校園網(wǎng)用戶身份認(rèn)證系統(tǒng)

1、 TOC o 1-5 h z HYPERLINK l bookmark16 o Current Document 摘要3 HYPERLINK l bookmark19 o Current Document Abstract3需求分析1.1設(shè)計(jì)任務(wù)41.2需求分析4802.1X協(xié)議 HYPERLINK l bookmark37 o Current Document 802.1x認(rèn)證特點(diǎn)5 HYPERLINK l bookmark41 o Current Document 802.1x工作機(jī)制5 HYPERLINK l bookmark45 o Current Document 802.1x工作過(guò)

2、程6 HYPERLINK l bookmark55 o Current Document 802.1x應(yīng)用環(huán)境特點(diǎn)7 HYPERLINK l bookmark61 o Current Document 802.1x認(rèn)證的安全性分析7 HYPERLINK l bookmark65 o Current Document 802.1x認(rèn)證的優(yōu)勢(shì)7 HYPERLINK l bookmark69 o Current Document 802.1x認(rèn)證的過(guò)程8設(shè)計(jì)過(guò)程 HYPERLINK l bookmark82 o Current Document 802.1x相關(guān)設(shè)置8 HYPERLINK l boo

3、kmark90 o Current Document 802.1x典型配置10調(diào)試分析4.1配置調(diào)試12總結(jié)5.1心得體會(huì)15 HYPERLINK l bookmark99 o Current Document 參考文獻(xiàn)15摘要數(shù)字化校園是數(shù)字化、信息化、智能化的統(tǒng)一，它在網(wǎng)絡(luò)和數(shù)字化信息的基礎(chǔ)上，利用 計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和通訊技術(shù)對(duì)校園辦公系統(tǒng)、人事系統(tǒng)、財(cái)務(wù)系統(tǒng)、科研系統(tǒng)以及設(shè) 備管理系統(tǒng)等信息資源進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一管理，在傳統(tǒng)校園基礎(chǔ)上構(gòu)建了一個(gè)數(shù)字化空間， 使這些信息資源能夠有序地運(yùn)轉(zhuǎn)，更好地為教學(xué)、科研、管理和生活服務(wù)。隨著現(xiàn)代信息網(wǎng) 絡(luò)技術(shù)的發(fā)展，信息網(wǎng)在逐漸的龐大，同時(shí)作為教育

4、中心的大學(xué)對(duì)數(shù)字化校園網(wǎng)的建設(shè)也加 緊了步伐。從一定意義上講，校園網(wǎng)的建設(shè)是衡量一個(gè)高校綜合實(shí)力的重要標(biāo)志。學(xué)校的教 務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、餐飲系統(tǒng)、機(jī)房系統(tǒng)、圖書管理系統(tǒng)以及宿舍系統(tǒng)等都與校園信息網(wǎng)緊 密相連。建設(shè)數(shù)字化校園目的就是充分利用現(xiàn)代信息技術(shù)，提高信息利用效率，提高學(xué)校 教學(xué)、辦公管理的水平，實(shí)現(xiàn)學(xué)校信息化管理，為此在數(shù)字化校園的建設(shè)中使用統(tǒng)一接口、 統(tǒng)一信息服務(wù)平臺(tái)、統(tǒng)一身份認(rèn)證系統(tǒng)的結(jié)合的顯得尤為重要。建立統(tǒng)一身份認(rèn)證系統(tǒng)，對(duì) 用戶的身份集中統(tǒng)一管理，保證用戶電子身份的惟一性、真實(shí)性與權(quán)威性，大大提高了數(shù)字 化校園應(yīng)用系統(tǒng)的安全性。802.1X協(xié)議是基于Client/Server的

5、訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/ 設(shè)備通過(guò)接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x 對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1X只允許EAPoL（基 于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可 以順利地通過(guò)以太網(wǎng)端口。AbstractDigital campus is digital and information and intelligence of unity, it in networks and digital information in the foundati

6、on, USES computer technology, network technology and communication technology of campus office system, personnel system, financial system, scientific research system and equipment management system information resources of unified planning, unified management, in traditional campus basis to construc

7、t a digital space, make the information resources can orderly operation, and to better serve the teaching, scientific research and management and life service. With the development of modern information network technology development, the information network in gradually huge, same as the university

8、 education center of the digital campus network construction is also stepping up the steps. In a certain sense, the construction of network is the measure of a college comprehensive strength of the important symbol. The school educational administration system, financial systems, catering system, th

9、e engine room department.802.1 x protocol is based on are/Server access control and authentication protocol. It can restrict unauthorized users/equipment through the access port access LAN/wireless local-area network (WLAN). After obtaining the switch or LAN provide various business before 802.1 x t

