{工業(yè)工程}技術(shù)白皮書(shū)目錄第一部分IEEE802.1X協(xié)議介紹11協(xié)議的開(kāi)發(fā)背景12幾個(gè)名詞的定義13工作機(jī)制33.1各組成部分的功能33.2受控和非受控的訪問(wèn)（Controlledanduncontrolledaccess）53.3IEEE802.1x協(xié)議的體系結(jié)構(gòu)93.4IEEE802.1x協(xié)議的工作機(jī)制113.5協(xié)議實(shí)現(xiàn)內(nèi)容153.6基本的認(rèn)證過(guò)程193.7幾個(gè)注意的問(wèn)題204幾種認(rèn)證方式的比較214.1PPPOE認(rèn)證214.2WEB認(rèn)證224.3802.1x認(rèn)證244.4小結(jié)幾種認(rèn)證方式的比較26第二部分IEEE802.1X協(xié)議在港灣網(wǎng)絡(luò)的應(yīng)用271IEEE802.1X解決方案271.1端口控制模式271.2802.1x解決方案282IEEE802.1X應(yīng)用方案292.1802.1x認(rèn)證應(yīng)用在新建小區(qū)292.2802.1x認(rèn)證應(yīng)用在舊小區(qū)313港灣802.1X認(rèn)證計(jì)費(fèi)系統(tǒng)介紹343.1計(jì)費(fèi)管理系統(tǒng)功能353.2港灣計(jì)費(fèi)管理系統(tǒng)解決方案36第三部分港灣802.1X認(rèn)證應(yīng)用案例411802.1X在寧波網(wǎng)通的應(yīng)用412802.1X在通化電信的應(yīng)用42IEEE802.1x技術(shù)白皮書(shū)V10第一部分IEEE802.1x協(xié)議介紹1協(xié)議的開(kāi)發(fā)背景在IEEE802LAN所定義的局域網(wǎng)環(huán)境中，只要存在物理的連接口，未經(jīng)授權(quán)的網(wǎng)戶連接到網(wǎng)絡(luò)，使用網(wǎng)絡(luò)提供的服務(wù)。點(diǎn)。IEEE802.1x協(xié)議正是在這樣的背景下提出的。IEEE802.1x稱為基于端口的訪問(wèn)控制協(xié)議（Portbasednetworkaccesscontrolprotocol基于端口的訪問(wèn)控制（PortbasednetworkaccesscontrolIEEE802LAN的優(yōu)勢(shì)基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)（LAN）設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)的手段。通過(guò)這種方式LAN這種多點(diǎn)訪問(wèn)環(huán)境中提供一種點(diǎn)對(duì)點(diǎn)的識(shí)別用戶的方式。這里端口是指連接到LANMAC是服務(wù)器或網(wǎng)絡(luò)設(shè)備連接LAN的物理端口，或者是在IEEE802.11無(wú)線LAN環(huán)境中定義的工作站和訪問(wèn)點(diǎn)。2幾個(gè)名詞的定義以下的名詞為802.1x協(xié)議中的重要組成部分：1IEEE802.1x技術(shù)白皮書(shū)V10Supplicant客戶端客戶端指LANentityAuthenticator如下）發(fā)起請(qǐng)求，對(duì)其身份的合法性進(jìn)行檢驗(yàn)。Authenticator認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)指在LAN連接的一端用于認(rèn)證另一端設(shè)備的實(shí)體（entityAuthenticationServer認(rèn)證服務(wù)器提供的網(wǎng)絡(luò)服務(wù)。注意——認(rèn)證服務(wù)器與認(rèn)證系統(tǒng)配合工作，可以集成在一起，也可以分開(kāi)放在認(rèn)證系統(tǒng)通過(guò)網(wǎng)絡(luò)可以遠(yuǎn)程訪問(wèn)的地方。NetworkAccessPort網(wǎng)絡(luò)訪問(wèn)端口網(wǎng)絡(luò)訪問(wèn)端口指用戶系統(tǒng)連接到LAN如連接到用戶的網(wǎng)絡(luò)設(shè)備端口；也可以是邏輯端口，例如用戶設(shè)備的MAC地址。注意——下文所指的端口均可以是物理端口或用戶設(shè)備的MAC地址，如果設(shè)備支持全程VLAN，也可以指VLANID。PortAccessEntity(PAE)端口訪問(wèn)實(shí)體指一個(gè)端口的相關(guān)協(xié)議實(shí)體。PAE能夠支持的功能包括：客戶端（Supplicant）完成的功能、認(rèn)證系統(tǒng)（Authenticator）完成的功能或者兩者功能同時(shí)具備。System系統(tǒng)系統(tǒng)是指通過(guò)一個(gè)或更多端口連接到LAN2IEEE802.1x技術(shù)白皮書(shū)V10或路由器等設(shè)備都稱為系統(tǒng)。圖2—1IEEE802.1X認(rèn)證體系組成部分3工作機(jī)制關(guān)系：3.1各組成部分的功能3.1.1系統(tǒng)（SystemsPorts）連接到LAN2.6定義的系統(tǒng)SystemLAN會(huì)有一個(gè)或多個(gè)連接點(diǎn)（這里指2.4注意1——一個(gè)終端一般通過(guò)網(wǎng)卡與LAN有一個(gè)連接點(diǎn)（有些終端如服務(wù)器可能接點(diǎn)一個(gè)系統(tǒng)的端口與網(wǎng)絡(luò)連接，該系統(tǒng)就可以通過(guò)這個(gè)端口獲得其他系統(tǒng)的服務(wù)，以保證只為授權(quán)的用戶開(kāi)放自己的服務(wù)。注意2——一個(gè)系統(tǒng)提供的服務(wù)包括根據(jù)MAC地址的轉(zhuǎn)發(fā)功能，網(wǎng)絡(luò)層的路由功能，文件服務(wù)器的功能等。實(shí)體PAE）可以在整個(gè)控制過(guò)程中充當(dāng)多個(gè)不同的角色。如下為在基于端口訪問(wèn)控制過(guò)程中，端口所充當(dāng)?shù)慕巧篴)Authenticator(2.2).3IEEE802.1x技術(shù)白皮書(shū)V10充當(dāng)認(rèn)證系統(tǒng)的角色；b)Supplicant(2.1).