PPPoE与802.1X在校园网中的应用分析

PPPoE和802.1X是较常见的两种宽带网络接入认证方式。两种方法的用户使用体验非常类似，但两种协议却有很大的差异，并带来不同的优缺点。本文分析了两种协议在实际应用中的特点以及在部署过程中可能引发的安全问题，结合校园网络的特点，提出两种协议在校园网络中的部署建议。

PPPoE和802.1X的分析

PPPoE(以太网上点对点协议，PPPover Ethernet)是在以太网上传送PPP分组的协议，沿用了传统PSTN窄带拨号接入技术，同时也继承了传统PSTN窄带拨号接入技术的特点。PPPoE 认证系统由客户端和宽带接入服务器(BRAS)两个实体组成，会话过程经历发现阶段和会话阶段。在发现阶段，客户端向网络广播寻找可以连接的BRAS，然后与选定的BRAS建立点对点逻辑链路；在会话阶段，客户端收发的数据包都经过PPPoE封装，并通过这唯一链路进行传输，所有用户网络数据包都要经过BRAS进行PPPoE的封装或解封装，如图1。

图1 PPPoE组网示意图

由于客户端只通过与BRAS建立的点对点逻辑链路收发数据，所有认证数据流和业务数据流都必须通过BRAS，简化了接入安全和管理的工作。在局域网安全方面，减少了IP冲突、ARP攻击；在用户管理方面，可以进行基于用户的带宽管理。PPPoE在当前运营商接入网中得到广泛的应用，并且Windows系统自带客户端，更容易被用户接受。

然而，PPPoE也存在几方面问题：第一，在网络安全方面，存在广播域的ARP攻击，假冒BRAS骗取用户账号密码等问题；第二，在网络稳定方面，容易产生巨包被网络中的节点丢弃，网络在BRAS设备上容易形成单点瓶颈和故障；第三，在协议支持方面，PPPoE不支持组播BRAS需要将组播包单个封装后转发，组播数据流大量增加了BRAS的负担；第四，在安全审计方面，BRAS只能记录用户的IP、MAC、登录时间，无法进行更详细定位；第五，在计费策略方面，无法实施分区域的收费策略。

实际应用中，部分PPPoE存在的问题通过结合一定安全机制是可以得到解决的。在网络安全问题上，主要防止BRAS欺骗和广播包占用带宽，可以在接入交换机上配置MAC ACL，使以太网类型为0x8863(客户端寻找BRAS广播包的以太网类型)的广播包只能转发到上联接口，同时采用多VLAN隔离广播包或限制广播包占用的带宽。

在网络稳定方面，调整接入交换机最大传输单元参数，可以防止巨包被交换机丢弃；采用双机热备，或限制设备管理的网络规模等方式，可以降低单点故障率。

图2 802.1X认证过程示意图

802.1X协议是一种基于端口的接入控制协议。如图2，802.1X认证系统一般包含三个实体：客户端(Supplicant)、认证系统(authenticator system，通常为支持802.1X的接入交换机)、认证服务器(authenticatorserver)。客户端向认证系统发起接入请求；认证服务器验证用户账户，并通知认证系统是否开放业务数据接入端口。802.1X的认证数据流和业务数据流是分开的。在认证前，客户端只能发送认证数据包，直接屏蔽了ARP 广播；认证成功后，对该主机开放交换机端口的业务数据接入通道，不改变用户的数据包格式和传输路径。目前，大部分主流交换机均支持802.1X，可以较为方便地实施802.1X认证的分布式部署。

在不结合其他机制的情况下，802.1X认证会出现以下问题：第一，接入交换机作为认证者，只能绑定用户主机的网卡物理地址MAC，只要MAC是通过认证的数据包都被允许通过，因此IP冲突、ARP攻击等各类局域网安全问题依然存在；第二，802.1X无法进行基于用户的带宽控制。

针对上述802.1X的问题，大部分支持802.1X 的交换机同时也能够从DHCP包中获取主机IP地址，因此可以在部署了DHCP 的情况下，实现IP+MAC+端口的绑定，解决IP冲突、ARP攻击等网络安全问题。在使用固定IP的情况下，目前部分厂商交换机可以通过私有机制使认证交换机获取用户IP地址，但通常要求认证系统和交换机是由同个厂商提供才能实现该功能。

两种协议在高校网络中应用的建议

校园网中用户数庞大，局域网内数据交换多且频繁，如文件传输、局域网游戏；校内资源丰富，希望达到高速资源共享，如校园数据中心资源、图书馆资源等；网络应用复杂，组播流量大，特别是视频流量；用户群活跃，喜欢尝试对网络的攻击；不同区域的用户群体不同，网络流量特征有差别，管理需求相异。

从前面的分析可以总结出PPPoE认证更侧重于管理，802.1X认证则可以更好维护网络性能。校园网中认证模式可以基于用户群体特点和管理需求进行选择。

表1 高校中不同群体网络流量的特性

如表1所列，高校网络群体一般可以分为学生群体、办公群体、家属群体。学生群体较熟练掌握计算机的使用，网络使用频繁，数据流量大、局域网内数据交互频繁，隐藏大量网络攻击行为，如果针对这样群体部署PPPoE，要求BRAS有很大的业务处理能力，实施成本高；反之，如果部署802.1X话，网络利用率较高，实施成本比较低廉。办公群体以网页浏览、文档传输为主，对网络的要求是安全性高和带宽稳定，在办公场合部署PPPoE，则更方便管理，网络稳定性较高。家属群体是消费型的群体，用户间数据传输较少，用户希望能够根据自己的需求选择带宽，并愿意为此差别付费，因此部署PPPoE会更为合理。

PPPoE 同时管理了用户接入认证和用户数据传输，适用于对带宽管理要求较高的场合。802.1X 只对用户接入进行控制，适用于内部数据流量较大，用户带宽管理需求低的场合。两种认证的实施都要结合一定的网络安全手段，才能更好体现协议优势，防止协议漏洞引起的安全问题。PPPoE 的宽带接入服务器BRAS 和802.1X的认证服务器，都要做好DDOS攻击防御。