10、o connect to switch port on user/equipment to be certified. In 802.1 x authentication through before, only allowed EAPoL (lan-based extended authentication protocol) data through equipment connect switch port, After the authentication through, normal data can be smoothly through theEthernet port.需求分

11、析1.1設(shè)計(jì)任務(wù)隨著現(xiàn)在信息技術(shù)的發(fā)展，校園網(wǎng)絡(luò)提供的信息服務(wù)質(zhì)量的提升，對(duì)信息安全性的要求 也越來(lái)越高。同時(shí)對(duì)用戶的身份認(rèn)證、權(quán)限管理的要求相應(yīng)地提高。原來(lái)各個(gè)應(yīng)用系統(tǒng)各自 為政的身份認(rèn)證的方式難以達(dá)到這個(gè)要求。這就必須要有一個(gè)統(tǒng)一的、高安全性和高可靠性 的身份認(rèn)證及權(quán)限管理系統(tǒng)。該系統(tǒng)可以完成對(duì)整個(gè)校園網(wǎng)用戶的身份和權(quán)限管理，保證各 應(yīng)用系統(tǒng)基于統(tǒng)一的模式、集中的環(huán)境開發(fā)與升級(jí)，一方面降低了系統(tǒng)整體運(yùn)行的維護(hù)成本， 另一方面保證了整個(gè)校園系統(tǒng)能夠隨著平臺(tái)的升級(jí)而同步升級(jí)，方便使用和管理，也保證了 整個(gè)系統(tǒng)的先進(jìn)性與安全性。本實(shí)驗(yàn)就是要基于802.1x實(shí)現(xiàn)校園網(wǎng)的設(shè)計(jì)，解決校園網(wǎng)的 用戶身份

12、認(rèn)證問題。1.2需求分析首先，分析一下校園網(wǎng)在用戶接入方面必須面對(duì)的一些安全問題。在校園網(wǎng)用戶接入方面， 常見的有以下幾個(gè)方面的安全需求。對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和認(rèn)證，保證只有授權(quán)的用戶可以訪問校園網(wǎng)；及時(shí)發(fā)現(xiàn)影響網(wǎng)絡(luò)運(yùn)行的異常行為的來(lái)源，以便采取控制措施減小對(duì)網(wǎng)絡(luò)的影響；一些安全事件的事后追查，有時(shí)也需要追蹤到用戶的身份；校園網(wǎng)使用計(jì)費(fèi)，一般也要惟一標(biāo)識(shí)每個(gè)用戶的身份。國(guó)內(nèi)高校的校園網(wǎng)經(jīng)過(guò)多年的發(fā)展，逐漸形成了許多行之有效的身份認(rèn)證技術(shù)和系統(tǒng)。 但由于政策和管理模式不同，所采取的技術(shù)方案和管理制度也不盡相同。常見的認(rèn)證方案包 括：開放訪問。沒有認(rèn)證，這種情況無(wú)法滿足上述任何一種需求；校內(nèi)開放訪

13、問。只在用戶訪問校外資源時(shí)進(jìn)行認(rèn)證，一般在校園網(wǎng)出口處安裝認(rèn)證 網(wǎng)關(guān)設(shè)備。這種方法比較適合CERNET流量計(jì)費(fèi)政策，但是無(wú)法防止用戶通過(guò)代理訪問外 部資源，不能防止外來(lái)用戶濫用校園網(wǎng)中的資源，對(duì)于校內(nèi)發(fā)生的安全事件也無(wú)法追查；基于MAC地址的認(rèn)證。在三層交換機(jī)上登記用戶的網(wǎng)卡地址，只有授權(quán)的主機(jī)可以 訪問，這種方式的管理難度很大。上述第二種方案可能是目前校園網(wǎng)中最為普遍的認(rèn)證方式。然而，隨著由于網(wǎng)絡(luò)技術(shù)的 發(fā)展、網(wǎng)絡(luò)安全形勢(shì)的變化，許多組織和機(jī)構(gòu)對(duì)網(wǎng)絡(luò)接入認(rèn)證有了更加細(xì)粒度的要求，基于 802.1X的端口認(rèn)證是網(wǎng)絡(luò)工程領(lǐng)域比較看好的技術(shù)之一。802.1X在安全性方面的優(yōu)勢(shì)比較值得肯定，可以實(shí)現(xiàn)