訪問(wèn)認(rèn)證系統(tǒng)所提供服務(wù)的端口，該端口充當(dāng)客戶端的角色；c)AuthenticationServer(2.3).認(rèn)證服務(wù)器代表認(rèn)證系統(tǒng)執(zhí)行對(duì)用戶身份的合法性進(jìn)行檢驗(yàn)功能LAN中，一個(gè)新的交換設(shè)備添加到網(wǎng)絡(luò)中，這個(gè)設(shè)備新設(shè)備通過(guò)上端設(shè)備接入到LAN注意3——盡管理論上認(rèn)證服務(wù)器可以和認(rèn)證系統(tǒng)集成在一起，但實(shí)際使用中都是分開(kāi)成兩個(gè)體系。3.1.2端口訪問(wèn)實(shí)體（PAE,PortAccessEntity）在客戶端中，PAE主要負(fù)責(zé)響應(yīng)來(lái)自認(rèn)證系統(tǒng)建立信任關(guān)系的請(qǐng)求，稱為客戶端PAE。在認(rèn)證系統(tǒng)中，PAE負(fù)責(zé)與客戶端的通信，把從客戶端收到的信息傳送給認(rèn)證服務(wù)器以便完成認(rèn)證。該P(yáng)AE稱為認(rèn)證系統(tǒng)PAE。認(rèn)證系統(tǒng)PAE根據(jù)認(rèn)證服務(wù)器提供的關(guān)于用戶合法性的信息來(lái)控制受控端口4IEEE802.1x技術(shù)白皮書(shū)V10（controlled下面會(huì)講述）的狀態(tài)是認(rèn)證狀態(tài)或未認(rèn)證狀態(tài)。3.2受控和非受控的訪問(wèn)（Controlledanduncontrolledaccess）IEEE802.1x和非受控的訪問(wèn)。3.2.1端口的類型如圖3—1所示，認(rèn)證系統(tǒng)的端口分成兩個(gè)邏輯端口：受控端口和不受控端口。（Autherized）還是未認(rèn)證狀態(tài)（Unautherized受控端口傳送業(yè)務(wù)報(bào)文。如果用戶通過(guò)認(rèn)證，則受控端口的狀態(tài)為已認(rèn)證狀態(tài)，能傳送業(yè)務(wù)報(bào)文。如圖3—2所示，當(dāng)用戶未通過(guò)認(rèn)證時(shí)，受控端口處于開(kāi)路，端口狀態(tài)為未認(rèn)證目標(biāo)MAC地址來(lái)進(jìn)行交換，如果用戶有業(yè)務(wù)報(bào)文是無(wú)法通過(guò)的。換功能打開(kāi)，就和傳統(tǒng)的交換方式一致了，用戶的業(yè)務(wù)報(bào)文就可以順利通過(guò)。端口的狀態(tài)受相關(guān)的協(xié)議參數(shù)控制，如AuthControlledPortStatus參數(shù)控制交換功能的打開(kāi)和關(guān)閉等，這里不做詳細(xì)講解。3.2.2端口控制方式備的MAC地址，如果設(shè)備支持全程的VLAN，也可以把VLANID看成是端口。5IEEE802.1x技術(shù)白皮書(shū)V10控制方式，則必須在與最終用戶直接相連的交換機(jī)實(shí)現(xiàn)802.1x認(rèn)證，在相應(yīng)的本。另一種端口控制方式就是基于用戶設(shè)備的MAC地址進(jìn)行控制。把用戶設(shè)備的MAC地址看成端口，每個(gè)MAC地址有兩個(gè)邏輯端口：受控和不受控端口。如果用戶要訪問(wèn)LANMACMAC地址未激活或者被管理性的禁止，則無(wú)法進(jìn)行認(rèn)證。3.3IEEE802.1x協(xié)議的體系結(jié)構(gòu)IEEE802.1xSupplicantSystem客戶端、AuthenticatorSystem認(rèn)證系統(tǒng)、AuthenticationServerSystem認(rèn)證服務(wù)器。圖3—4描述了三者之間的關(guān)系以及互相之間的通信?？蛻舳讼到y(tǒng)一般為一個(gè)用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件，用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過(guò)程。為支持基于端口的接入控制，客戶端系統(tǒng)需支持EAPOL（ExtensibleAuthenticationProtocolOverLAN）協(xié)議。認(rèn)證系統(tǒng)通常為支持802.1x6IEEE802.1x技術(shù)白皮書(shū)V10以是物理端口，也可以是用戶設(shè)備的MAC地址）有兩個(gè)邏輯端口：受控（controlledPortuncontrolledPort）。不受控端口始終EAPOL的服務(wù)。圖中認(rèn)證系統(tǒng)的受控端口處于未認(rèn)證狀態(tài)，因此無(wú)法訪問(wèn)認(rèn)證系統(tǒng)提供的服務(wù)。認(rèn)證系統(tǒng)的PAE通過(guò)不受控端口與SupplicantPAE進(jìn)行通信，二者之間運(yùn)行EAPOL協(xié)議。認(rèn)證系統(tǒng)的PAE與認(rèn)證服務(wù)器之間運(yùn)行EAP（ExtensibleAuthenticationProtocol）協(xié)議。采用EAP協(xié)議。認(rèn)證服務(wù)器通常為RADIUS服務(wù)器，該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息，比如用戶所屬的VLANCAR問(wèn)控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管。認(rèn)證服務(wù)器和RADIUS服務(wù)器之間通過(guò)EAP協(xié)議進(jìn)行通信。則采用如下的方式：7IEEE802.1x技術(shù)白皮書(shū)V10圖3—5描述了這樣一種情況：當(dāng)一個(gè)網(wǎng)絡(luò)設(shè)備A要求訪問(wèn)網(wǎng)絡(luò)設(shè)備B所提供的服務(wù)，則系統(tǒng)A的PAE就成為客戶端（Suppliant），系統(tǒng)B的PAE為認(rèn)證系統(tǒng)（Authenticator）；如果B要求訪問(wèn)A所提供的服務(wù)，則B的PAE就成為客戶端，A的PAE就成為認(rèn)證系統(tǒng)。3.4IEEE802.1x協(xié)議的工作機(jī)制802.1x作為一個(gè)認(rèn)證協(xié)議，在實(shí)現(xiàn)的過(guò)程中有很多重要的工作機(jī)制。