變傳統以太網為可運營寬帶網

在現代寬帶技術發展過程中，由于ATM技術的要求過于完美，導致實現的技術難度很大，設備成本高昂，使其發展非常緩慢。相對于ATM技術的弱點，以太網技術以其技術簡單、成本低廉、高帶寬而獲得迅猛的發展，由早期的10M共享式以太網逐步發展出100M交換式以太網、1000M交換式以太網。配合VLAN劃分技術、三層路由交換技術的發展，以太網技術已經由桌面辦公環境逐步進入到企業網、園區網、城域網的建設中，目前10G以太網技術已經進入實驗測試階段，即將進入城域網和廣域網的骨干層應用。


以太網技術進入城域網應用后，可以說應用的背景發生了質的改變，由一種局域網互連應用進入到網絡運營商進行運營和盈利的經營活動中。原來基于局域網互連的基礎發生了動搖，這些基礎包括進行局域網互連建設的目標不是通過網絡來產生盈利；進行局域網互連的用戶是基于充分信任的基礎上的；局域網互連的規模相對較小。因此，在進行寬帶城域網建設中，不能簡單地采用局域網的建設模型和設備，必須在局域網互連的基礎上發展新的技術和設備來解決以上問題。

BAS在以太網中的作用與發展

在將傳統的以太網改造成可運營、可管理的經營性以太網的過程中，BAS（寬帶接入服務器）是不可缺少的關鍵設備。


在基于ATM技術的ADSL發展過程中，為了實現用戶的鑒權、認證和計費（AAA）功能，按窄帶撥號接入服務器的思路采用了寬帶接入服務器（BAS）完成對ADSL用戶的鑒權、認證和計費。在以太網進入城域網發展的早期，在發現傳統以太網同樣存在對用戶的鑒權、認證和計費的要求后，對網絡結構改動最小、最簡單的方法就是直接在匯聚層的三層交換機旁邊再安裝一臺BAS，由BAS完成對所有接入的以太網用戶的管理和計費。由于早期的BAS設備只支持PP?PoE／PPPoEoA等接入方式，也就要求以太網用戶采用PPPoE的方式接入以太網。這樣，采用在匯聚層交換機外接BAS的方式，解決了進行網絡經營所面臨的基本問題：用戶管理和計費。


隨著寬帶網絡經營的要求日益增多以及寬帶用戶數量的迅速增長，對BAS設備的要求也越來越多，使得BAS設備放在匯聚層交換機旁邊的位置所帶來的問題也日益暴露出來。首先，由于用戶數量以及BAS設備須完成的功能越來越多，對BAS的處理能力的要求也越來越高；其次，PPPoE的報文封裝也增加了對設備的負擔，這些增加的要求使得在集中式處理的方式下，目前的硬件和軟件技術無法提供足夠的支撐，使得集中式的BAS設備逐漸成為網絡中的瓶頸；再次，設備對網絡穩定運行的影響也越來越大，BAS出現故障后直接導致成千上萬的用戶無法使用網絡。


為了解決集中式BAS的處理能力和網絡可靠性問題，在網絡組網中開始出現了BAS分布化的要求和趨勢。BAS分布化的要求表現在設備的分布化和功能的分布化兩個方面。在設備的分布化方面表現在，原來集中放置在匯聚層L3交換機旁邊的BAS設備。由多臺分布放置在接入匯聚點的小容量BAS設備所取代，這些小容量的BAS設備可稱之為EAS（邊緣接入服務器）。EAS設備本身可以認為是L3＋AAA＋業務網關的集合體，由于管理的用戶數量的減少和網絡流量的降低，使得分布式放置的EAS設備的性能／價格都可以做到非常優秀。


在BAS設備功能的分布化方面主要表現在：用戶認證管理層次的下放、接入層L3技術的發展等。用戶認證管理早期有PPPoE認證，目前發展了在接入層的VLAN＋WEB用戶身份認證和802．1x用戶接入交換機端口認證等技術。L3技術的發展使得原來需要BAS設備完成的部分功能目前在L3交換機上也可以實現，如流分類、訪問控制等。通過設備和功能的分布化發展，在達到可運營、可管理的網絡基礎上較好地解決了網絡瓶頸、網絡可靠性等問題。

802．1x協議的起源和發展

802．1x協議起源于無線局域網（WLAN）的發展和應用，協議推出的主要目的是為了解決無線局域網用戶的接入認證問題。802．1x協議目前開始應用于有線局域網中，通過對用戶交換機接入端口的認證控制達到對用戶管理的目的。目前802．1x協議已經正式發布，整個協議為二層協議，將用戶報文分為業務報文和認證報文兩種。為了區分這兩種報文，專門為認證報文增加了特定的標志（EtherType＝0E）。構成802．1x認證體系的主體有3部分：用戶端、支持認證的交換機（包括支持認證報文透傳的樓道交換機和執行認證過程的匯聚層交換機）、認證服務器。


用戶在獲得二層網絡的使用權后，由于802．1x協議沒有具體規定如何重新配置用戶交換機端口的具體過程，因此，各家網絡設備提供商可采用SNMP協議和私有協議兩種方式?？紤]到采用SNMP協議在成千上萬臺的用戶交換機上進行配置的效率，廠商大多采用私有協議的方式。同時為了保證用戶二層隔離等基本要求，須在配置端口過程中同時進行端口VLAN分配等用戶控制工作。這些二層配置工作完成后，才開始三層網絡的相關工作，如IP地址申請等。


因此在整個認證體系中，須有客戶端軟件支持認證的發起和接收過程、樓道交換機支持對認證報文的透傳、匯聚交換機支持認證過程和對樓道交換機的配置操作、認證服務器完成對用戶的鑒權和認證，最后還要求匯聚層認證交換機與樓道交換機之間具有高效的控制協議。在單獨采用802．1x進行實際運營過程中有一些實際問題須考慮和解決：


1．客戶端軟件問題目前只有WINxP、WIN2000最新補丁版本支持802．1x協議，如果完全按該協議進行用戶認證管理，就要求所有的用戶必須進行軟件升級，或采用專門開發的客戶端軟件。


2．網絡現有樓道交換機的問題由于802．1x是比較新的二層協議，要求樓道交換機支持認證報文透傳或完成認證過程，因此在全面采用該協議的過程中存在對已經在網上的用戶交換機的升級處理問題。


3．IP地址分配和網絡安全問題802．1x協議是一個二層協議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP網絡后，須繼續解決用戶IP地址分配、三層網絡安全等問題。因此，單靠以太網交換機＋802．1x，無法全面解決城域網以太接入的可運營、可管理以及接入安全性等方面的問題。


4．計費問題802．1x協議可以根據用戶完成認證和離線間的時間進行時長計費，不能對流量進行統計，因此無法開展基于流量的計費或滿足用戶永遠在線的要求。


5．發展寬帶增值業務問題802．1x只是交換機端口的認證控制協議，全部由二層網絡完成，因此無法解決未來寬帶網絡必須考慮的寬帶增值業務的開展問題。


通過綜合的對比和分析，我們可以將802．1x認證協議作為一項用戶認證的基礎技術，作為對VLAN＋WEB認證的必要補充，發展成為802．1x＋WEB的認證體系，全面解決單獨使用802．1x所面臨的問題。