14、細(xì)粒度的身份認(rèn)證、細(xì)粒度的控 制、安全事件的追蹤、集中管理用戶訪問權(quán)限（通過(guò)VLAN設(shè)置）、用戶安全狀態(tài)的檢查與更 新?？梢哉f(shuō)，基于802.1X的身份認(rèn)證技術(shù)和準(zhǔn)入控制思想給網(wǎng)絡(luò)管理者提供了一個(gè)美好的 藍(lán)圖，在很大程度上滿足了管理者的期待。802.1X 協(xié)議802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/ 設(shè)備通過(guò)接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x 對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)

15、以后，正常的數(shù)據(jù)可 以順利地通過(guò)以太網(wǎng)端口。802.1x認(rèn)證特點(diǎn)基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：IEEE802.1X協(xié)議為二層協(xié)議，不需要 到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常 用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的 兼容；802.1X的認(rèn)證體系結(jié)構(gòu)中采用了”可控端口”和”不可控端口”的邏輯功能，從而可以實(shí) 現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證 與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換，通過(guò)認(rèn)證之后的數(shù) 據(jù)包是無(wú)需封裝的純

16、數(shù)據(jù)包；可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè) 務(wù)支持；可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無(wú)線LAN具有 安全的認(rèn)證接入功能。802.1X工作機(jī)制以太網(wǎng)技術(shù)“連通和共享”的設(shè)計(jì)初衷使目前由以太網(wǎng)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)面臨著很多安全 問題。IEEE 802.1X協(xié)議正是在基于這樣的背景下被提出來(lái)的，成為解決局域網(wǎng)安全問題的 一個(gè)有效手段。在802.1X協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn) 證和授權(quán)?？蛻舳耍阂话惆惭b在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必 要的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。認(rèn)證系統(tǒng)：在

17、以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(jī)，其主要作用是完成用戶認(rèn)證信息的上傳、下 達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。認(rèn)證服務(wù)器：通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的身份標(biāo)識(shí)（用戶名和口令）來(lái)判別用戶是否有權(quán) 使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。在具有802.1X認(rèn)證功能的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個(gè)用戶需要對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問之前必須 先要完成以下的認(rèn)證過(guò)程。當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序，輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶名和口令， 發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開始啟動(dòng)一次認(rèn)證過(guò)程。交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程

18、序?qū)⑤斎氲挠?戶名送上來(lái)?？蛻舳顺绦蝽憫?yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過(guò)數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將客 戶端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比 對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將 此加密字傳送給交換機(jī)，由交換機(jī)傳給客戶端程序?？蛻舳顺绦蚴盏接山粨Q機(jī)傳來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理（此種 加密算法通常是不可逆的），并通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì) 比，如果相同，則認(rèn)為該用戶

19、為合法用戶，反饋認(rèn)證通過(guò)的消息，并向交換機(jī)發(fā)出打開端口 的指令，允許用戶的業(yè)務(wù)流通過(guò)端口訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機(jī) 端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。這里要提出的一個(gè)值得注意的地方是：在客戶端與認(rèn)證服務(wù)器交換口令信息的時(shí)候，沒 有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸，而是對(duì)口令信息進(jìn)行了不可逆的加密算法處理， 使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ希沤^了由于下級(jí)接入設(shè)備所具有的廣播特 性而導(dǎo)致敏感信息泄漏的問題。在802.1X解決方案中，通常采用基于MAC地址的端口訪問控制模式。采用此種模式 將會(huì)帶來(lái)降低用戶建網(wǎng)成本、降低認(rèn)證服務(wù)器性能要求的

20、優(yōu)點(diǎn)。對(duì)于此種訪問控制方式，應(yīng) 當(dāng)采用相應(yīng)的手段來(lái)防止由于MAC、IP地址假冒所發(fā)生的網(wǎng)絡(luò)安全問題。對(duì)于假冒MAC地址的情況當(dāng)認(rèn)證交換機(jī)的一個(gè)物理端口下面再級(jí)連一臺(tái)接入級(jí)交換機(jī)，而該臺(tái)接入交換機(jī)上的甲 用戶已經(jīng)通過(guò)認(rèn)證并正常使用網(wǎng)絡(luò)資源，則此時(shí)在認(rèn)證交換機(jī)的該物理端口中就已將甲用戶 終端設(shè)備的MAC地址設(shè)定為允許發(fā)送業(yè)務(wù)數(shù)據(jù)。假如同一臺(tái)接入交換機(jī)下的乙用戶將自己 的MAC地址修改得與甲用戶的MAC地址相同，則即使乙用戶沒有經(jīng)過(guò)認(rèn)證過(guò)程也能夠使 用網(wǎng)絡(luò)資源了，這樣就給網(wǎng)絡(luò)安全帶來(lái)了漏洞。針對(duì)此種情況，港灣網(wǎng)絡(luò)交換機(jī)在實(shí)現(xiàn)了 802.1X認(rèn)證、授權(quán)功能的交換機(jī)上通過(guò)MAC地址+IP地址的綁定功能來(lái)