3.4.1認(rèn)證發(fā)起認(rèn)證系統(tǒng)發(fā)送EAPOL-Start報(bào)文發(fā)起認(rèn)證。由認(rèn)證系統(tǒng)發(fā)起的認(rèn)證前，端口的狀態(tài)被強(qiáng)制為未認(rèn)證狀態(tài)。EAP-Request/Identity報(bào)文，請(qǐng)求客戶端發(fā)送身份標(biāo)識(shí)。這樣，就開(kāi)始了典型的認(rèn)證過(guò)程?？蛻舳嗽谑盏絹?lái)自認(rèn)證系統(tǒng)的EAP-Request報(bào)文后，將發(fā)送EAP-Response報(bào)文響應(yīng)認(rèn)證系統(tǒng)的請(qǐng)求。狀態(tài)保持不便；如果未通過(guò)認(rèn)證，則端口的狀態(tài)改變?yōu)槲凑J(rèn)證狀態(tài)由客戶端發(fā)起認(rèn)證8IEEE802.1x技術(shù)白皮書(shū)V10統(tǒng)發(fā)送EAPOL-Start報(bào)文主動(dòng)發(fā)起認(rèn)證。認(rèn)證系統(tǒng)在收到客戶端發(fā)送的EAPOL-Start報(bào)文后，會(huì)發(fā)送EAP-Request/Identity了一個(gè)認(rèn)證過(guò)程。3.4.2退出已認(rèn)證態(tài)有幾種方式可以造成認(rèn)證系統(tǒng)把端口狀態(tài)從已認(rèn)證狀態(tài)改變成未認(rèn)證狀態(tài)：a)客戶端未通過(guò)認(rèn)證服務(wù)器的認(rèn)證；b)由于管理性的控制端口始終處于未認(rèn)證狀態(tài)，而不管是否通過(guò)認(rèn)證；c)與端口對(duì)應(yīng)的MACd)客戶端與認(rèn)證系統(tǒng)之間的連接失敗，造成認(rèn)證超時(shí)；e)重新認(rèn)證超時(shí)；f)客戶端未響應(yīng)認(rèn)證系統(tǒng)發(fā)起的認(rèn)證請(qǐng)求；g)客戶端發(fā)送EAPOL-Logoff報(bào)文，主動(dòng)下線；一個(gè)認(rèn)證過(guò)程。為什么要專門提供一個(gè)EAPOL-Logoff機(jī)制，是處于如下安全的考慮：當(dāng)一個(gè)用戶從一臺(tái)終端退出后，很可能其他用戶不通過(guò)發(fā)起一個(gè)新的登錄請(qǐng)求，的會(huì)話進(jìn)程被中止，可以防止用戶的訪問(wèn)權(quán)限被他人盜用。通過(guò)發(fā)送EAPOL-Logoff報(bào)文，可以使認(rèn)證系統(tǒng)將對(duì)應(yīng)的端口狀態(tài)改變?yōu)槲凑J(rèn)證狀態(tài)。9IEEE802.1x技術(shù)白皮書(shū)V103.4.3重新認(rèn)證（根據(jù)時(shí)間）證過(guò)程，該過(guò)程對(duì)于用戶是透明的，也即用戶無(wú)需再次輸入用戶名/密碼。reAuthEnabled的時(shí)間由參數(shù)reAuthPeriod控制，默認(rèn)值為3600認(rèn)證是關(guān)閉的。注意——MAC地址MAC證時(shí)間可以設(shè)長(zhǎng)一些。3.4.4認(rèn)證報(bào)文丟失重傳對(duì)于認(rèn)證系統(tǒng)和客戶端之間通信的EAP計(jì)數(shù)器來(lái)設(shè)定，默認(rèn)重傳時(shí)間為30秒鐘。EAPOL-Star報(bào)文的丟失,由客戶端負(fù)責(zé)重EAP-Failure和EAP-Success報(bào)文，由于客戶端無(wú)法識(shí)別，認(rèn)證系統(tǒng)不會(huì)重傳。如果EAP-Failure或EAP-Success報(bào)文發(fā)生丟失，則客戶端會(huì)在auth-While計(jì)數(shù)器超時(shí)后，自動(dòng)轉(zhuǎn)變?yōu)镃ONNECTING狀態(tài)。10IEEE802.1x技術(shù)白皮書(shū)V10間的報(bào)文丟失重傳也很重要。802.1xDHCP發(fā)起（如果配置為DHCP的自動(dòng)獲取）和IP分配的過(guò)程。由于客戶終端配置了DHCP802.1xDHCP此時(shí)認(rèn)證系統(tǒng)處于禁止通行狀態(tài)，這樣認(rèn)證系統(tǒng)會(huì)丟掉初始化的DHCP幀，同時(shí)會(huì)觸發(fā)認(rèn)證系統(tǒng)發(fā)起對(duì)用戶的認(rèn)證。由于DHCP請(qǐng)求超時(shí)過(guò)程為64802.1x認(rèn)證過(guò)程能在這64秒內(nèi)完成，則DHCP請(qǐng)求不會(huì)超時(shí)，能順利完成地址請(qǐng)求；如果終端軟件支持認(rèn)證后再執(zhí)行一次DHCP，就不用考慮64秒的超時(shí)限制。3.4.5與不支持802.1x的設(shè)備的兼容行過(guò)渡。由于802.1x協(xié)議是一個(gè)比較新的協(xié)議，如果應(yīng)用在原有的舊網(wǎng)絡(luò)中，則可能會(huì)存在與不支持設(shè)備的兼容性問(wèn)題。如果客戶端支持802.1x戶端是不會(huì)收到認(rèn)證系統(tǒng)響應(yīng)的EAP-Request/Identity802.1x認(rèn)證發(fā)EAPOL-Star報(bào)文到802.1x協(xié)議組申請(qǐng)的組播MAC地址，以查詢網(wǎng)絡(luò)上可以處理802.1x后，自動(dòng)認(rèn)為已經(jīng)通過(guò)認(rèn)證。如果客戶端不支持802.1x802.1x端是不會(huì)響應(yīng)認(rèn)證系統(tǒng)發(fā)送的EAP-Request/Identity報(bào)文，因此端口會(huì)始終處11IEEE802.1x技術(shù)白皮書(shū)V10于未認(rèn)證狀態(tài)。在這種情況下，客戶端只能根據(jù)協(xié)議參數(shù)OperControlledDirections口訪問(wèn)某些通過(guò)設(shè)置可以訪問(wèn)的服務(wù)。3.4.6EAP幀的中繼轉(zhuǎn)發(fā)（Relay）由于認(rèn)證系統(tǒng)與客戶端之間是采用EAPOL器之間則是采用EAP協(xié)議進(jìn)行通信，可以看出認(rèn)證系統(tǒng)充當(dāng)了把客戶端的EAPOL協(xié)議幀轉(zhuǎn)變?yōu)镋AP協(xié)議幀的中繼功能?？