802.1X和RADIUS在分局内网中的应用.docVIP

802.1X和RADIUS在分局内网中的应用 　　摘要：针对网络非法接入窃听造成信息泄密的安全问题，在现有的设备和环境下，通过建立主、备认证服务器，配置802.1X和RADIUS协议，采用基于端口和MAC访问控制技术来验证用户身份的合法性，来保证内网数据的安全性。 　　关键词：网络安全威胁 802.1X协议 端口访问控制 RADIUS协议 　　随着网络的普及和无纸化办公的实施，民航内的各种业务对网络的依赖性越来越大，各种信息都跑在内部网络上，一旦非法访问导致信息泄密将会带来严重的后果，由此带来的损失无法估量。因此保证内部局域网的安全以及保证内网与外网数据交换的安全就显得尤为重要。 　　常见的网络安全威胁包括非法接入、非法访问资源、MAC地址欺骗和泛洪、报文窃听等，然而所有的这些攻击手段必须首先接入网络，因此对接入网络中的用户身份管理和认证显得非常重要。对于非法接入网络，可以采用端口接入控制技术来验证用户身份的合法性，以及在认证基础上对用户的网络访问行为进行授权和计费。在交换机上采用802.1X端口控制协议，配合RADIUS用户认证或者本地交换机自身认证，可以达到限制用户接入的目的。 　　1 802.1X协议 　　1.1 802.1X协议体系结构 在局域网接入设备的端口一级对所接入的用户进行认证和访问控制。连接在端口上的用户如果能够通过认证，就可以访问局域网的资源；如果认证失败，则无法访问局域网的资源。 　　802.1X使用典型的Client/Server体系结构，包括3个实体（如图1）： 　　■ 　　1.1.1 Supplicant System，客户端（PC及用户终端设备）。客户端需要支持EAPOL协议，必须运行802.1X软件（H3C的802.1x认证客户端程序）或者系统自带（Windows XP自带）。 　　1.1.2 Authenticator System，认证系统（设备端）。该端口被划分为2个逻辑端口：①受控端口，在授权状态下处于双向连通状态，用于传递业务报文，非授权状态下禁止从客户端接收任何报文。②非受控端口，始终处于双向连通状态，主要用来传递EAPOL（Extensible Authentication Protocolover LAN，局域网可扩展认证协议），最终能够发出或接收认证报文。 　　1.1.3 Authentication Server System，认证服务器。为设备端提供认证服务的实体，用于实现对用户进行认证、授权和计费，通常为RADIUS服务器。 　　1.2 802.1X网络组成及认证方式 用户可以通过启动安装有8021.X客户端软件发起认证，然后由网络交换设备把用户认证信息传递给认证服务器，服务器则根据用户传递的信息和数据库信息来验证用户，或者给用户正确授权和计费。①基于端口的认证方式。采用基于端口方式时，只要该端口有一个用户认证成功后，其他接入用户无须认证就可以使用网络中的资源。②基于MAC地址的认证方式。当采用基于MAC地址方式时，该端口下的所有接入用户均需要单独认证，它的下线不影响其他用户。 　　2 RADIUS协议 　　RADIUS网路实体及认证交互过程 ①用户发起连接请求，输入用户名和密码。②RADIUS客户端根据获取的用户名和密码，向RADIUS服务器发送认证请求包，密码在共享密钥的参与下进行加密处理。③RADIUS服务器对用户名和密码进行认证，如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受包，同时也包含用户的授权信息。④RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向服务器发送计费开始请求包。⑤RADIUS服务器返回计费开始响应包。⑥RADIUS客户端对用户提供相应的服务。⑦用户请求断开连接，RADIUS客户端向RADIUS服务器发送计费停止请求包。⑧RADIUS服务器返回计费结束响应包，并停止计费。⑨用户结束访问网络资源。 　　3 网络拓扑结构 　　3.1 河北分局网络连接方式 楼宇之间光纤互联，楼层之间千兆互联，服务器直连到核心交换机S7503E上，终端PC通过交换机S3600接入网络。 　　3.2 802.1X和本地认证在H3C公司的HGL-S3600和BGL-S360交换机上配置。 　　①交换机的自身属性、VlanIP地址和Vlan配置略。 　　②配置本地认证 　　[HGL-S3600]local-user heb-user 　　[HGL-S3600-luser-heb-user]service-type lan-access 　　[HGL-S3600-luser-heb-user]password cipher heb-pwd 　　③创建ISP的域并配