21、阻止假冒MAC地 址的用戶非法訪問。對(duì)于動(dòng)態(tài)分配IP地址的網(wǎng)絡(luò)系統(tǒng)，由于非法用戶無(wú)法預(yù)先獲知其他用戶將會(huì)分配到的 IP地址，因此他即使知道某一用戶的MAC地址也無(wú)法偽造IP地址，也就無(wú)法冒充合法用 戶訪問網(wǎng)絡(luò)資源。對(duì)于靜態(tài)分配地址的方案，由于具有同一 IP地址的兩臺(tái)終端設(shè)備必然會(huì)造成IP地址沖 突，因此同時(shí)假冒MAC地址和IP地址的方法也是不可行的。當(dāng)假冒者和合法用戶分屬于認(rèn)證交換機(jī)兩個(gè)不同的物理端口，則假冒者即使知道合法用 戶的MAC地址，而由于該MAC地址不在同一物理端口，因此，假冒者還是無(wú)法進(jìn)入網(wǎng)絡(luò) 系統(tǒng)。對(duì)于假冒IP地址的情況由于802.1X采用了基于二層的認(rèn)證方式，因此，當(dāng)采用動(dòng)態(tài)地

22、址分配方案時(shí)，只有用 戶認(rèn)證通過(guò)后，才能夠分配到IP網(wǎng)絡(luò)地址。對(duì)于靜態(tài)地址分配策略，如果假冒了 IP地址，而沒有能夠通過(guò)認(rèn)證，也不會(huì)與正在使 用該地址的合法用戶發(fā)生地址沖突。如果用戶能夠通過(guò)認(rèn)證，但假冒了其他用戶的IP地址，則通過(guò)在認(rèn)證交換機(jī)上采用IP 地址+MAC地址綁定的方式來(lái)控制用戶的訪問接入。這使得假冒用戶無(wú)法進(jìn)行正常的業(yè)務(wù) 通信，從而達(dá)到了防止IP地址被篡改、假冒的目的。對(duì)于用戶口令失竊、擴(kuò)散的處理在使用802.1X認(rèn)證協(xié)議的系統(tǒng)中，用戶口令失竊和口令擴(kuò)散的情況非常多，對(duì)于這類 情況，能夠通過(guò)在認(rèn)證服務(wù)器上限定同時(shí)接入具有同一用戶名和口令認(rèn)證信息的請(qǐng)求數(shù)量來(lái) 達(dá)到控制用戶接入，避免非

23、法訪問網(wǎng)絡(luò)系統(tǒng)的目的。802.1x工作過(guò)程當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序，輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶名和口 令，發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開始啟動(dòng)一次認(rèn)證 過(guò)程。交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲?用戶名送上來(lái)。客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過(guò)數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將 客戶端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相 比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也 將此加密

24、字傳送給交換機(jī)，由交換機(jī)傳給客戶端程序?？蛻舳顺绦蚴盏接山粨Q機(jī)傳來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理（此 種加密算法通常是不可逆的），并通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行 對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過(guò)的消息，并向交換機(jī)發(fā)出打開端 口的指令，允許用戶的業(yè)務(wù)流通過(guò)端口訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換 機(jī)端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。802.1x應(yīng)用環(huán)境特點(diǎn)（1）交換式以太網(wǎng)絡(luò)環(huán)境對(duì)于交換式以太網(wǎng)絡(luò)中，用戶和網(wǎng)絡(luò)之間采用點(diǎn)到點(diǎn)的物理連接，用戶彼此之間通過(guò)VLA

25、N 隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶接入控制，802.1x不需要提供過(guò)多的安全 機(jī)制。（2）共享式網(wǎng)絡(luò)環(huán)境當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時(shí)，為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類似“搭載” 的問題，有必要將PAE實(shí)體由物理端口進(jìn)一步擴(kuò)展為多個(gè)互相獨(dú)立的邏輯端口。邏輯端口 和用戶/設(shè)備形成一一對(duì)應(yīng)關(guān)系，并且各邏輯端口之間的認(rèn)證過(guò)程和結(jié)果相互獨(dú)立。在共享 式網(wǎng)絡(luò)中，用戶之間共享接入物理媒介，接入網(wǎng)絡(luò)的管理控制必須兼顧用戶接入控制和用戶 數(shù)據(jù)安全，可以采用的安全措施是對(duì)EAPoL和用戶的其它數(shù)據(jù)進(jìn)行加密封裝。在實(shí)際網(wǎng)絡(luò) 環(huán)境中，可以通過(guò)加速WEP密鑰重分配周期，彌補(bǔ)WEP靜態(tài)分配秘鑰導(dǎo)

