PPPOE与8021X认证在校园网的使用对比919.docx
- 文档编号:6166868
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:10
- 大小:170.13KB
PPPOE与8021X认证在校园网的使用对比919.docx
《PPPOE与8021X认证在校园网的使用对比919.docx》由会员分享,可在线阅读,更多相关《PPPOE与8021X认证在校园网的使用对比919.docx(10页珍藏版)》请在冰豆网上搜索。
PPPOE与8021X认证在校园网的使用对比919
PPPoE与802.1X在校园网内的使用对比分析
目录
一部署结构对比3
1、故障与性能风险3
2、认证质量3
3、组网方式3
4、应用流量模型4
二易用性对比4
1、对IPV6的支持4
2、对组播的支持5
3、维护成本5
三应用安全对比5
1、用户账号安全5
2、认证设备的安全6
3、ARP等广播攻击的防护6
4、日志审计7
5、认证安全7
四运营对比7
1、分地区运营7
2、校内资源与校外资源访问的控制7
3、防代理的控制8
五投资对比8
六在校园网使用的风险对比9
七应用案例对比9
1、全国使用BRAS设备的高校9
1)东南大学:
9
2)中国矿业大学:
10
3)南京大学:
10
4)西南大学:
11
5)西南财经大学:
11
6)浙江大学:
11
7)海洋大学宿舍网:
12
2、使用802.1X认证的高校12
八PPPoE认证测试中遇到问题的高校12
1、南京师范大学12
2、中国矿业大学12
九PPPoE与802.1X认证在校园网应用对比分析总结12
一部署结构对比
1、故障与性能风险
1)PPPOE
(1)PPPOEBRAS为专门的硬件设备,并且由BRAS设备集中进行身份认证与计费,存在单点故障,全网瘫痪故障风险大。
(2)PPPOEBRAS设备采用串行部署模式,所以一方面存在单点故障,另一方面存在性能瓶颈;
(3)由于采用硬件的方案实现,所以当用户数超过限制后,只能再买一台,一方面增加成本,另一方面,使得网络出口设计复杂化,增加故障点;(目前重庆大学已经串行了三台网关式设备了)
(4)不管旁路还是串行部署,数据转发都是需要经过BRAS的,因此性能瓶颈依然存在。
2)802.1X
(1)采用分布式的认证模式,认证设备为接入交换机(目前基本上所有厂商的接入交换机均支持802.1X技术),计费与认证管理为后台软件系统;
(2)802.1X的分布式部署模式,可以大大减少认证系统的故障率,如可采用多校区、分布式集群部署;
(3)软件模式的认证数量理论上是可以实现无限大的,目前最大规模的一台设备上已经达到并发3万人左右,最大注册用户数达到了9万人左右;
2、认证质量
1)PPPOE
学校用户的认证特点是容易并发认证且并发数量庞大。
认证报文与数据报文全部需要通过BRAS处理,在上万人并发认证的情况下,BRAS认证性能存在瓶颈、速度慢,存在无法获取IP地址的风险。
2)802.1X:
每台接入交换机的用户数量相对较少,负荷开销小,认证无瓶颈、速度快。
3、组网方式
1)PPPOE
PPPOE认证方式采用BRAS+后台系统部署,核心骨干网属于路由模式组网。
BRAS设备属于路由器,在转发每个数据报文前,都需要CPU去查找路由表。
而校园网是一个局域网,所有的业务数据访问需要的是高速交换,不是路由转发。
特别是在上万人同时在线的校园网,用户访问路由器组建的核心网络比访问交换机组建的核心网速度慢。
2)802.1X
802.1X认证方式采用交换机(NAS)+后台系统部署。
组网模式采用全交换,满足校园网的高速数据交换。
4、应用流量模型
1)PPPOE
校园网用户内部(横向)数据交换量比较多,如QQ文件传送、PtoP应用软件下载等,所有流量都需经过BRAS,增加了BRAS的负担。
同时,这些流量经过核心骨干网转发,增加了核心骨干网的额外开销,增加了扩容核心骨干网带宽的几率。
