（通信与信息系统专业论文）基于ieee+8021x的以太网接入控制芯片逻辑设计.pdf

摘要 随着网络技术的发展，采用以太网技术构建的宽度i p 接入网越来越受到人 们的重视。但是由于传统的以太网接入控制体系不能够满足迅速发展的接入网技 术要求，于是本文提出按照新的i e e e8 0 2i x 基于端口的接入控制标准设计出一 种运用于网络前端的设备，来解决以太接入网在这方面的不足。 本文设计的目标是采用a s i c 芯片的方式，设计出一种基于8 0 2l x 的简单、 廉价和有效的设备来完成以太网接入控制。采用这种芯片的设备可以被方便的安 装于以太网交换机的前端，连接各个需要接入的用户，并将其有效的隔离。 本文首先进行了以太网接入控制芯片方案设计，完成了系统的框图，划分 了各模块的功能，并采用基于缓冲区描述符的共享存储区交换结构进行以太网数 据包的转发。在仔细分析了8 0 2l x 协议的基础上，设计了接入控制控制状态机。 然后以自顶向下的方法完成了执行数据包收发功能的以太网端口设计，它包括 r x t xm a c 的时序和控制状态机设计，d m a 的状态机设计，全双工流量控制 的实现方法以及m i i 接口的设计等，并且采用v e r i l o gh d l 代码对主要模块进 行了r t l 级描述。最后通过编写的t e s t b e n c h 对r x t xm a c 模块进行了功能 仿真。 关键词：i e e e8 0 2l x ，接入控制，以太接入网，状态机 a b s t r a c t w i t ht h ed e v e l o p m e n to f n e t w o r k s ，e t h e r n e tt e c h n o l o g yc o m e st ob er e g a r d e da st h e m a j o rt e c h n o l o g yb e i n g u s e di nb r o a db a n di pa c c e s sn e t w o r k s b e c a u s et h e t r a d i t i o n a la c c e s sa u t h e n t i c a t i o ns y s t e mi ne t h e r n e td o s en o tm a t c ht h er e q u i r e m e n to f t h ea c c e s sn e t w o r kd e v e l o p i n ga t g r e a ts p e e d ，t h i sd i s s e r t a t i o nf i g u r e so u tt h ew a y b a s e do ni e e e8 0 2i xs t a n d a r dp o r t - b a s e dn e t w o r ka c c e s sc o n t r o lt od e s i g nan e w d e v i c eu s e di nt h e 疗o n to f t h en e t w o r k t h et a r g e to ft h i sd i s s e r t a t i o ni st o d e s i g n a na s i c ，w h i c hi sa b l et o i m p l e m e n t e t h e m e ta c c e s sa u t h e n t i c a t i o ni nas i m p l e ，c h e a pa n de f f i c i e n tw a yf o l l o w e ds t a n d a r d o f8 0 2l xt h ed e v i c ew i t ht h i s c h i p c a nb ei n s t a l l e di nf r o n to fe t h e r n e ts w i t c h c o n v e n i e n t l yt oc o n n e c t t oa l lt h eu s e r s t h es y s t e ms c h e m eo ft h ec h i pi si n t r o d u c e di nt h eb e g i n n i n go ft h i s d i s s e r t a t i o n ， i n c l u d i n gt od e s i g nt h ef u n c t i o n a lb l o c kd i a g r a m ，d e f i n et h ef u n c t i o no fs u b m o d u l e ， a n ds t o r ea n df o r w a r de t h e r n e tf r a m ew i t hs h a r es t o r a g es w i t c hf a b r i cb a s e do nb u f f e r d e s c r i p t o rt h e c o n t r o ls t a t em a c h i n e