华为技术篇之协议原理与实现(4)

　　4．IEEE802.1x应用

　　图3　IEEE802.1x应用于有线和无线网络

　　移动办公为企业网用户带来了灵活方便的使用环境。但同时也带来了相应的安全和管理问题。IEEE802.1x协议的出现有效地解决了上述问题。

　　如上图，移动办公环境中的接入层交换机Quidway S3026和Quidway AccessPoint位于在企业网的最边缘，所有接入PC的的端口被配置为IEEE802.1x Authenticator管理，这些端口在初始化时处于阻塞状态，除了IEEE802.1x的控制协议报文，所有其他报文在端口处都将被丢弃。

　　用户的PC机充当IEEE802.1x的supplicant客户端，典型的IEEE802.1x客户端是Windows XP自带的身份认证系统。用户的用户名和口令信息(或者证书）被送到认证服务器。在认证服务器认证通过后，服务器将认证结果和相关附属配置下发到边缘交换机，边缘交换机根据认证结果报文打开或继续关闭边缘端口，配置端口属性，例如，此端口（用户）的VLAN-ID，缺省802.1p优先级，ACL访问控制列表，802.11WLAN用户40bit/128bit动态密钥等。其中VLAN配置可以通过动态VLAN协议自动扩散到企业LAN的其他交换机，通过这种方式，一个用户可以搬迁、漫游到企业网的不同工作位置，不需要管理人员参与任何配置工作就能迅速地接入工作网络，同时又保证了用户群组的安全隔离，例如，工作核心人员的便携机即使漫游到开放的休息室也能接入到特定VLAN。

　　网络管理员通过管理集中的认证服务器数据库可以实现对整个企业网用户的有效管理。 Authentication Sever可以采用标准的Radius认证服务器，也可以选用业务交换机来实现，后者主要用在网络规模不大的(300用户左右)情况中，华为3Com的Quidway 3000系列以上交换机在新的软件版本中，都提供内嵌Authentication Sever（认证服务器）的功能，通过华为3Com内部集群通讯协议高效完成对用户的认证配置功能。

　　IEEE802.1x通过对Radius的支持，还能提供计费功能，通过监控边缘用户接入端口的会话时间和流量，向计费服务器发出计费报文，从而方便的实现对流量、时间计费等运营需求。