2)802.1X
802.1X认证采用交换机。
用户内部数据交换直接通过接入交换机或者汇聚交换机转发,无需经过核心骨干网,减少核心骨干网流量,降低核心骨干网超负荷风险,有效、合理的使用了核心骨干网资源。
二易用性对比
1、对IPV6的支持
1)PPPOE
需要BRAS设备支持PPPOEv6协议,同时需要用户端支持PPPOEv6协议。
BRAS设备主要面向运营商开发应用,IPV6业务在运营商还未大规模开展,运营商在全国极少数地方有PPPOEv6业务的试点,但在全国高校中无大规模应用。
对BRAS设备支持IPV6的功能是否满足校园网业务应用,在上万用户并发访问的情况下性能是否稳定无法评估,存在一定的风险。
2)802.1X
完全支持IPV6业务。
IPV6业务的使用与802.1X无关,只需AAA认证计费系统和认证交换机(NAS)支持IPV6即可。
2、对组播的支持
1)PPPOE
1)IPV4组播可以支持,但对BRAS的设备性能要求很高。
BRAS需要对组播的每个报文不断复制、封装与解封装,特别是在校园网大量用户同时使用组播业务的时候,对BRAS的性能是个考验,风险较大。
2)BRAS设备目前不支持IPV6组播
2)802.1X
802.1X认证与组播无关系,认证完成后,用户端到组播服务器之间是标准的IP报文。
使用802.1X完全支持组播(包括IPV4/IPV6组播)。
3、维护成本
1)PPPOE
对每个用户的配置都需要通过BRAS操作,特别是在几万用户开户的情况下,需要在BRAS设备上配置上万条命令,操作复杂,容易出错,需要配备精通技术的专业人员操作,维护人员配备灵活性低。
2)802.1X:
对用户的操作直接通过AAA认证计费系统的图形化界面操作,简单、便捷,对操作人员的技术水平要求不高,不容易出错,无需配备精通技术的专业技术人员。
三应用安全对比
1、用户账号安全
1)PPPOE
(1)多个用户一个VLAN的情况下
PPPOE认证前通过广播方式寻找BRAS设备,该广播在同一个VLAN内转发。
若某非法用户在该VLAN内私自架设PPPOESERVER,会导致正常用户无法找到正确的PPPOESERVER无法上网,且同时存在账号密码被该非法用户窃取的风险。
(2)每个用户一个VLAN的情况下
A.需要汇聚、核心交换机、BRAS设备支持QinQ功能,增加投入成本和维护成本。
B.BRAS在送往RADIUS的报文中,包含NAS-IP-ADDRESS和NAS-PORT-ID两个属性来确认用户接入来源的有关属性,其中QinQ的信息包含在NAS-PORD-ID中,AAA认证系统必须能够识别含QinQ的NAS-PORT-ID(双VLANID标签)格式,此种方式目前只有运营商的BOSS系统支持,若采用第三方AAA认证计费系统,需要定制开发,间接增加采购AAA认证系统的投入成本。
C.对汇聚、核心、BRAS设备额外处理QinQ的封装与解封装,增加设备的压力,特别是在上万人的大规模并发使用情况下,设备超负荷运转的风险很大。
D.由于封装为QinQ方式后,数据帧又会在PPPOE帧上加大,数据帧会达到1526Byte,需要汇聚、核心交换机支持巨帧传送,增加网络带宽的额外开销。
E.大量的VLAN,增加管理复杂度。
特别是在学校网络运维部门人手不足的情况下,增加的维护量会导致运维效率降低。
2)802.1X
802.1X客户端采用组播的方式寻找NAS,不存在被欺骗和账号被盗的风险;
2、认证设备的安全
1)PPPOE
PPPOE采用BRAS设备认证,该设备针对所有用户都是可见的。
学校用户数量大,学生用户群体活跃,喜欢尝试新鲜事物,对BRAS设备进行攻击的事件很有可能发生,如广播攻击、PPPOE认证攻击等,若在大量用户攻击的情况下,很有可能导致BRAS设备性能降低或者瘫痪,存在导致全网瘫痪的风险。
2)802.1X
802.1X认证在接入交换机部署,该交换机所接用户数量少,且对其他用户是不可见的。