蛻舳藢APOL-Start和EAPOL-Logoff幀發(fā)送給認(rèn)證系統(tǒng)，而認(rèn)證系統(tǒng)把EAPOL-Key幀發(fā)送給客戶端。認(rèn)證系統(tǒng)不能把這些幀中繼給認(rèn)證服務(wù)器。EAP-Request/Identity器。EAPOL格式轉(zhuǎn)變?yōu)镋AP所有從認(rèn)證服務(wù)器收到的EAP格式的幀轉(zhuǎn)變?yōu)镋APOL格式發(fā)送給客戶端。3.4.7加密EAPOL認(rèn)證報(bào)文的傳送EAPOL協(xié)議支持在客戶端和認(rèn)證系統(tǒng)之間加密傳送認(rèn)證報(bào)文?？梢酝ㄟ^(guò)協(xié)議參數(shù)KeyTransmissionEnabled控制是否加密。如果該值為TRUE，表示對(duì)認(rèn)證報(bào)文進(jìn)行加密；如果值為FALSE，則表示不對(duì)認(rèn)證報(bào)文加密。如果客戶端或認(rèn)證系統(tǒng)不支持加密，則KeyTransmissionEnabled參數(shù)設(shè)置為FALSE。3.5協(xié)議實(shí)現(xiàn)內(nèi)容802.1x12IEEE802.1x技術(shù)白皮書(shū)V10做個(gè)介紹。3.5.1EAP協(xié)議802.1x協(xié)議采用EAP協(xié)議在客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器之間進(jìn)行通信。EAP（ExtensibleAuthenticationProtocolRFC2284PPP認(rèn)證的一個(gè)通用協(xié)議，支持多種認(rèn)證機(jī)制，例如smartcards,Kerberos,PublicKeyEncryption,OneTimePasswords等。EAP在鏈路控制（LCP）階段并不選擇好一種認(rèn)證機(jī)制，而把這一步推遲到認(rèn)證階段。這樣就允許認(rèn)證系統(tǒng)在確定某種特定認(rèn)證機(jī)制之前請(qǐng)求更多的信息。通過(guò)支持EAP業(yè)務(wù)流的完全分離?？梢允褂靡粋€(gè)“后端端口的狀態(tài)。EAP的簡(jiǎn)單認(rèn)證過(guò)程在鏈路建立階段完成后，認(rèn)證系統(tǒng)發(fā)送一個(gè)或多個(gè)Request來(lái)對(duì)對(duì)方進(jìn)行認(rèn)證。Request中有一個(gè)type域表明請(qǐng)求的類型。Request中type的實(shí)例包括，Identity,MD5-challenge,One-TimePasswords,GenericTokenCard等等。MD5-challenge類型與CHAP個(gè)最初的IdentityRequest初的IdentityRequest并不是必需的，在identity能被事先假定（如租用的鏈13IEEE802.1x技術(shù)白皮書(shū)V10路，專用撥號(hào)線路等等）的情況下可以跳過(guò)（bypass客戶端發(fā)送一個(gè)Response數(shù)據(jù)包對(duì)每一個(gè)Request做出應(yīng)答。對(duì)應(yīng)于每一個(gè)RequestResponse數(shù)據(jù)包包含一個(gè)typeRequest中的type域?qū)?yīng)；C）認(rèn)證系統(tǒng)發(fā)送一個(gè)Success或Failure數(shù)據(jù)包結(jié)束認(rèn)證階段；EAP幀結(jié)構(gòu)Code：1個(gè)字節(jié)，表示EAP幀類型。EAP代碼分配如下：1Request2Response3Success4FailureIdentifier：1個(gè)字節(jié)，該值用于匹配requests的請(qǐng)求。Identifier區(qū)域和系統(tǒng)端口一起單獨(dú)標(biāo)識(shí)一個(gè)認(rèn)證過(guò)程。Length：2個(gè)字節(jié)，該值表示EAP幀的總長(zhǎng)度Data：0或更多字節(jié)，表示數(shù)據(jù)3.5.2EAPOL協(xié)議在802.1x協(xié)議中定義了一種封裝技術(shù)稱為EAPOL（EAPoverLANs），主要在客戶端和認(rèn)證系統(tǒng)之間傳送EAP協(xié)議報(bào)文，可以允許EAP協(xié)議報(bào)文在LAN上傳送。EAPOL幀結(jié)構(gòu)PAEEthernetType：2個(gè)字節(jié)，表示協(xié)議類型，802.1x分配的協(xié)議類型14IEEE802.1x技術(shù)白皮書(shū)V10為888EProtocolVersion：1個(gè)字節(jié)，表示EAPOL幀的發(fā)送方所支持的協(xié)議版本號(hào)。本規(guī)范使用值為1PacketType：1個(gè)字節(jié)，表示傳送的幀類型。有如下幾種幀類型。a)EAP-Packet.值為0，表示為EAP幀b)EAPOL-Start.值為1，表示為EAPOL-Start幀c)EAPOL-Logoff.值為0，表示為EAPOL-Logoff請(qǐng)求幀d)EAPOL-Key.值為1，表示為EAPOL-Key幀.e)EAPOL-Encapsulated-ASF-Alert.值為0PacketBodyLength：2個(gè)字節(jié)，表示PacketBody的長(zhǎng)度PacketBody：如果PacketType為EAP-Packet,EAPOL-Key,或EAPOL-Encapsulated-ASF-Alert的值，則PacketBody對(duì)應(yīng)相應(yīng)的值；對(duì)于其他幀類型，則該值為空。EAPOL幀的標(biāo)記在EAPOL幀傳送過(guò)程中，不帶802.1q的VLAN標(biāo)記，但是可以帶802.1p的優(yōu)先級(jí)標(biāo)記。所有的PAE都能夠接收帶或不帶優(yōu)先級(jí)標(biāo)記的EAPOL幀。EAPOL幀發(fā)送的目標(biāo)地址當(dāng)一個(gè)二層幀發(fā)送時(shí)，必須要有目標(biāo)MAC地址。