sa r ed e s i g n e da f t e rc a r e f u l l ya n a l y s i so f8 0 21x s t a n d a r dt h e nt h ee t h e r n e t p o r t t h a tr e c e i v e sa n dt r a n s m i t st h ed a t a p a c k e t s i s d e s i g n e di nt h ew a y o f t o pd o w nt i m i n ga n ds t a t em a c h i n e so f r x t xm a c ，s t a t e m a c h i n e so f d m a ，i m p l e m e n t a t i o no f f u l ld u p l e xf l o wc o n t r o la n dm i ii n t e r f a c ea r e p r e s e n t e di nt h ed i s s e r t a t i o n m o r e o v e r , t h ek e ym o d u l e sa r ed e s c r i b e dw i t hv e r i l o g h d lj nr t l1 e v e l f i n a l l y , at e s t b e n c hi sw r i t t e nt os i m u l a t er x t xm o d u l e k e y w o r d s ：i e e e8 0 2l x ，a c c e s sc o n t r o l ，e t h e r n e ta c c e s sn e t w o r k , s t a t em a c h i n e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：纽垂。塾。 日期：工。j 年扩月j 3 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：焦立堑导师签名： b 期：如口j 年j 月蝎日 鸱 锄一 基于i e e e8 0 2i x 的以太网接入控制芯片逻辑设训 第1 章引言 p c 机的普及和w e b 技术的出现使i n t e r n e t 迅猛发展，其应用范围已经从i t 界扩展到社会的各行各业。从电信业本身来看，现有的电信网的框架将从电路交 换及其组网技术逐步转向以分组交换特别是口为基础的新框架，电信网承载的 业务将从以电话为主转向以数据业务为主。宽带化和i p 化是核心网发展的趋势， 同时又是接入网发展的方向，并由此提出了口接入网的概念。 根据i p 接入网的特殊性，i t u t 对口接入网定义如下：i p 接入网是在邛 用户和i p 业务提供者之间提供所需的对i p 业务的按入能力的网络实体的实现。 口接入网需要提供i p 接入传送功能、口接入功能和i p 接入网系统管理功能。接 入传送功能是与i p 业务无关的，i p 接入功能是指i s p 的动态选择、网络地址翻 译、授权认证记帐等。 i p 接入网中所蕴藏的巨大市场空间是各大网络运营商关注的焦点，如何占 领市场，如何在未来的竞争中立足，成为他们考虑的核心。因此，网络运营商纷 纷涉足i p 接入市场，其所采用的技术也不尽相同，在各种宽带邛接入技术中， 以太网接入技术因其独特的优势，正以前所未有的速度得到应用。 1 1以太接入网技术概述 以太网，即e t h e r n e t ，既是一种计算机接入局域网络的连接标准，又是一种 网络互联设备数据共享的通讯协议。以太网采用具有冲突检测的载波监听多点接 入c s m a c d 技术，主机只有在检测到线路空闲时才能发送数据，如果检测到冲 突，即其它主机正在发送数据时，它会过一段时间再次试发送直至把数据发送出 去。1 9 9 0 年9 月，8 0 2 3 i 1 0 b a s e - - t 标准正式通过，依靠新的1 0 b a s e - - t 中 继器、双绞线介质( m a u ) 和n i c 网络接口卡，以太网得到广泛应用。随后， 快速以太网、交换式以太网等技术的出现是以太网在局域网中占据了主导地位。 千兆以太网技术和无碰撞全双工光纤技术则进一步拓宽了以太网的应用范围。以 太网的普及性、高速的传输速度和低成本的特性使其成为事实上的局域网硬件和 网络连接的标准，而且随着以太网技术的进一步成熟，以太网技术开始在城域网 甚至广域网中得到越来越多的应用。 基于i e e e8 ( 1 2l x 的以太网接入控制芯片逻辑设计 以太网技术本身的优势加上宽带i p 接入网发展的需求促进了以太网技术在 t p 接入网中的应用。由于以太网的帧格式和i p 数据格式是一致的，用以太网传 输i p 数据业务，中间没有任何格式转换问题【1 ”。随着快速以太网、千兆以太网 技术的发展，传输速率可提高到1 0 0 m b i t s 、1 g b i t s 、】0 g b i t s 。而光纤传输技术 的进步使得千兆以太网在单模光纤上的无中继传输距离可达l o o 公里以上，各种 速率的以太网不仅可以构成局域网也可以构成城域网甚至广域网。