26、致的安全性的缺 陷。802.1x認(rèn)證的安全性分析802.1x協(xié)議中，有關(guān)安全性的問題一直是802.1x反對(duì)者攻擊的焦點(diǎn)。實(shí)際上，這個(gè)問題 的確困擾了802.1x技術(shù)很長(zhǎng)一段時(shí)間，甚至限制了802.1x技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個(gè) 問題給出了答案：802.1x結(jié)合EAP，可以提供靈活、多樣的認(rèn)證解決方案。802.1x認(rèn)證的優(yōu)勢(shì)綜合IEEE802.1x的技術(shù)特點(diǎn)，其具有的優(yōu)勢(shì)可以總結(jié)為以下幾點(diǎn)。簡(jiǎn)潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了 IP網(wǎng)絡(luò)無(wú)連接特性，不需要進(jìn)行協(xié)議間的多層 封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障，易于支持多業(yè)務(wù)和 新興流媒體業(yè)務(wù)。容易實(shí)現(xiàn)：可在普通L3、L

27、2、IPDSLAM上實(shí)現(xiàn)，網(wǎng)絡(luò)綜合造價(jià)成本低，保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。安全可靠：在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合MAC、端口、賬戶、VLAN和密碼等； 綁定技術(shù)具有很高的安全性，在無(wú)線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAPTLS,EAPTTLS, 可以實(shí)現(xiàn)對(duì)WEP證書密鑰的動(dòng)態(tài)分配，克服無(wú)線局域網(wǎng)接入中的安全漏洞。行業(yè)標(biāo)準(zhǔn)：IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無(wú)縫融合，幾乎 所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無(wú)線AP上都提供對(duì)該協(xié)議的支 持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對(duì)該協(xié)議的

28、支持。應(yīng)用靈活：可以靈活控制認(rèn)證的顆粒度，用于對(duì)單個(gè)用戶連接、用戶ID或者是對(duì)接入 設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。易于運(yùn)營(yíng)：控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營(yíng)，少量改造傳統(tǒng)包月 制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運(yùn)營(yíng)成本也有望降低。2.7. 802.1x認(rèn)證的過(guò)程利用IEEE 802.1x可以進(jìn)行身份驗(yàn)證，如果計(jì)算機(jī)要求在不管用戶是否登錄網(wǎng)絡(luò)的情況 下都訪問網(wǎng)絡(luò)資源，可以指定計(jì)算機(jī)是否嘗試訪問該網(wǎng)絡(luò)的身份驗(yàn)證。以下步驟描述了利用 接入點(diǎn)AP和RADIUS服務(wù)器對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的基本方法。如果沒有有效的身份驗(yàn)

29、證密鑰，AP會(huì)禁止所有的網(wǎng)絡(luò)流量通過(guò)。當(dāng)一個(gè)移動(dòng)節(jié)點(diǎn)(申請(qǐng)者)進(jìn)入一個(gè)無(wú)線AP認(rèn)證者的覆蓋范圍時(shí)，無(wú)線AP會(huì)向移動(dòng) 節(jié)點(diǎn)發(fā)出一個(gè)問詢。在受到來(lái)自AP的問詢之后，移動(dòng)節(jié)點(diǎn)做出響應(yīng)，告知自己的身份。AP將移動(dòng)節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給RADIUS身份驗(yàn)證服務(wù)器，以便啟動(dòng)身份驗(yàn)證服務(wù)。RADIUS服務(wù)器請(qǐng)求移動(dòng)節(jié)點(diǎn)發(fā)送它的憑據(jù)，并且指定確認(rèn)移動(dòng)節(jié)點(diǎn)身份所需憑據(jù) 的類型。移動(dòng)節(jié)點(diǎn)將它的憑據(jù)發(fā)送給RADIUS o在對(duì)移動(dòng)節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗(yàn)證密鑰發(fā)送 給AP。該身份驗(yàn)證密鑰將被加密，只有AP能夠讀出該密鑰。(在移動(dòng)節(jié)點(diǎn)和RADIUS服務(wù) 器之間傳遞的請(qǐng)求通過(guò)AP的“非控制”端