EAPOL幀在發(fā)送時(shí)也不例外，當(dāng)客戶端和認(rèn)證系統(tǒng)互相之間不知道發(fā)送的目標(biāo)時(shí)，其目標(biāo)MAC地址為802.1x協(xié)議中分配的組播地址01-80-c2-00-00-03。3.6基本的認(rèn)證過(guò)程15IEEE802.1x技術(shù)白皮書(shū)V10如圖3—9認(rèn)證的步驟如下：用戶開(kāi)機(jī)后，通過(guò)802.1x客戶端軟件發(fā)起請(qǐng)求，查詢網(wǎng)絡(luò)上能處理EAPOL（EAPOverLAN）數(shù)據(jù)包的設(shè)備。如果某臺(tái)驗(yàn)證設(shè)備能處理EAPOL數(shù)據(jù)包，就會(huì)向客戶端發(fā)送響應(yīng)包并要求用戶提供合法的身份標(biāo)識(shí)，如用戶名/密碼；客戶端收到驗(yàn)證設(shè)備的響應(yīng)后，會(huì)提供身份標(biāo)識(shí)給驗(yàn)證設(shè)備。由于此時(shí)證設(shè)備通過(guò)EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證；如果認(rèn)證通過(guò)，則認(rèn)證系統(tǒng)的受控邏輯端口打開(kāi)；客戶端軟件發(fā)起DHCP請(qǐng)求，經(jīng)認(rèn)證設(shè)備轉(zhuǎn)發(fā)到DHCPServer；DHCPServer為用戶分配IP地址；DHCPServerMACIPACL當(dāng)認(rèn)證設(shè)備檢測(cè)到用戶的上網(wǎng)流量，就會(huì)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息，開(kāi)始對(duì)用戶計(jì)費(fèi)；LogOff到該該數(shù)據(jù)包后，會(huì)通知AAA服務(wù)器停止計(jì)費(fèi)，并刪除用戶的相關(guān)信息（MAC/IP驗(yàn)證設(shè)備會(huì)通過(guò)定期的檢測(cè)來(lái)保證鏈路的激活，如果用戶異常死機(jī)，則驗(yàn)證設(shè)備在發(fā)起多次檢測(cè)后,自動(dòng)認(rèn)為用戶已經(jīng)下線,于是向認(rèn)證服務(wù)器發(fā)送終止計(jì)費(fèi)的信息；3.7幾個(gè)注意的問(wèn)題16IEEE802.1x技術(shù)白皮書(shū)V10基于端口的網(wǎng)絡(luò)接入控制是在LAN設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控LANLanSwitch類端口上的用戶設(shè)備如果能通過(guò)認(rèn)證，就可以訪問(wèn)LAN認(rèn)證，則無(wú)法訪問(wèn)LAN內(nèi)的資源，相當(dāng)于物理上斷開(kāi)連接。IEEE802.1x邏輯端口。典型的應(yīng)用方式有：LanSwitch的一個(gè)物理端口僅連接一個(gè)EndStationIEEE802.11定義的無(wú)線LAN接入方式（基于邏輯端口）等。連接有多個(gè)設(shè)備的共享式LAN兩種方法：1）使用任何保護(hù)方法，為每一個(gè)接入設(shè)備建立單獨(dú)的接入控制，此時(shí)相當(dāng)于每個(gè)MAC地址構(gòu)成了一個(gè)邏輯端口。由于共享式網(wǎng)段缺乏保護(hù)，每個(gè)MAC地址的認(rèn)證過(guò)程都可能被其他設(shè)備監(jiān)聽(tīng)、截獲、偽造，安全性比較低。2）仍然使用每個(gè)MAC地址構(gòu)成邏輯端口，但在認(rèn)證過(guò)程中對(duì)認(rèn)證數(shù)據(jù)幀進(jìn)行加密（IEEE802.1xMAC地址比較容易偽造，這種方式并不能提供完善的安全機(jī)制。因而，IEEE802.1x推薦的使用環(huán)境為點(diǎn)對(duì)點(diǎn)的物理或邏輯端口。4幾種認(rèn)證方式的比較17IEEE802.1x技術(shù)白皮書(shū)V10目前業(yè)界有幾種認(rèn)證方式：PPPOE、WEB和802.1x。以下做一個(gè)比較：4.1PPPOE認(rèn)證4.1.1簡(jiǎn)介1998年后期問(wèn)世的以太網(wǎng)上點(diǎn)對(duì)點(diǎn)協(xié)議（PPPoverEthernet）技術(shù)是由Redback網(wǎng)絡(luò)公司、客戶端軟件開(kāi)發(fā)商RouterWare公司以及World子公司UUNETTechnologies公司在IETFRFC制的基礎(chǔ)上聯(lián)合開(kāi)發(fā)的。主要目的是把最經(jīng)濟(jì)的局域網(wǎng)技術(shù)、以太網(wǎng)和點(diǎn)對(duì)點(diǎn)協(xié)議的可擴(kuò)展性及管理控制功能結(jié)合在一起。持多用戶的寬帶接入服務(wù)時(shí)更加簡(jiǎn)便易行。通過(guò)PPPoE（Point-to-PointProtocoloverEthernet）協(xié)議，服務(wù)提供商可以在以太網(wǎng)上實(shí)現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE（Point-to-PointProtocoloverEthernet）協(xié)議允許通過(guò)一個(gè)連接客戶的簡(jiǎn)單以太網(wǎng)橋啟動(dòng)一個(gè)PPP對(duì)話。PPPoE的建立需要兩個(gè)階段，分別是搜尋階段（Discoverystage）和點(diǎn)對(duì)點(diǎn)對(duì)話PPPSessionstagePPPoE成搜尋階段以確定對(duì)端的以太網(wǎng)MAC地址，并建立一個(gè)PPPoE的對(duì)話號(hào)（SESSION_ID在PPP協(xié)議定義了一個(gè)端對(duì)端的關(guān)系時(shí)，搜尋階段是一個(gè)客戶-服務(wù)器的關(guān)系。18IEEE802.1x技術(shù)白皮書(shū)V10備將擁有能夠建立PPPoE的所有信息。設(shè)備都必須為點(diǎn)對(duì)點(diǎn)對(duì)話階段虛擬接口提供資源。