利用现有光纤 线路，用各种速率的以太网技术架构宽带i p 接入网，是一种经济有效的方法。 在i p 接入网中采用以太网接入方式的协议栈，其用户侧用以太网接口与用 户相连，局侧则采用a t m 、帧中继或者以太网的方式连到核心网或城域网。这 种实现用户接入的方式被称为以太网接入，它可以充分利用现有以太网协议的优 点，为用户提供便捷高效的宽带口接入服务。 采用以太网技术为用户提供宽带接入，千兆到小区、百兆到大楼、十兆到家 庭是普遍采用的种模式，也可以是千兆到大楼、百兆到楼层、十兆入户的方式。 这种方案使用户具有高速接入、平滑升级的能力，网络运营商也可以降低旌工建 设和运行维护的成本。国内众多网络运营商按照这种实施方案建设的宽带i p 接 入网已经覆盖国内许多城市，并继续以j 晾人的速度蓬勃发展。 与现在流行的宽度接入方式x d s l ，c a b l em o d e m 等相比，以太接入网具有 明显的优势1 1 7 】： 从接入成本来看，a d s l 利用铜制电话线传输数据，可以利用现有的铜 线资源，但存在出线率的问题，网络总成本不低。利用h f c 网络构建 宽带口接入网，可以利用原有的h f c 线路和机房，但是需要对其进行 双向改造，初期投资较大。另外由于h f c 采用模拟频分复用的方式传 输，光网部分需要超线性激光器和大量的解调器，因而其设备费用昂贵。 以太网接入可以利用已有的光网部分和新建小区的五类线资源，或者重 新布线，但是无论是用户终端设备还是用于接入的交换机设备，其价格 都比a d s l 和h f c 设备的价格便宜得多，网络建设和维护的费用也较 低。总体而言，以太网接入方式在网络成本上占有优势。 从接入速率来看，a d s l 可以达到下行8 m b i t s 、上行1 m b i t s 的传输速 率，但是由于电话线线路质量参差不齐，实际应用中很难达到的这一传 输速率。h f c 作为接入网，其下行速率可以达到4 0 m b i t s ，为光节点小 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 区内用户共享，上行最高可达2 m b i t s 。由于每个光节点小区内的用户数 在1 0 0 0 或2 0 0 0 以内，即使只有小部分用户使用i p 接入服务，每个用 户拥有的带宽依然很有限。以太网接八方式刹用先进的路由器、交换机 等设备将1 0 m b i t s 、1 0 0 m b i t s 甚至1 g b i t s 的接口送到大楼、楼层和家 庭，用户可以独享1 0 m b i t s 甚至1 0 0 m b i t s 的带宽。另外，1 0 g b i t s 以 太网产品电陆续投放市场，以太网接入方式在传输速率上具有很好的可 扩展性。 以太网接入可以充分利用以太网技术应用的优势，为用户提供灵活方便 的宽带接入。全球企事业单位的以太网用户已达1 亿多，目前以每年3 0 0 0 万的数目增长。对用户而言，特别是原来的企业网或者校园网用户而言， 以太网是他们最为熟悉的组网技术，用户很容易接受以太网接入的方 式。目前流行的操作系统与以太网都有很好的兼容性，在这些操作系统 1 还有大量与以太网技术兼容的应用软件可供使用。 以太网技术能够支持多种拓扑结构和结构化布线，有利于接入网的施工 建设。结构化布线有利于降低网络建设的成本和缩短建设时间，从而促 进以太网接八方式的推广应用。 以太网技术当初就是针对i p 网络应用设计的，因此与口有很好的适应 性，有利于提高i p 接入网的网络利用率和对多业务的承载能力。 总之，在i p 接入网中采用以太网技术，符合我国城市小区化聚居、人口密 度高的特点，可以用较低的成本、较快的速度建设宽带i p 接入网络，实现网络 管理、用户服务选择及用户策略控制和网络安全等功能，实现真正的宽带接入。 正因为以太网在宽度接入网技术中逐渐胜出，人们也看到了宽度以太接入网 的广阔前景。2 0 0 4 年以太网第一英里联盟( e t h e m e t i n t h e f i r s t m i l e a l l i a n c e ， 即e f m a ) 正式批准8 0 23 a h 成为i e e e “以太网第一英里”的标准。 8 0 2 3 a h 研究题目中“第一英里”指的是用户端到电信运营商局端设备的这一 段连接，这段连接从使用者的角度看是“最先一英里”，而从运营者的角度看是“最 后英里”。它的目标是将已经得到广泛应用的以太网技术推广到电信用户的接 入网市场，这样可以使网络性能明显提高，同时降低设备和运行的成本。 e f m 是有史以来业界在i e e e8 0 2 标准方面最为庞大的项目。来自1 0 0 多家 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 公司的代表利用新的o a m ( 操作、管理和维护) 机制定义了新的光纤和铜缆以 太网的界面类型，以方便管理。从总多国际电信巨头参与该项目的热情，我们可 以预见宽度以太接入网在未来的巨大商机。这一系列项目的开展，为全球的服务 提供商大规模部署以太网接入网络、推出下一代以太网服务铺平了道路。 