證的 SSID，客戶端已經(jīng)可以訪問(wèn)無(wú)線網(wǎng)絡(luò)；如果 WLAN 服務(wù)使能了接入認(rèn)證，則 WLAN 服務(wù)端會(huì)發(fā)起對(duì) STA 用戶的接入認(rèn)證。接入認(rèn)證用戶接入認(rèn)證實(shí)現(xiàn)對(duì)接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供安全保護(hù)。對(duì)于無(wú)線用戶接入認(rèn)證，除了 MAC 認(rèn)證、802.1X 認(rèn)證、P

59、ortal 認(rèn)證等方式外，還有無(wú)線特有的 PSK 認(rèn)證。PSK 認(rèn)證需要在無(wú)線客戶端（STA）和設(shè)備端（AC）配置相同的共享密鑰，完成服務(wù)端和客戶端的互相認(rèn)證。如果密鑰協(xié)商成功，則表明 PSK 接入認(rèn)證成功；如果密鑰協(xié)商失敗，則表明 PSK 接入認(rèn)證失敗。密鑰協(xié)商密鑰協(xié)商是數(shù)據(jù)加密傳輸?shù)幕A(chǔ)。密鑰協(xié)商過(guò)程在邏輯上可以看作接入認(rèn)證的一部分， 只有在密鑰協(xié)商成功以后，接入認(rèn)證才會(huì)打開端口，允許用戶的報(bào)文通過(guò)。WLAN 系統(tǒng)使用四次握手機(jī)制，進(jìn)行單播數(shù)據(jù)報(bào)文使用的密鑰協(xié)商；WLAN 系統(tǒng)通過(guò)組密鑰協(xié)商過(guò)程，將廣播和組播使用的加密密鑰通知所有的 STA 客戶端。數(shù)據(jù)加密接入用戶身份確定并賦予訪問(wèn)權(quán)限后

60、，網(wǎng)絡(luò)必須保護(hù)用戶所傳送的數(shù)據(jù)不被窺視。數(shù)據(jù)的私密性通常是靠加密協(xié)議來(lái)達(dá)成的，只允許擁有密鑰并經(jīng)過(guò)授權(quán)的用戶訪問(wèn)數(shù)據(jù)，確保數(shù)據(jù)在傳輸過(guò)程中的安全性。認(rèn)證方式比較WLAN 無(wú)線安全協(xié)議標(biāo)準(zhǔn)主要有：WEP、WPA/WPA2 和 WAPI，其中 WAPI 為中國(guó)標(biāo)準(zhǔn)； WPA2 是完備的 802.11i 標(biāo)準(zhǔn)，是 WPA 的第二版，具有更高的安全性。這些無(wú)線協(xié)議和MAC、802.1X、Portal 等接入認(rèn)證技術(shù)結(jié)合，共同保證無(wú)線鏈路和用戶安全。結(jié)合無(wú)線安全協(xié)議，不同認(rèn)證方式對(duì)比如下表所示。認(rèn)證方法技術(shù)特點(diǎn)無(wú)線協(xié)議應(yīng)用場(chǎng)景MAC 認(rèn)證 無(wú)需客戶端； 二層認(rèn)證方式，IP 地址認(rèn)證后分配； MAC 地址