一种基于MAC地址的网络接入控制的设计与实现.doc

A Thesis Submitted in Partial Fulfillme nt of the Requirements for the Degree for the Master of Engineering Design and Implementation of a MAC based Access Control  Candidate Major Supervisor  : Shao Shiqi : Software Engineering : Lecturer Lyu Zehua  Huazhong University of Science Technology Wuhan 430074, P.R.China Jan., 2014 万方数据 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人 或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：  日期：  年  月  日  学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。  保密□，  在  年解密后适用本授权书。 本论文属于 不保密□。 （请在以上方框内打“√”）  学位论文作者签名：  指导教师签名：  日期：  年  月  日  日期：  年  月  日  万方数据 华 中 科 技 大 学 硕 士 学 位 论 文 摘 要 802.1X 协议是由 IEEE 制定的基于端口的、最初是为了解决无线局域网中用户 的接入认证问题的网络接入控制标准。随着网络的发展，该协议也被广泛应用到有 线局域网中。802.1X 协议的接入控制粒度为端口，当一个端口下有用户认证成功后， 整个端口就完全放开，此时任何用户都可以通过该端口访问网络资源。对于无线局 域网而言，每一条信道对应一个认证端口，由于无线网信道独占的特性，基于端口 的接入控制天然支持用户级别的访问控制。然而当 802.1X 认证应用到有线局域网 时，由于一个物理端口可以允许多个用户接入，基于端口的控制不再能满足用户级 别的访问控制要求。在组网时，不允许在认证设备之下下挂 HUB 或者其他交换机， 组网的灵活性受到了限制。此外，非认证用户可以通过已打开的端口进行非法访问。 为解决上述缺陷，本文对 802.1X 协议进行了改进，在原有的 802.1X 协议框架 下，将接入控制力度细化到用户级别。因为实际生活中每个接入用户对应的 MAC 地址是唯一的，所以可以将 MAC 地址作为接入控制的基本单元，这种接入控制方 式叫做基于 MAC 地址的接入控制。当用户认证通过后，不是将整个认证端口放开， 而是将已通过认证的用户的 MAC 地址加入到认证端口的允许访问列表中，此时未 认证用户将无法通过该端口访问网络资源，从而实现了基于 MAC 的访问控制。同 时还支持基于 MAC 地址的授权 VLAN 的下发。在实现时，通过 ACL 技术来禁止 端口自动学习 MAC 表项，限制未认证的用户流量通过。通过在认证端口添加静态 MAC 表项来允许已认证用户访问网络资源。 基于 MAC 地址的接入控制，实现了有线局域网中 802.1X 认证的用户级别的访 问控制，改善了在有线局域网中应用 802.1X 的安全性。同时实现了一个接入端口 下多个接入用户的管理控制，大大提高了组网的灵活性。  关键词：802.1Ｘ协议 接入控制  基于端口 基于 MAC 地址  I 万方数据 华 中 科 技 大 学 硕 士 学 位 论 文 ABSTRACT The 802.1X protocol is an IEEE standard for port-based network access control，it was proposed for security problems on wireless LANs for user- level access control purpose. However, it is now widely used on wired LANs as a common port access control mechanism. Port is the basic controlled unit of