1 2 以太接入网的用户接入管理 1 2 1 以太接入网用户接入管理所面临的问题 虽然以太接入网相对于其它技术由不可比拟的优势，但由于接入网是一个公 用的网络环境，因此其要求与局域网这样一个私有网络环境的要求会有很大不 同，主要反映在用户接入管理上。 所谓用户接入管理指的是用户需要到接入网运营商那里进行开户登记，并且 在用户进行通信时对用户进行认证、授权。对所有运营商而言，掌握用户信息是 十分重要的，从而便于对用户的管理，因此需要对每个用户进行开户登记。而在 用户进行通信时，要杜绝非法用户接入到网络中，占用网络资源，影响合法用户 的使用，因此需要对用户进行合法性认证，并根据用户属性使用户享有其相应的 权力。 有了接入网系统的用户接入管理，才能够使网络运用商对网络用户进行计费 管理。计费管理指的是接入网需要提供有关计费的信息，包括：用户的类别( 是 账号用户还是固定用户) 、用户使用时长、用户流量等这些数据，支持计费系统 对用户的计费管理。 为了解决以上的问题，就需要一套完善的安全认证体系，通过它可以防止非 法用户接入网络，并对台法用户对网络资源的使用进行管理。如何既能够利用局 域网技术简单、廉价的组网特点，同时又能够对用户或设备访问网络的合法性提 供认证，是目前业界讨论的焦点。 1 2 2 传统的接入控制模式 随着宽带以太网的迅猛发展，网络上原有的认证系统如p p p o e 和w e b p o r t a l 认证方式，越来越不适应宽带发展的认证需求，暴露了传统认证的弊端。宽带网 络发展提出了新的认证需求。 基于i e e e8 0 2l x 的以太网接入控制苍片逻辑发计 传统p p p o e 是从基于a t m 的窄带网引入到宽带以太网的。虽然其方式较灵 活，在窄带网中有较丰富的应用经验，但可以看出，p p p o e 并不是为宽带以太 网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，尤其是它 的封装方式电造成了宽带以太网发展中的种种问题。 幽1 1p p p o e 认证方式 在p p p o e 认征中，认证系统必须将每个包进行拆解才能判断和识别用户是 否合法。这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完 成，这个设备就是我们传统的b a s ( w e b 认证服务器) 。对每个用户发出的每 个数据包，b a s 必须进行拆包识别和封装转发。一旦并发用户增多或者数据包 增大，封装速度必然跟不上，造成宽带网络发展的瓶颈。 图1 - 2p o t a l v v e b 认证方式 基于1 e e e8 0 2l x 的以太网接入控制芯片逻辑设计 而传统的w e b p o r t a l 认证是基于业务类型的认证，不需要安装其他客户端软 件，只需要浏览器就能完成，就用户来说较为方便。但是由于w e b 认证走的是7 层协议，从逻辑上来说为了达到网络2 层的连接而跑到7 层做认证，这首先不符 合网络逻辑。 由于w e b p o r t a l 认证是基于7 层的认证，4 层以下的网络问题往往检测不到。 如断电、突发故障等异常离线情况必须在2 层做检测，而w e b p o f f a l 对此束手无 策。因此w e b p o r t a l 认证用户连接性差，不容易检测用户离线，基于时间的计费 较难实现。 在传统的w e b p o r t a l 认证中，无论什么用户都可以先获得i p 地址，再上网 通过客户端认证。w e b p o r t a l 方式在认证前就为用户分配了i p 地址，对目前网络 珍贵的i p 地址来说造成了浪费，而且分配地址的w e b 认证服务器对用户而言 是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证。 传统w e b p o r t a l 认证前后的业务流和数据流无法区分，不便开展多业务。目 前，在以太网中，w e b p o r t a l 认证只是限于在酒店，校园等网络环境中使用。 当传统的认证方式成为宽带i p 网发展的障碍时，必定会出现新的认证技术 来取代它，推动宽带以太网的发展。8 0 2 ，l x 标准认证协议的出现，完全解决了传 统p p p o e 和w e b p o r t a l 认证带来的问题。 1 2 3i e e e8 0 2l x 协议的优势 作为一种基于端口的网络接入控制技术，8 0 2l x 协议只关注l a n 端口的开 关，通过认证时，l a n 端口打开，否则端口处于关闭状态。认证的结果仅仅是 l a n 端口状态的改变，不涉及传统认证技术必须考虑的口地址协商与分配问题。 因此，8 0 2l x 也是目前各种认证技术中最易实现的一种解决方案之一【1 。 与此同时，8 0 2l x 采用了r a d i u s 等标准安全协议实现用户身份集中验证 以及动态密钥与账户管理，并在认证方式和认证体系结构上进行了优化，解决了 传统方式带来的问题。因此，8 0 2 1 x 协议虽然源于i e e e8 0 2 1 1 无线以太网，主 要为无线局域网提供点对点物理或逻辑端口的接入控制，但在宽带以太网领域同 样可以大显身手，能够为宽带以太网提供一种便于网络运营与管理的新认证技 术。 