利用802.doc

利用802.1x协议实现局域网接入的可控管理 王 谦 （南通供电公司信息中心 南通 226006） 摘　要：802.1x协议可以为提供一种安全的用户管理方式。介绍了802．1x协议体系结构，重点分析了协议的工作原理及机制，并与目前流行的宽带认证方式进行了比较，最后给出了在实际应用的方案。Controllable Management in LAN access Based on 802.1x Protocol Wang Qian （Information Center of Nantong Power Supply Company, Jiangsu, 226006） Abstract: 802.1x Protocol supply a security user-management for LAN access. This paper introduces the system structure and the working mechanism of 802.1x protocol, and Compared it with some popular authentication mode of Broad Band. In the end, the paper presents a scheme for the application of an Intranet. Key words: 802.1x protocol；authentication；LAN; access 一、　引　言 近年来，电力企业的网络建设已经有一定的规模，随着信息技术的广泛应用，网络与信息系统的基础性、安全性作用日益增强，网络与信息安全已经成为电网安全的重要组成部分。但是，由于传统的以太网接入方式采用广播机制，其安全性较差，一旦用户接入企业内联网，就意味着其拥有了访问所有网络资源的权限，所以对接入用户的可控管理成为信息安全建设的一个非常紧迫与现实的问题。802.1x正是基于这一需求而出现的一种认证技术。 靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol）代理，用户PC机运行EAPoE（EAP Over Ethernet）的客户端软件与交换机通信。初始状态下，交换机上的所有端口处于关闭状态，只有802．1x数据流才能通过，而另外一些类型的网络数据流，如动态主机配置协议、超文本传输协议（HTTP）、文件传输协议（FTP）、简单邮件传输协议（SMTP）和邮局协议（POP3）等都被禁止传输。 当用户通过EAPoE登录交换机时，交换机将用户同时提供的用户名口令传送到后台的Radius认证服务器上。如果用户名及口令通过了验证，则相应的以太网端口打开，允许用户访问。 2．2　802．1x协议的体系结构 802．1x协议的体系结构包括3个重要部分：客户端（supplicant system）、认证系统（authenticator system）、认证服务器（authentication server system）。图2描述了三者之间的关系以及互相之间的通信。 客户端系统 一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持EAPOL（Extensible Authentication Protocol Over LAN）协议。 认证系统 通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等）有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。 2．3　802．1x协议的工作机制 802．1x协议工作机制如图3所示。由图3可见，认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探测到未经过认证的用户使用网络，就会主动发起认证；用户端则可以通过客户端软件向认证系统发送EAPoL－Start开始报文发起认证。由客户端发送EAPoL退出报文，主动下线，退出已认证状态的直接结果就是导致用户下线，如果用户要继续上网则要再发起一个认证过程。 图3 802.1x协议的工作机制 Fig.3 wor