30、口進(jìn)行傳遞，因?yàn)橐苿?dòng)節(jié)點(diǎn)不能直接與RADIUS服 務(wù)器建立聯(lián)系。AP不允許STA移動(dòng)節(jié)點(diǎn)通過(guò)“受控制”端口傳送數(shù)據(jù)，因?yàn)樗€沒有經(jīng)過(guò)身 份驗(yàn)證。)AP使用從RADIUS服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動(dòng)節(jié)點(diǎn)數(shù)據(jù)的安全傳輸-特 定于移動(dòng)節(jié)點(diǎn)的單播會(huì)話密鑰以及多播/全局身份驗(yàn)證密鑰。全局身份驗(yàn)證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個(gè)加密密鑰， 這也是身份驗(yàn)證過(guò)程的一個(gè)組成部分。傳輸層安全TLS(Transport Level Security)協(xié)議提供了 兩點(diǎn)間的相互身份驗(yàn)證、完整性保護(hù)、密鑰對(duì)協(xié)商以及密鑰交換。我們可以使用EAP-TLS 在EAP內(nèi)部提供TLS機(jī)制。移動(dòng)節(jié)點(diǎn)可被

31、要求周期性地重新認(rèn)證以保持一定的安全級(jí)。三設(shè)計(jì)過(guò)程802.1x相關(guān)設(shè)置和802.1x相關(guān)的交換機(jī)主要配置內(nèi)容：aaa new-modelaaa authentication dotlx default group radiusaaa authorization network default group radius!-如果只是做802.1x認(rèn)證，則aaa authorization network這句可不要，如要做VLAN分 配或 per-user ACL， 則必須做 network authorizationdot1x system-auth-control!-注意在12.1(14)EA1

32、版以后802.1x的配置有了修改，此句enable 802.1x interface FastEthernet0/1description To Server_Farmswitchport mode accessdot1x port-control autodot1x max-req 3spanning-tree portfast!-dot1x port-control auto 句在 F0/1 上 enable dot1x，另外注意在 F0/1 口下我并沒有給它 賦 VLANradius-server host 1.2.3.4 auth-port 1812 acct-port 1813 ke

33、y radius_stringradius-server vsa send authentication!-radius-server host 1.2.3.4 句定義 radius server 信息，并給出驗(yàn)證字串!-因?yàn)橐渲肰LAN分配必須使用IETF所規(guī)定的VSA(Vendor-specific attributes)值， radius-server vsa send authentication句允許交換機(jī)識(shí)別和使用這些VSA值。配置802.1x動(dòng)態(tài)分配VLAN所用到的VSA值規(guī)定如下：Tunnel-Type = VLANTunnel-Medium-Type = 80281 Tun

34、nel-Private-Group-ID = VLAN name or VLAN ID和802.1x相關(guān)的ACS主要配置內(nèi)容：這個(gè)配置要看圖了，另外附帶說(shuō)一點(diǎn)，Cisco文檔說(shuō)ACS 3.0之前是不支持802.1x的。 因?yàn)?02.1x使用radius進(jìn)行認(rèn)證，所以在選用認(rèn)證協(xié)議時(shí)我選用的是RADIUS(IETF)，而缺 省是 Cisco 的 TACACS+o在Interface Configuration中對(duì) RADIUS(IETF)進(jìn)行配置，在組用戶屬性中選中 64Tunnel-Type、65 Tunnel-Medium-Type 81Tunnel-Private-Group-ID(見下圖

35、)。在 Group Setup 中對(duì) RADIUS Vendor-Specific Attributes 值進(jìn)行編輯：勾選 64Tunnel-Type 將 tag 1 的值選為 VLAN；勾選65 Tunnel-Medium-Type 將 tag 1 的值選 為 802；勾選81Tunnel-Private-Group-ID，將 tag 1 的值設(shè)為 7，表明為 VLAN 7(見下圖)。 設(shè)置完后，Submit+Resto 設(shè)計(jì)思想如下圖：TUNET網(wǎng)關(guān)3D2.1X交換忸用,*管理RADIUSRADIUS.ServerTUMETUNET網(wǎng)關(guān)3D2.1X交換忸用,*管理RADIUSRADIUS.

