802.1X无线认证方案.docVIP

802.1x无线校园网认证方案 一、802.1x认证 802.1x定义了基于端口的网络接入控制协议（port based network access control），在802.1x协议中只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。客户端：安装在用户的上，当用户有上网需求时，激活客户端程序，输入必要的帐号和口令，客户端程序将会送出连接请求。认证系统：在中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。认证服务器：通过检验客户端发送来的身份标识（帐号和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。为了因为用户端设备发生故障造成异常死机，而影响对用户计费的准确性，认证定期重新认证过程，该过程对于用户是透明的，即用户无需再次输入帐号／密码。重新认证时间默认值为3600s，重新认证是关闭的。 方案要点: 实现简单，设备成本较低，但无法区分无线和有线用户，只能采取相同的计费策略。 全部认证点放在汇聚层交换机，AP设置成关闭802.1x认证（透传），接入层交换机设置成透传802.1x报文。 无线和有线客户端通过认证后，获得相同的IP地址段。 为避免二次认证，AP关闭802.1x认证，设置为开放模式或静态WEP加密。静态WEP加密使用共享密钥（所有无线用户使用相同的密钥），密钥容易泄漏或被破解，因此无线用户的传输数据容易被监听到，安全性较差。 所有用户都必须安装802.1x客户端，统一认证方式。计费网关采用同一台计费网关（功能包括NAT，DHCP SERVER，WEB SERVER） 计费网关要关闭对国内流量的认证，只对国际流量进行二次认证。 备注：汇聚层交换机必须支持802.1x认证；计费网关必须支持802.1x认证，无线客户端软件由汇聚层交换机厂家提供。 【方案二】无线和有线用户区分计费策略，认证点分别在AP和汇聚层交换机 如下图所示，AP和有线用户分别上联到不同的接入层交换机，再上联到汇聚层交换机的不同端口。 下联AP的汇聚层交换机端口透传（关闭802.1x认证），在AP上启用802.1x认证。 下联有线用户的汇聚层交换机端口启用802.1x认证。无线用户在AP上实现认证，有线用户在汇聚层交换机上实现认证。 划分独立IP地址：在汇聚层交换机上将有线和无线端口划分到不同的VLAN，在DHCP服务器上做设置，为有线和无线VLAN分配不同的IP地址段。 对不同用户的区分计费：在Radius服务器上要做相应的绑定设置（NAS IP 绑定），将无线用户的帐号绑定到无线IP地址段，有线用户的帐号绑定到有线IP地址段。这样使用有线用户的帐号和密码将不能通过AP的认证，使用无线用户的帐号和密码也不能通过汇聚层交换机的认证。可以同时使用无线和有线的用户，在Radius服务器上设置为其帐号绑定所有IP地址段，使之经无线和有线接入都通过认证。这样就实现了对不同用户的区分计费。 方案要点： AP和有线终端需要接入不同的接入层交换机。接入设备端口利用率较低。AP也可以接入空闲的汇聚层交换机端口。 接入层交换机透传802.1x报文。在AP上发起802.1x认证。 无线数据安全由AP支持的安全性保证，如AP支持802.1x/EAP，配合Radius可对数据进行动态WEP密钥加密，则用户数据可以获得较高的安全性。 计费网关对于有线用户计费，关闭对国内流量的认证，只对国际流量进行二次认证。 对于有线用户可以不做802.1x认证，仍沿用原来的WEB Portal认证方式。这时要关闭汇聚层交换机的802.1x认证，同时在计费网关做相应设置，只对来自有线IP地址段的数据包做认证，对来自无线IP地址段的数据包不做认证。 备注：AP必须支持802.1x认证；计费网关必须支持web认证（802.1x认证不必须），无线客户端软件由AP厂家提供。 由于划分VLAN是在汇聚层交换机上，接入层交换机无需支持VLAN和802.1x。 【方案三】 无线和有线用户区分计费策略，接入交换机划分VLAN，认证点有两种选择 如下图所示，如果接入层交换机支持划分VLAN，则AP和有线终端可以混合接入，但要在接入层将二者划分到不同的VLAN，以实现区分计费的功能。 划分独立IP地址：在本方案中，所有AP接入的端口都划分到VLAN10，有线用户端口划分到其它VLAN，例如VLAN20。通过在DHCP服务器的设置，VLAN10和VLAN20获得不同的IP地址段， 对不同用户的区分计费：在Radius服务器对帐户和IP地址段做了相应的绑定（NAS IP绑定），使无线用户只能经AP接入才能通过认证，有线用户只能经有线端口接入才能通过认证，同时使用无线和有线的用户允许经任意方式接入。这