若有用户对该接入交换机攻击,最坏情况下只会影响到该交换机下的用户,不会导致全网瘫痪。
3、ARP等广播攻击的防护
1)PPPOE
PPPOE用户认证后的报文被封装,不存在ARP欺骗等攻击的风险。
但用户在认证前的报文是未封装的,广播报文可以直接到达BRAS设备,存在接入交换机、BRAS被广播攻击风险。
2)802.1X
802.1X认证前,接入交换机端口不允许用户报文通过,直接屏蔽ARP等广播攻击。
认证完成后,接入交换机会自动绑定用户的IP+MAC+PORT,防止了ARP等广播攻击的发生。
4、日志审计
1)PPPOE
PPPOE基于用户上网日志信息只能提供用户名+IP+VLAN+时间信息。
一旦用户在互联网访问了非法网站或者发布了非法言论,PPPOE上网日志无法提供追溯该用户的确凿证据,只能提供用户名、上网时间、用户VLAN号、用户IP。
2)802.1X
对用户的上网日志可以精确追溯,包括用户名、上网时间、接入交换机、接入交换机端口、IP、MAC。
5、认证安全
1)PPPOE
PPPOE认证前通过广播方式寻找BRAS设备,在BRAS设备已经有大量流量的情况下,如果上万人的并发认证,会导致广播大,会导致设备的CPU高,存在用户无法获取IP地址的风险;
2)802.1X:
802.1X认证属于分布式部署,一台NAS设备接入用户量小,没有上万人同时认证的风险。
同时,认证流域数据流式分开的,数据流直接通过交换机转发到网络中。
认证流是通过NAS交换机与AAA认证系统之间的radius协议传送,报文流量低,不会影响到AAA认证系统的稳定运行。
四运营对比
1、分地区运营
1)PPPOE
无法做到用户同一个账号在宿舍网使用的时候计费,在机房使用的时候不计费;
2)802.1X:
可做到用户统一账号在宿舍网使用计费,在机房使用的时候不计费;
2、校内资源与校外资源访问的控制
1)PPPOE
用户需要免费访问校园网,用户认证后,同时就可免费访问校外资源,不能保障运营收益。
为保障合理使用互联网带宽,用户访问校外资源带宽是限速的。
假如用户认证后访问校外资源的带宽限制为2M,同时访问校内资源的带宽也被限制为了2M,导致用户访问内网速度慢,失去了高速校园网的意义。
2)802.1X:
可提供用户访问校内资源免费,访问校外资源收费;同时,用户访问校外资源被限速的情况下,校内资源的访问带宽不会被限速。
3、防代理的控制
1)PPPOE
使用操作系统自带的客户端不能防代理,需要专用防代理客户端。
使用专用客户端,但无保护专用客户端被破解的措施。
不能保障运营收益。
2)802.1X
使用专用客户端,可防代理,同时客户端可被防破解,由客户端厂商提供专业的防破解保护。
保障运营收益。
五投资对比
1)PPPOE
除了交换机以外,还需增加额外的BRAS设备。
BRAS设备昂贵,能支持的认证用户数通过每块业务板卡能支持的用户数来界定,当有上万用户数需要认证时,需要配置大量的业务板卡。
同时,未来认证用户数量扩容,不但需要增加接入交换机,还需要增加BRAS设备业务板卡,增加了额外投资。
2)802.1X:
通过接入交换机开启802.1x功能认证。
普通交换机自带802.1x功能,无需增加接入交换机的投资成本。
未来网络扩容,只需要增加接入交换机,无需增加其他额外设备,实现平滑扩容,节省投资。
校园网的建设是为了更好的为现代化教育服务,而不是盈利。
在满足学校应用需求的情况下,应当节省投资。
六在校园网使用的风险对比
1)PPPOE
PPPoE虽然在运营商大规模使用,但用户环境、网络环境、应用环境都和校园网有很大差别。
而且PPPoE接入认证方式在全国高校校园网中几乎未使用,BRAS设备的功能与性能都未在校园网业务中未经过检测,存在大量不确定因素。
PPPoE认证在校园网中能否满足学校对信息化、现代化教育的要求以及未来学校教学、科研业务应用的发展,还未经过大量实际应用来证明,成熟性未知。
因此,在大规模的校园网中,采用PPPoE认证,将存在巨大风险。
2)802.1X