36、ServerTUME丁 認(rèn)述業(yè)務(wù)器802.1x11 lit客戶瑜802.1x典型配置（1）組網(wǎng)需求如下圖所示，某用戶的工作站與以太網(wǎng)交換機(jī)的端口 Ethernet 1/0/1相連接。交換機(jī)的管理者希望在各端口上對(duì)用戶接入進(jìn)行認(rèn)證，以控制其訪問Internet；接入控制模 式要求是基于MAC地址的接入控制。所有AAA接入用戶都屬于一個(gè)缺省的域：，該域最多可容納30個(gè)用戶；認(rèn)證 時(shí)，先進(jìn)行RADIUS認(rèn)證，如果RADIUS服務(wù)器沒有響應(yīng)再轉(zhuǎn)而進(jìn)行本地認(rèn)證；計(jì)費(fèi)時(shí)， 如果RADIUS計(jì)費(fèi)失敗則切斷用戶連接使其下線；此外，接入時(shí)在用戶名后不添加域名， 正常連接時(shí)如果用戶有超過(guò)20分鐘流量持續(xù)小于200

37、0Byte/s的情況則切斷其連接。由兩臺(tái)RADIUS服務(wù)器組成的服務(wù)器組與交換機(jī)相連，其IP地址分別為10.11.1.1和要求使用前者作為主認(rèn)證/從計(jì)費(fèi)服務(wù)器，使用后者作為從認(rèn)證/主計(jì)費(fèi)服務(wù)器； 設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報(bào)文時(shí)的加密密碼為“name”、與計(jì)費(fèi)RADIUS服務(wù) 器交互報(bào)文時(shí)的加密密碼“money”，設(shè)置系統(tǒng)在向RADIUS服務(wù)器發(fā)送報(bào)文后5秒種內(nèi)如 果沒有得到響應(yīng)就向其重新發(fā)送報(bào)文，重復(fù)發(fā)送報(bào)文的次數(shù)總共為5次，設(shè)置系統(tǒng)每15分 鐘就向RADIUS服務(wù)器發(fā)送一次實(shí)時(shí)計(jì)費(fèi)報(bào)文，指示系統(tǒng)從用戶名中去除用戶域名后再將 之傳給RADIUS服務(wù)器。本地802.1x接入用戶的用戶

38、名為localuser，密碼為localpass，使用明文輸入，閑置切斷功能 處于打開狀態(tài)。組網(wǎng)圖如下SupplicantAuthenticator啟動(dòng)802.1x和RADIUS對(duì)接入用戶進(jìn)行AAA操作(2)配置步驟說(shuō)明：下述各配置步驟包含了大部分AAA/RADIUS協(xié)議配置命令，對(duì)這些命令的介紹，請(qǐng)參見 “AAA和RADIUS協(xié)議配置”一章的相關(guān)章節(jié)。此外，接入用戶工作站和RADIUS服務(wù)器上的配置略。#開啟指定端口 Ethernet 1/0/1的802.1x特性。Quidway dot1x interface Ethernet 1/0/1#設(shè)置接入控制方式（該命令可以不配置，因?yàn)槎丝诘慕尤?/p>

39、控制在缺省情況下就是基于MAC 地址的）。Quidway dot1x port-method macbased interface Ethernet 1/0/1#創(chuàng)建RADIUS組radius1并進(jìn)入其視圖。Quidway radius scheme radius1#設(shè)置主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址。Quidway-radius-radius1 primary authentication 10.11.1.1Quidway-radius-radius1 primary accounting 10.11.1.2#設(shè)置從認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址。Quidway-radiu

40、s-radius1 secondary authentication 10.11.1.2Quidway-radius-radius1 secondary accounting 10.11.1.1#設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報(bào)文時(shí)的加密密碼。Quidway -radius-radius1 key authentication name#設(shè)置系統(tǒng)與計(jì)費(fèi)RADIUS服務(wù)器交互報(bào)文時(shí)的加密密碼。Quidway-radius-radius1 key accounting money#設(shè)置系統(tǒng)向RADIUS服務(wù)器重發(fā)報(bào)文的時(shí)間間隔與次數(shù)。Quidway-radius-radius1 timer

41、5Quidway-radius-radius1 retry 5#設(shè)置系統(tǒng)向RADIUS服務(wù)器發(fā)送實(shí)時(shí)計(jì)費(fèi)報(bào)文的時(shí)間間隔。Quidway-radius-radius1 timer realtime-accounting 15#指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS服務(wù)器。Quidway-radius-radiusl user-name-format without-domainQuidway-radius-radiusl quit#創(chuàng)建用戶域并進(jìn)入其視圖。Quidway domain #指定radius1為該域用戶的RADIUS方案。Quidway-isp- scheme rad

42、ius-scheme radius1 local#設(shè)置該域最多可容納30個(gè)用戶。Quidway-isp- access-limit enable 30#啟動(dòng)閑置切斷功能并設(shè)置相關(guān)參數(shù)。Quidway-isp- idle-cut enable 20 2000#添加本地接入用戶。Quidway local-user localuserQuidway-luser-localuser service-type lan-access Quidway-luser-localuser password simple localpass #開啟全局802.1x特性。Quidway dot1x校園網(wǎng)用戶身份認(rèn)證

