NETGEAR7000系列交换机8021x设置步骤及要点.docVIP

一、802.1x端口认证原理 为什么需要IEEE802.1x？随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的瓶颈问题，更加适合在宽带以太网中的使用。 IEEE802.1x是IEEE在2001年6月通过的基于端口访问控制的接入管理协议标。 IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。因此，802.1x产生了。 IEEE802.1x是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。 下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。 IEEE802.1x 体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：LanSwitch 的一个物理端口仅连接一个 End Station，这是基于物理端口的； IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。????????????????? ??????????????????????????? 图1 、IEEE802.1x的体系结构?IEEE802.1x的体系结构中包括三个部分：Supplicant System，用户接入设备；Authenticator System，接入控制单元；Authentication Sever System，认证服务器。在用户接入层设备（如LanSwitch）实现 IEEE802.1x的认证系统部分，即Authenticator；IEEE802.1x的客户端一般安装在用户PC中，典型的为Windows XP操作系统自带的客户端，或其他第三方的免费802.1x客户端；认证服务器系统一般驻留在运营商的AAA中心。?Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议；Authenticator 与 Authentication Sever 间同样运行 EAP 协议，EAP 帧中封装了认证数据，将该协议承载在其他高层次协议中，如 Radius，以便穿越复杂的网络到达认证服务器。?Authenticator每个物理端口内部有受控端口（Controlled Port）和非受控端口（unControlled Port）等逻辑划分。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合，例如管理员远程唤醒一台计算机(supplicant)。? IEEE802.1x 认证过程简介????????????????????????????????????????????????? 图2 IEEE802.1x的认证过程 IEEE802.1x?的特点 协议实现简单IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。? 认证和业务分离IEEE802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能，从而可以实现业务与认证的分离，由Radius服务器和以太网交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换；所以通过认证之后的数据包是无需封装的纯数据包。认证系统简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作，所以802 .1x封装效率高，消除了网络瓶颈；同时，由于IEEE802.1x认证包采用了在不可控通道中的独立处理的方式，因