4.1.2特點(diǎn)優(yōu)點(diǎn)：是傳統(tǒng)PSTN窄帶撥號(hào)接入技術(shù)在以太網(wǎng)接入技術(shù)的延伸和原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致最終用戶相對(duì)比較容易接收缺點(diǎn)：PPP協(xié)議和Ethernet技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量，對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響組播業(yè)務(wù)開(kāi)展困難，而視頻業(yè)務(wù)大部分是基于組播的需要運(yùn)營(yíng)商提供客戶終端軟件，維護(hù)工作量過(guò)大PPPoE認(rèn)證一般需要外置BASBAS設(shè)備，容易造成單點(diǎn)瓶頸和故障，而且該設(shè)備通常非常昂貴。4.2WEB認(rèn)證4.2.1簡(jiǎn)介由于PPPOE技術(shù)在應(yīng)用中存在很多的問(wèn)題，因此目前開(kāi)認(rèn)證的網(wǎng)絡(luò)主要是以WEB認(rèn)證為主。WEB認(rèn)證最初是一種業(yè)務(wù)類型的認(rèn)證，通過(guò)啟動(dòng)一個(gè)WEB頁(yè)面輸入用戶名/密碼，19IEEE802.1x技術(shù)白皮書(shū)V10請(qǐng)了WEB郵件服務(wù)，就可以通過(guò)在其認(rèn)證的WEB頁(yè)面上輸入用戶名/密碼進(jìn)入到門戶網(wǎng)站的服務(wù)中。WEB認(rèn)證目前已經(jīng)成為運(yùn)營(yíng)商網(wǎng)絡(luò)平臺(tái)的認(rèn)證方式，通過(guò)WEB頁(yè)面實(shí)現(xiàn)對(duì)用戶是否有使用網(wǎng)絡(luò)權(quán)限的認(rèn)證。WEB認(rèn)證的主要過(guò)程如下：a)用戶機(jī)器上電啟動(dòng)，系統(tǒng)程序根據(jù)配置，通過(guò)DHCP由BAS做DHCP-Relay，向DHCPServer要IPb)BAS為該用戶構(gòu)造對(duì)應(yīng)表項(xiàng)信息（基于端口號(hào)、IPACL服務(wù)策略（讓用戶只能訪問(wèn)portalserver和一些內(nèi)部服務(wù)器，個(gè)別外部服務(wù)器如DNSc)Portalserver擊“l(fā)ogin”按鈕。也可不輸入由帳號(hào)和口令，直接單擊“Login”按鈕；d)該按鈕啟動(dòng)portalserver上的JavaIP和口令）送給網(wǎng)絡(luò)中心設(shè)備BAS；e)BAS利用IP地址將到用戶的二層地址、物理端口號(hào)（如VlanID,ADSLPVCID，PPPsessionID號(hào)，則認(rèn)為是卡號(hào)用戶，使用用戶輸入的帳號(hào)和口令到Radiusserver對(duì)用戶進(jìn)行認(rèn)證。如果用戶未輸入帳號(hào)，則認(rèn)為用戶是固定用戶，網(wǎng)絡(luò)設(shè)備利用VlanID（或PVCIDRadiusserver進(jìn)行認(rèn)證；f)RadiusServer返回認(rèn)證結(jié)果給BAS；20IEEE802.1x技術(shù)白皮書(shū)V10g)認(rèn)證通過(guò)后，BAS修改該用戶的ACL，用戶可以訪問(wèn)外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)。h)用戶離開(kāi)網(wǎng)絡(luò)前，連接到portalserver上，單擊“斷開(kāi)網(wǎng)絡(luò)”按鈕。系統(tǒng)停止計(jì)費(fèi)，刪除用記的ACL和轉(zhuǎn)發(fā)信息，限制用戶不能訪問(wèn)外部網(wǎng)絡(luò)。i)絡(luò)斷掉，直接關(guān)機(jī)等。4.2.2特點(diǎn)優(yōu)點(diǎn)：不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量可以提供Portal等業(yè)務(wù)認(rèn)證缺點(diǎn)：WEB承載在7層協(xié)議上，對(duì)于設(shè)備的要求較高，建網(wǎng)成本高；用戶連接性差，不容易檢測(cè)用戶離線，基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)；TELNETFTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認(rèn)證；IP地址的分配在用戶認(rèn)證前，如果用戶不是上網(wǎng)用戶，則會(huì)造成地址的浪費(fèi)，而且不便于多ISP的支持。認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無(wú)法區(qū)分4.3802.1x認(rèn)證前面已經(jīng)對(duì)802.1x802.1x協(xié)議的特點(diǎn)。優(yōu)點(diǎn)：21IEEE802.1x技術(shù)白皮書(shū)V10802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)無(wú)需支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。通過(guò)組播實(shí)現(xiàn)，解決其他認(rèn)證協(xié)議廣播問(wèn)題，對(duì)組播業(yè)務(wù)的支持性好。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上；用戶通過(guò)認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求802.1xIP網(wǎng)絡(luò)的簡(jiǎn)單、廉價(jià)甚IP網(wǎng)絡(luò)也暴露出了安全“可運(yùn)營(yíng)，可管理”的代價(jià)是犧牲了一部分網(wǎng)絡(luò)的簡(jiǎn)單、廉價(jià)和快速的特性。802.1x則采取一種“認(rèn)證后不管理成本下的“可運(yùn)營(yíng)，可管理。圖4—1802.1x中交換與控制的分離缺點(diǎn)：協(xié)議的標(biāo)準(zhǔn)化問(wèn)題。該協(xié)議目前還未正式標(biāo)準(zhǔn)化，但草稿已經(jīng)到了第11稿，協(xié)議號(hào)也已分配，相信正式標(biāo)準(zhǔn)化為時(shí)不遠(yuǎn)。