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 总之，8 0 2l x 标准认证协议的出现，彻底解决了传统p p p o e 和w e b p o r t a l 认证带来的问题，为运营商建设可运营、可管理的电信级宽带以太网提供了很好 的支持。因此，从这个意义上来说，8 0 2l x 协议的出现标志着一个全新认证时代 的到来，将对无线l a n 与宽带以太网市场的发展产生极为深远的影响，必将进 一步推动移动计算市场的发展。 目前，这一技术已得到包括思科、微软等众多业内领先厂商的大力支持。其 中，微软己在其新一代w i n d o w sx p 操作系统增添了针对i e e e8 0 2l x 安全协议 的支持特性，借助i e e e8 0 2l x 协议为用户提供身份验证服务，并允许通过验证 的用户在无须执行额外登录的前提下访问公共网络。 传统的p p p o e 与w e b p o r t a l 等认证方式，认证流、业务流不分，不仅给认 证与业务处理带来了极大不便，而且也不同程度地增加了网络部署与运营成本。 而8 0 21 x 认证技术却基于逻辑端口成功实现了认证流与业务流的分离。用户通 过认证后，业务、认证流分离，系统对后续数据包无特殊处理，不仅可以有效消 除网络瓶颈，而且使业务处理更为灵活。尤其在提供宽带组播等业务时，所有业 务均不受认证方式限制，从根本上改变了传统业务模式】。 表1 - 1p r o t a l a n e b ，p p p o e 和8 0 2 。i x 的比较 认证方式p t o t a l w e bp p p o e8 0 2 1 x 标准程度厂家私有r f c 2 5 1 6i e e e 标准 封装开销小较大j 、 接入控制方式设备端口用户用户 地址认证前分配认证后分配认证后分配 组播支持好差好 v l a n 数目要求多无无 支持多i s p较差好好 客户端软件不需要需要需要 设备支持厂家私有业界设备业界设备 用户连接性差好好 对设备的要求高( 全程v l a n )较高( b a s )低 总结起来，i e e e8 0 2l x 有以下五大优点 7 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 简洁高效：以太嘲技术内核，保持【p 网络无连接特性，去除冗余昂贵 的多、l k 务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业 务。 容易实现：可在普通l 3 、l 2 、i p d s l a m 上= 实现，网络综合造价低。 安全可靠：在二层网络上实现用户认证，结合m a c 、端口、账户和密 码等：绑定技术具有很高的安全性。 易于运营：控制流和业务流完全分离，实现多业务运营，少量改造传统 包月制等单一收费制网络即可升级成运营级网络。 行业标准：i e e e 标准，微软操作系统内置支持。 就用户的角度而占，8 0 2 】x 认证的突出优点是简洁高效，基于纯以太网技术 内核，去除了冗余昂贵的多业务网关设备，消除网络认证计费瓶颈和单点故障， 易于支持多业务，解决了采用多业务网关时不便于开展视频业务的难题。另外， 由于8 0 2 1 x 协议在二层网络上实现用户认证，不需要到达三层，不仅可以通过 设备实现m a c 、端口、账户和密码等绑定技术，而且设备整体性能要求不高， 可在普通l 3 、l 2 、i pd s l a m 上实现，可以有效降低网络构建成本。同时，由 于8 0 2 1 x 实现了认证流与业务流的彻底分离，因而更易于进行多业务运营。 8 0 2l x 协议对未来网络的发展主要体现在三方面：首先，作为一种可行的网 络认证机制，消除了一个技术上的瓶颈，它为实现可运营的网络提供了安全基础； 其次，在应用层面，8 0 21 x 具有了完备的用户认证、计费、管理功能，能大幅度 降低网络综合建设成本，是构建可运营网络的实用可行的方案，正在成为以太城 域网和宽带口网的主流方案；第三，就协议本身而言，该协议组也正在不断完 善发展，广泛的应用和迅速的推广，也必将推动协议本身的快速成熟。 如果把一项新技术的应用分为开发实验阶段、初步应用阶段、迅速普及阶段、 成熟应用阶段、衰退退出阶段五个阶段的话，目前8 0 2 1 x 已经开始进入快速普 及阶段。至于大规模的应用，现在已经有所体现，在不久的将来可能就会“随处 可见”。 1 3 论文的主要目标和组织结构 本论文将介绍一个采用自顶向下( t o pd o w n ) 方法设计的基于8 0 2l x 协议 的以太网接入控制控制器的a s i c 芯片设计方案。其中将包括，完成芯片系统整 基于i e e e8 0 2 】x 的以太网接入控制芯片逻辑设计 体方案设计，关键控肯状态机设计以及对关键模块的v e r i l o g i - d lr t l 级描述和 功能仿真验证。 由于奉论文研究内容都是建立在i e e e8 0 2l x 和i e e e8 0 23 协议之上，所 以在第二章将对i e e e8 0 2 1 x 进行介绍。第三章将介绍芯片所采用的体系结构， 并阐述了其采用的基于缓冲区描述符的交换结构。