43、系統(tǒng)設(shè)計(jì)效果圖如下朋W5 TiessagesNAP healthNAP client(NPS)Sysieiti h&shh requiremert querieshullh updateDHCP sefverRemediation sen/erHeahh 朋W5 TiessagesNAP healthNAP client(NPS)Sysieiti h&shh requiremert querieshullh updateDHCP sefverRemediation sen/erHeahh requirement serv&rIEEE 002.1 X networkaccess devices4

44、.1.配置調(diào)試(1) 802.1x 配置802.1x是IEEE為了解決基于端口的接入控制而定義的一個(gè)標(biāo)準(zhǔn)。802.1x認(rèn)證由三部分 組成：客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。在客戶端和認(rèn)證系統(tǒng)之間使用802.1x協(xié)議進(jìn)行通 信，在認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器之間使用RADIUS協(xié)議進(jìn)行通信S2524G在這里就像是個(gè)代 理，控制著端口的開關(guān)，如果認(rèn)證通過(guò)，端口將開放，客戶機(jī)可以對(duì)網(wǎng)絡(luò)進(jìn)行訪問，反之， 即使用戶插上的網(wǎng)線，網(wǎng)絡(luò)也是不通的。802.1 XS 置槿式；EnabledJHRADIUS IP地址 I192. 160U. 170RADIUS UDP童口 |配12RADIUSES WinRadiuZ一端口管

45、理狀態(tài)畿口狀態(tài)1Fore已 Authorised=0O2.1XDisabledRe-auLhanticataFcirc2| Force Au-ttiorLzed二|802 IDibledRe-muth 日 nti 京日Horc3Force Authorised 0O5.1XDi3-abledFcirc4Force Authorized T802.1, DibbledR白-auth白ntiu白t白Fore5| Farce Autharized802：bledRe-gutrnticatsFcirc：*Iv I-1ill Vir-iit i itri rlW Jonn 1 vI-11-i-b i i

46、+ In it mt i l、i-+ i匚 ii ICC實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，S2524G的設(shè)置方法很簡(jiǎn)單，分別需要在交換機(jī)上設(shè)置和配置radius 服務(wù)器。如上圖，我們配置了802.收，只需要填寫radius服務(wù)器地址和密鑰即可。接下來(lái)需 要配置端 口狀態(tài)，共有三種狀態(tài)，Auto、force authorized 和 force unauthorizedo Auto 指端口 根據(jù)認(rèn)證成功與否開啟或關(guān)閉相應(yīng)端口，force authorized指端口始終打開，而不進(jìn)行驗(yàn)證， force unauthorized指端口始終關(guān)閉，不響應(yīng)用戶請(qǐng)求。默認(rèn)為force authorized，我們將15 端口

47、修改成了 Auto。(2)配置radius服務(wù)器WiiriRddjU-兀稼果作日志面皴設(shè)置查看幫勃口 呂口X+ - 字 1胃消息201口堆啟川曰11時(shí)6分25秒己輕加裁衛(wèi)呼咪號(hào)301口年月1口曰盤時(shí)成注25：秒Win喝如14服務(wù)器己經(jīng)止確啟劫iC IVuEiffi口為IB（3） RSTP 配置設(shè)置過(guò)程非常簡(jiǎn)單，僅需一步一一將系統(tǒng)優(yōu)先級(jí)設(shè)置為0。系統(tǒng)優(yōu)先級(jí)數(shù)值越小在整個(gè)網(wǎng)絡(luò) 中這臺(tái)交換機(jī)越有可能成為根橋（在RSTP網(wǎng)絡(luò)中必須有一個(gè)根橋，通常為核心交換機(jī)），0 表示最高的優(yōu)先級(jí)。其它選項(xiàng)保持默認(rèn)值即可。RSTP配置系統(tǒng)憂先綴握手葉間者化時(shí)間元 F轉(zhuǎn)質(zhì)延時(shí)模式選擇NormaL:_*JRSTP遙口配置精口邊逾箱口Aggregations1教T|aut a（4）當(dāng)我們用兩條網(wǎng)線連接在交換機(jī)之間時(shí)，端口 2被阻塞，端口 1處于轉(zhuǎn)發(fā)狀態(tài)Replyf i*o n.Itbytes=32t imelmsTTL=S4Re(iu.esit t ined out.Replyf ion1-bytes=32t imelmsTTL=S4Repli?f ron1?2.168.11：；bytes