需要特定客戶端軟件22IEEE802.1x技術(shù)白皮書(shū)V10該協(xié)議已經(jīng)得到了很多軟件廠商的重視，目前微軟新版的windowsXP已經(jīng)自帶802.1x客戶端軟件4.4小結(jié)幾種認(rèn)證方式的比較認(rèn)證方式WEB/PORTALPPPOE802.1x標(biāo)準(zhǔn)程度廠家私有RFC2516IEEE標(biāo)準(zhǔn)封裝開(kāi)銷小較大小接入控制方式設(shè)備端口用戶用戶IP地址認(rèn)證前分配認(rèn)證后分配認(rèn)證后分配多播支持好差好VLAN數(shù)目要求多無(wú)無(wú)支持多ISP較差好好客戶端軟件不需要需要需要設(shè)備支持廠家私有業(yè)界設(shè)備業(yè)界設(shè)備用戶連接性差好好對(duì)設(shè)備的要求高（全程VLAN）較高（BAS）低第二部分IEEE802.1x協(xié)議在港灣網(wǎng)絡(luò)的應(yīng)用IEEE802.1x802.1x協(xié)議相關(guān)產(chǎn)品的開(kāi)發(fā)。系統(tǒng)、認(rèn)證服務(wù)器在內(nèi)的基于802.1x協(xié)議的成熟的網(wǎng)絡(luò)產(chǎn)品和商用解決方案。以下將IEEE802.1x協(xié)議在港灣網(wǎng)絡(luò)的應(yīng)用情況做一個(gè)詳細(xì)的介紹。1IEEE802.1x解決方案23IEEE802.1x技術(shù)白皮書(shū)V101.1端口控制模式根據(jù)前面介紹的802.1x協(xié)議端口控制模式，主要可以基于物理端口控制、基于用戶設(shè)備的MAC地址控制，如果網(wǎng)絡(luò)設(shè)備支持全程VLAN，還可以基于VLANID控制。于MAC地址的控制方式，這樣做有如下優(yōu)點(diǎn)：基于MAC地址控制，可以實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的控制方式，只要在上層交換機(jī)（如FlexHammer24/16i）實(shí)現(xiàn)802.1x認(rèn)證，而不需要在用戶接入級(jí)交換機(jī)針對(duì)每個(gè)絡(luò)的建網(wǎng)成本。通過(guò)在層次較高的交換機(jī)上實(shí)現(xiàn)基于MAC的進(jìn)程，勢(shì)必影響認(rèn)證服務(wù)器的性能。MAC交換機(jī)上實(shí)現(xiàn)用戶MAC+端口+IPMAC地址和IP地址的假冒，實(shí)現(xiàn)用戶的安全認(rèn)證1.2802.1x解決方案1.2.1方案實(shí)現(xiàn)如圖1-1為港灣網(wǎng)絡(luò)關(guān)于802.1x協(xié)議的第一種實(shí)現(xiàn)方案。24IEEE802.1x技術(shù)白皮書(shū)V10在第一種實(shí)現(xiàn)方案中，802.1x協(xié)議在FlexHammer系列三層交換機(jī)上實(shí)現(xiàn)，即FlexHammer系列交換機(jī)作為認(rèn)證系統(tǒng)。FlexHammer將不同的MAC地址作為不同的端口進(jìn)行控制。如果設(shè)備支持全程VLAN，F(xiàn)lex也可將不同的VLAN作為不同的端口進(jìn)行控制用戶接入層交換機(jī)是普通的以太網(wǎng)交換機(jī)，需要對(duì)EAPOL幀作透?jìng)?，不能丟棄。1.2.2方案特點(diǎn)由于FlexHammer系列交換機(jī)是三層交換機(jī)，主要定位在智能小區(qū)的中心。通過(guò)以上的解決方案，具有如下的優(yōu)點(diǎn)：1)FlexHammer系列交換機(jī)可以根據(jù)網(wǎng)絡(luò)規(guī)模，分散放置在各小區(qū)的中心，“集中的用戶信息存儲(chǔ)，分散的用戶認(rèn)證，方便實(shí)現(xiàn)用戶的管理。2)不會(huì)因?yàn)槟撑_(tái)設(shè)備的單點(diǎn)故障，而導(dǎo)致全網(wǎng)用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)。3)由于802.1x擔(dān)很輕，而且由于是分散的用戶認(rèn)證，整個(gè)網(wǎng)絡(luò)不存在瓶頸點(diǎn)。4)由于802.1x協(xié)議是一個(gè)二層協(xié)議，對(duì)于引入802.1x認(rèn)證，并沒(méi)有增加多少成本，完全是提供合理成本下的“可運(yùn)營(yíng)、可管理”的網(wǎng)絡(luò)解決方案。5)對(duì)于接入級(jí)的二層交換機(jī)可以不支持基于802.1q的VLAN，這樣可以降低該層設(shè)備的成本以及免除因VLANID的數(shù)量不夠用和規(guī)劃方面的諸多不便。6)FlexHammer可以提供基于64kbps的帶寬控制，不同用戶可以根據(jù)帶寬25IEEE802.1x技術(shù)白皮書(shū)V10采取不同的收費(fèi)策略2IEEE802.1x應(yīng)用方案的主要困難，最大限度的保護(hù)用戶的投資。2.1802.1x認(rèn)證應(yīng)用在新建小區(qū)對(duì)于新建的智能小區(qū)，可以采用方案一來(lái)提供完整的802.1x的認(rèn)證。2.1.1方案如圖2—1新建的智能小區(qū)。對(duì)于規(guī)模比較大的小區(qū)，可以在每個(gè)小區(qū)的中心放置一臺(tái)FlexHammer三層交換機(jī)，用于完成802.1x規(guī)模比較小的小區(qū)，可以幾個(gè)小區(qū)放置一臺(tái)FlexHammer完成802.1x認(rèn)證。在樓棟的匯聚層放置uHammer24則可以放置8端口的uHammer1008或16端口的uHammer1016。2.1.2802.1x認(rèn)證實(shí)現(xiàn)過(guò)程認(rèn)證過(guò)程的發(fā)起由用戶發(fā)起(EAPOL-Start)，或設(shè)備監(jiān)測(cè)到未認(rèn)證用戶使用網(wǎng)絡(luò)時(shí)，由設(shè)備發(fā)起請(qǐng)求驗(yàn)證。MAC播MAC而無(wú)法知道用戶的密碼/賬號(hào)，無(wú)法知道用戶的MAC地址。認(rèn)證通過(guò)后的MAC絡(luò)的路徑是唯一的。這樣，通過(guò)認(rèn)證的用戶的數(shù)據(jù)包就不會(huì)泄露。