802.1X是一种成熟的认证技术,并且在全国上百所高校中已经有大规模的长期应用。
设备的802.1X功能与设备的稳定性、性能已经经过长期实际应用,非常稳定、安全,也能很好的为高校信息化教育的服务。
因此,在高校校园网中使用802.1X认证,不具备风险。
七应用案例对比
1、全国使用BRAS设备的高校
目前全国几乎无使用PPPOE认证的高校,有高校使用BRAS设备做L2TPVPN服务器,对用户出校园网访问进行网关认证。
包括:
1)东南大学:
学校校园网无需认证即可接入。
需要访问校外网络的时候,由BRAS设备提供L2TPVPN拨号,并对访问国内流量和国外流量计费。
在使用BRAS拨号中,经常出现掉线情况。
2)
中国矿业大学:
学校校园网无需认证即可接入。
需要访问校外网络的时候,由BRAS设备提供L2TPVPN拨号,并对访问国内流量和国外流量计费。
此种方式使用中问题很多,用户对网络中心意见较大。
3)南京大学:
学校校园网无需认证即可接入。
需要访问校外网络的时候,由BRAS设备提供L2TPVPN拨号,并对访问国内流量和国外流量计费。
使用中也存在BRAS无法连接问题。
4)西南大学:
由于BRAS设备性能瓶颈,扩展性差,DHCP分配IP地址不稳定等原因,已经开始将PPPOE认证转为802.1X认证。
5)西南财经大学:
由于BRAS设备性能瓶颈,扩展性差,DHCP分配IP地址不稳定等原因,已经开始将PPPOE认证转为802.1X认证。
6)浙江大学:
学校校园网无需认证即可接入。
需要访问校外网络的时候,由BRAS设备提供L2TPVPN拨号,并对访问国内流量和国外流量计费。
7)海洋大学宿舍网:
3000在线用户数,由于PPPOE的带宽控制功能的限制,用户访问互联网的带宽被限制的同时内网的访问带宽也被限制,访问内网非常慢,用户抱怨较多。
2、使用802.1X认证的高校
北京大学、四川大学、北京师范大学、东北师范大学等上百所高校在校园网中大规模使用802.1X认证。
八PPPoE认证测试中遇到问题的高校
1、南京师范大学
学校校园网认证曾经想改造为PPPOE,使用JUNIPER设备来测试。
由于JUNIPER无后台系统,学校使用了第三方后台使用。
在测试中,第三方系统与JUNIPER对接测试出现很多问题,如认证困难等情况。
由于测试效果不理想,学校放弃了使用PPPOE认证,改为802.1X。
2、中国矿业大学
学校校园网认证曾经想使用PPPOE。
由于学校需要完成CNGI的验收,对IPV6使用环境要求较严格。
学校使用JUNIPER设备来测试使用PPPOE支持IPV6的情况,在测试中发现,很多IPV6功能都不支持,还处于开发解决或者是根本还未开发(在前JUNIPER厂家是宣传支持的),后续放弃了使用IPV6做PPPOE认证。
九PPPoE与802.1X认证在校园网应用对比分析总结
校园网是一个应用复杂、网络流量大、用户群密集且庞大、用户群活跃的复杂环境。
PPPoE认证是运营商接入网中的一种接入手段。
运营商接入网的网络环境、用户环境、应用环境都与校园网不同。
综合对PPPoE与802.1X在校园网中的技术、应用、安全、运营、管理、投资、风险等方面的分析,802.1X认证技术更适合校园网。
PPPoE在高校校园网中无大规模使用案例,而802.1X认证技术在高校校园网中的大规模使用更是证明了802.1X认证技术更适合高校校园网接入认证。
使用BRAS设备作为校园网出口的网关,使用L2TPVPN拨号的方式访问访问校园网以外的网络,解决了校园网的准出认证,并未解决校园网的准入认证。
同时,由于校园网接入未做认证,不能保障接入安全,同时无法保障接入质量,更不能保障L2TPVPN拨号的质量。
因此,BRAS作为VPN认证服务器经常掉线的事件经常发生也不足为奇。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PPPOE 8021 认证 校园网 使用 对比 919