第四章是i e e e8 0 2 1 x 控制模 块状态机设计，第五章将详细介绍以太网端口的设计，第六章是功能仿真验证， 最后将是对全文的总结。 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 第2 章i e e e8 0 2 1 x 协议简介 8 0 21 x 协议起源于8 0 21 1 协议，后者是i e e e 的无线局域网协议，制订8 0 2l x 协议的初衷是为了解决无线局域网用户的接入控制问题。i e e e8 0 23l a n 协议 定义的局域网并不提供接入控制，只要用户能接入局域网控制设备( 如l a n s w i t c h ) ，就可以访问局域网中的设备或资源。这在早期企业网有线l a n 应用环 境下并不存在明显的安全隐患。 随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的 接入进行控制和配置。尤其是w l a n 的应用和l a n 接入在电信网上大规模开展， 有必要对端口加以控制以实现用户级的接入控制，8 0 2 1 x 就是i e e e 为了解决基 于端口的接入控n ( p o r t b a s e dn e t w o r k a c c e s sc o n t r 0 1 ) i s j 而定义的一个标准。 2 1 8 0 2 1 x 基于端口的接入控制 8 0 2l x 是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。 端口可以是一个物理端口，也可以是一个逻辑端口( 如v l a n ) 。8 0 2l x 接入控制 的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打 开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”， 即只允许8 0 2l x 的认证协议报文通过。 图2 18 0 2l x 接入控制的体系结构 8 0 2l x 的体系结构如图2 - 1 所示。它的体系结构中包括三个部分，即请求者 基于i e e e8 0 2 1 x 的以太网接入控制芯片逻辑设计 系统、认证系统和认证服务器系统三部分： 1 请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对 其进行接入控制。请求者通常是支持8 0 2l x 接入控制的用户终端设备，用户通 过启动客户端软件发起8 0 2 1 x 认证，后文的认证请求者和客户端二者表达相同含 义。 2 认证系统 认证系统( a u t h e n t i c a t o r ) 对连接到链路对端的认证请求者进行认证。认 证系统通常为支持8 0 2 1 x 协议的网络设备，它为请求者提供服务端口，该端口 可以是物理端口也可以是逻辑端口，一般在用户接入设备( 如l a ns w i t c h 和a o ) 上实现8 0 2l x 接入控制。后文的认证系统、认证点和接入设备三者表达相同含 义。认证系统有两个网络访问端口：非受控端口和受控端口。非受控端口始终保 持连接状态，只能通行认证信息；受控端口有“授权”和“未授权”两种状态， 可以通行认证信息以外的数据帧。 3 认证服务器系统 认证服务器是为认证系统提供认证服务的实体，建议使用r a d i u s 服务器 来实现认证服务器的认证和授权功能。 2 2 可扩展认证协议e a p i e e e8 0 2 1 x 标准使用可扩展的认证协议e a p ( e x t e n s i b l ea u t h e n t i c a t i o n p r o t o c 0 1 ) ，“可扩展”的意思是指任何认证机制可以被封装在e a p 请求响应信息 包内，因此利用该协议可以实现较广泛的认证机制。e a p 本是为p p p 认证制定的 一个通用协议，其特点是e a p 在链路控制( l c p ：l i n kc o n t r o lp r o t o c 0 1 ) 阶段 没有选定一种认证机制，而把这一步推迟到认证阶段。 e a p 是建立在请求响应通信模型之上的，e a p 工作在网络层上而不是在链 路层上。因此，可以将信息转发到中心认证服务器( 如r a d i u s ) 而不是让每一个 认证系统进行认证，因而有更大的灵活性。在认证成功前。认证系统必须允许e a p 信息通过，为了实现这一点，使用了前面所述的双端口模型。 e a p 并不是一个具体的认证方式，而是一种认证协议的封装格式，通过使 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 用e a p 封装，客户端和认证服务器能够实现对具体认证协议的动态协商。 2 2 1e a p 的数据格式 e a p 数据包格式如图2 2 所示。在该数据包中有c o d e ( 代码) 、i d e m i f i e r ( 标 识符) 、p a c k e tb o d yl e n g t h ( 数据包长度) 、e a pt y p e ( e a p 数据包子类型) 、 t y p e d a t a ( 类型- 数据) 五个字段域，各域都按照从左到右的顺序在网络中传送。 