2.2802.1x認(rèn)證應(yīng)用在舊小區(qū)26IEEE802.1x技術(shù)白皮書(shū)V10對(duì)于已經(jīng)有網(wǎng)絡(luò)設(shè)備運(yùn)行的舊小區(qū)，如果要實(shí)現(xiàn)802.1x認(rèn)證，則根據(jù)小區(qū)現(xiàn)有網(wǎng)絡(luò)設(shè)備的特點(diǎn)，采取不同的解決方案。2.2.1舊小區(qū)HUB的改造目前有很多小區(qū)仍采用HUB方式接入用戶，對(duì)于這類小區(qū)如果要實(shí)現(xiàn)802.1x認(rèn)證，只需在小區(qū)中心添加一臺(tái)FlexHammer交換機(jī)作為認(rèn)證系統(tǒng)。原則上HUB下接的用戶也可以經(jīng)過(guò)802.1x認(rèn)證后再訪問(wèn)網(wǎng)絡(luò)，但由于HUB為共HUB下其它用戶造成影響。建議對(duì)HUB進(jìn)行改造，至少保證用戶端口隔離，以防止廣播對(duì)其他用戶的影響。2.2.2舊小區(qū)L2的兼容性對(duì)于采用二層交換機(jī)組網(wǎng)的小區(qū)，如果要實(shí)現(xiàn)802.1x認(rèn)證，則只需在上層添加FlexHammer交換機(jī)作為認(rèn)證系統(tǒng)實(shí)現(xiàn)認(rèn)證。EAPOLEAPOL報(bào)文為組播報(bào)文，而對(duì)于支持IGMPSnooping的交換機(jī)會(huì)在相關(guān)端口轉(zhuǎn)發(fā)，而對(duì)于不支持的交均可實(shí)現(xiàn)。由于802.1x協(xié)議本身對(duì)802.1QVAN3802.1x此舊的二層交換機(jī)可以不支持802.1Q的VLAN，只需利用VLAN進(jìn)行端口隔離和限制廣播。2.2.3舊小區(qū)L3的兼容性對(duì)于小區(qū)中心原有三層交換機(jī)或路由器，如果要實(shí)現(xiàn)802.1x認(rèn)證，有幾種方案27IEEE802.1x技術(shù)白皮書(shū)V10可以解決認(rèn)證問(wèn)題：方案一如圖2—4FlexHammer24交換機(jī)作為認(rèn)證系統(tǒng)，完成802.1x認(rèn)證。L3只需要能夠透?jìng)?02.1x協(xié)議幀就可以了。方案二如圖2—5FlexHammer24交換機(jī)作為認(rèn)證系統(tǒng)放置于原來(lái)三層交換機(jī)的下方，完成802.1x認(rèn)證，這樣充分體現(xiàn)了在最接近用戶的地方進(jìn)行接入控制，便于控制影響的范圍。方案三如圖2—6FlexHammer24戶接入層的二層交換機(jī)直接匯聚到FlexHammer24，三層交換功能和802.1x認(rèn)證均由FlexHammer24來(lái)實(shí)現(xiàn)。3港灣802.1x認(rèn)證計(jì)費(fèi)系統(tǒng)介紹信運(yùn)營(yíng)商非常關(guān)注的問(wèn)題?！皩拵н\(yùn)營(yíng)，計(jì)費(fèi)先行這句話很形象的解釋了運(yùn)營(yíng)與計(jì)費(fèi)之間的利害關(guān)系。寬通無(wú)阻。所謂沒(méi)有規(guī)矩不成方圓，計(jì)費(fèi)管理系統(tǒng)就是在為寬帶網(wǎng)絡(luò)保駕護(hù)航。28IEEE802.1x技術(shù)白皮書(shū)V10得認(rèn)真研究的問(wèn)題。港灣公司提供全套商用的802.1x認(rèn)證計(jì)費(fèi)解決方案，不僅可以實(shí)現(xiàn)對(duì)用戶的安更多的服務(wù)選擇空間。3.1計(jì)費(fèi)管理系統(tǒng)功能對(duì)比較集中的地方，所以小區(qū)運(yùn)營(yíng)商更需要有一套完整的計(jì)費(fèi)管理系統(tǒng)做保障，1)設(shè)立賬戶概念，以人為獨(dú)立個(gè)體，計(jì)費(fèi)和管理都需要依托賬戶存在；2)賬戶需要與IPMACVLANAD同時(shí)支持動(dòng)態(tài)和靜態(tài)綁定，靜態(tài)綁定確保賬戶的安全和保密，防止用戶篡改IP或盜用賬戶信息，動(dòng)態(tài)綁定可以提供賬戶漫游的功能；3)詢和個(gè)人資料修改等等；4)對(duì)住戶實(shí)行分組管理，可以按照地理位置/行政分組設(shè)置訪問(wèn)權(quán)限；5)29IEEE802.1x技術(shù)白皮書(shū)V106)帶寬、上網(wǎng)的服務(wù)類別等；7)設(shè)置費(fèi)用/信用超限告警，支持多種條件在線查詢費(fèi)用，可以強(qiáng)制在線用戶離線；8)可以向單個(gè)住戶、用戶組及滿足條件的在線用戶發(fā)送短消息；9)支持批量開(kāi)戶和銷戶；10)節(jié)假日折扣，并可以隨時(shí)出賬單；11)12)開(kāi)放性好，可以支持RADUIS協(xié)議；13)性能穩(wěn)定，價(jià)格適中，產(chǎn)品技術(shù)成熟，性價(jià)比最優(yōu)。放心可靠，同時(shí)運(yùn)營(yíng)商可以高枕無(wú)憂。3.2港灣計(jì)費(fèi)管理系統(tǒng)解決方案針對(duì)802.1x802.1x認(rèn)證計(jì)費(fèi)系統(tǒng)iRadius，該系統(tǒng)可以提供以下功能：提供用戶的802.1x認(rèn)證功能。提供與802.1x相配合的Radius計(jì)費(fèi)功能。提供計(jì)費(fèi)帳務(wù)的查詢和列表打印功能。iRadius系統(tǒng)主要分為認(rèn)證授權(quán)、帳戶管理、用戶控制三個(gè)部分。它根據(jù)多種服30IEEE802.1x技術(shù)白皮書(shū)V10務(wù)提供商成本將降低，有效的提高寬帶的利用率。iRadius兼容多種網(wǎng)絡(luò)接入技術(shù)，可以對(duì)802.1x、Ethernet、xDSL和Wireless用戶通過(guò)IRadius撥號(hào)軟件向iRadiusserver發(fā)出請(qǐng)求的時(shí)候，iRadius設(shè)備收務(wù)，并解決了很久以來(lái)，一直存在于以太網(wǎng)網(wǎng)絡(luò)中IP沖突及盜用等問(wèn)題。iSMS（iRadiusMonitoringSystem,給iRadius系統(tǒng)提供可靠、穩(wěn)定的接入運(yùn)營(yíng)環(huán)境。iSMS和所有的iRadiusServer一直保持緊密的聯(lián)系，如果其中一臺(tái)iRadius