l l2o c t e t s c o d ei d e n i i l i e r p a c k e ! b o d yl e a g t h e a pt y p e t y p e d a t a 图2 - 2e a p 数据包格式 其中，c o d e 字段为一个字节长度，表示e a p 数据包类型。如果收到的数据 包c o d e 字段不是有效值，则丢弃该数据包。e a p 数据包c o d e 字段值分配如下： c o d e ： 1 e a p - r e q u e s t e a p 认证请求 2 e a p r e s p o n s e e a p 认证响应 3e a p - s u c c e s s e a p 认证成功 4e a p - f a i l u r e e a p 认证失败 i d e n t i f i e r 字段为一个字节长度，用于匹配请求与应答。认证者系统和 r a d i u s 服务器根据i d e n t i f i e r 字段值可检测出相同请求者系统的重复请求，对 重复请求不加处理直接丢弃。 p a c k e tb o d y l e n g t h 字段为2 个字节长度，它指的是包含代码、标识符、长 度、e a p 数据包子类型和数据域在内的总长度。超出长度域的部分被看作填充 字节而被忽略。在请求者系统与认证者系统之间传输的e a p o l 分组封装e a p 数据包，其中e a p o l 的长度字段域值与e a p 长度域值相同，以后将详述e a p o l 报文结构。 基于i e e e8 0 2l x 的以太网接入控制：卷片逻辑设计 e a p t y p e 字段为一个字节长度，标识e a p 数据包中d a t a 字段的类型。e a p t y p e 字段值分配如下： e a p t y p e ： 1 i d e n t i t y 用户身份 2n o t i f i c a t i o n通知 3n a k r e s p o n s e 无应答 4m d 5 c h a n l l e n g e m d 5 质询 5o n et i m ep a s s w o r d ( o t p )一次性密码 6g e n e r i ct o k e nc a r d ( g e n )通用令牌 1 3e a p t l s ( 0 x o d ) 21 e a p t t l s ( 0 x l 5 、 2 5 e a p p e a p ( 0 x l9 ) 2 6e a p m s c h a p ( 0 x la ) t y p e d a t a 字段域长度不定，不同的e a pt y p e 对应不同的t y p e d a t a 值。 用户身份的t y p e - d a t a 字段域可以是用户名； 通知的t y p e - d a t a 字段域携带了认证者系统给请求者系统的一段可显示的 信息； n a k 类型的数据包指示出请求者系统请求的认证类型不被认证者系统接 受，该类型的数据包仅用于响应数据包中； m d 5 质询的t y p e d a t a 字段域是m d 5 的质询文本； 一次性密码类型的请求数据包中包含了o t p 质询，而与之相对应的响应数 据包中包含对o t p 质询的应答，n a k 类型的应答指示出客户期望的认证机制 类型。 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 2 2 2e a p o l 协议 请求者和认证系统之间运行8 0 2l x 定义的e a p o l ( e x t e n s i b l ea u t h e n t i c a t i o n p r o t o c o lo v e r l a n ) 协议。当认证系统工作于中继方式时，认证系统与认证服务器 之间也运行e a p 协议，e a p 帧中封装认证数据，将该协议承载在其它高层次协 议中( 如r a d i u s ) ，以便穿越复杂的网络到达认证服务器；当认证系统工作于终 结方式时，认证系统终结e a p o l 消息，并转换为其它认证协议( 如r a d i u s ) ， 传递用户认证信息给认证服务器系统。 e a p o l 协议将e a p 数据包封装到以太帧当中，通过以太网传输。e a p o l 数据包格式如图2 - 3 所示，包括e t h e r n e tt v p e ( 以太网类型) 、p r o t o c o lv e r s i o n ( 协 议版本) 、p a c k e tx y p e ( 数据包类型) 、p a c k e t b o d yl e n g t h ( 数据包长度) 和p a c k e t b o d y ( 数据包体) 五个字段域。 e t h e r n e tt y p ep r o t o c o lv e r s i o np a c k e tt y p e p a c k e tb o d yl e n g t hp a c k e tb o d y 图2 - 3e a p o l 数据包格式 其中，以太网类型字段域为2 个字节长度，以太网类型值为0 x 8 8 8 e 指示该 数据包为e a p o l 类型。 协议版本字段域为1 个字节长度，标识支持的e a p o l 协议版本，当前的 e a p o l 协议版本为l 。 数据包类型字段域为1 个字节长度，标识该e a p o l 数据包的类型。如果收 到的e a p o l 数据包的类型不是有效值，则丢弃该包。数据包类型字段域值的分 配如下： p a c k e t t y p e ： 0e a p p a c k e t 1e a p o l s t a r t 认证信息帧用于承载认证信息 认证发起帧 基于i e e e8 0 2i x 的以太网接入控制芯片逻辑设计 2 e a p o l l o g o f f 3 e a p o l k e y 4 e a p o l e n c a p s u l a t e d - a s f a l e r t 的a l e r t i n g 消息 退出请求帧可主动终止已认证状态 密钥信息帧支持剥e a p 报文的加密 用于支持a l e r ts t a n d a r df o r u ma s f 其中，认证发起帧e a p o l s t a r t 既可以由请求者发起，也可以由认证者发起。 数据包长度字段域为2 个字节长度，它指的是数据包体的长度，如果没有数 据包体则该字段域值为0 。 数据包体长度不定，如果数据包类型为e a p p a c k e t 、e a p o l k e y 或 e a p o l e n c a p s u l a t e d a s f a l e r t ，数据包体即为相应类型的数据包。而对于其他 的数据包类型e a p o l s t a r t 、e a p o l l o g o f f , 该字段为空。 2 3 8 0 2 1 x 接入控制流程 基于8 0 2l x 的认证系统在客户端和认证系统之间使用e a p o l 格式封装e a p 协议传送认证信息，认证系统与认证服务器之间可通过r a d i u s 等协议传送认 证信息。由于e a pf 办议的可扩展性，基于e a p 协议的认证系统可以使用多种不 同的认证算法，如e a p m d 5 ，e a p t l s ，e a p s i m ，e a p t t l s 以及e a p a k a 等认证方法。 以e a p m d 5 为例，描述8 0 2i x 通过r a d i u s 服务器进行的接入控制流 程。e a p - m d 5 是一种单向认证机制，可以完成网络对用户的认证，但认证过程 不支持加密密钥的生成。基于e a p - m d 5 的8 0 2 ，l x 认证系统功能实体协议栈如 图2 - 4 所示。基于e a p m d 5 的8 0 2l x 接入控制流程如图2 5 所示，接入控制 流程包括以下步骤： 罩辱鞫一一冒 由鳆目 图2 - 4 基于e a p - m d 5 的8 0 2l x 认证系统功能实体协议栈 基于1 e e e8 0 2l x 的以太网接入控制芯片逻辑设计 图2 - 5 基于e a p m d 5 的8 0 2l x 接入控制流程 1客户端向接入设备发送一个e a p o l s t a r t 报文，开始8 0 2i x 接入控制接 入。 2 接入设备向客户端发送e a p r e q u e s t i d e n t i t y 报文，要求客户端将用户名 送上来。 3 客户端回应一个e a p r e s p o n s e i d e n t k y 给接入设备的请求，其中包括用 户名。 4 接入设备将e a p - r e s p o n s e i d e n t i t y 报文封装到r a d i u sa c c e s s - r e q u e s t 报文中，发送给认证服务器。 5 认证服务器产生一个c h a l l e n g e ，通过接入设备将r a d i u s a c c e s s c h a l l e n g e 报文发送给客户端， 其中包含有 e a p - r e q u e s t m d 5 一c h a l l e n g e 。 6 接入设备通过e a p r e q u e s t m d 5 c h a l l e n g e 发送给客户端，要求客户端 进行认证。 7 客户端收到e a p - r e q u e s t m d 5 一c h a l l e n g e 报文后，将密码和c h a l l e n g e 做 m d 5 算法后的c h a l l e n g e d p a s s w o r d ，在e a p - r e s p o n s e m d 5 一c h a l l e n g e 回应给接入设备。 1 6 基于i e e e8 0 2l x 的以太网接入控制芯片逻辑设计 8 接入设备将c h a l l e n g e ，c h a l l e n g e dp a s s w o r d 和用户名一起送到r a d i u s 服务器，由r a d i u s 服务器进行认证。 9r a d i u s 服务器根据用户信息，做m d 5 算法，判