8021X无线认证方案.docVIP

802.1x无线校园网认证方案 一、802.1x认证 802.1x定义了基于端口的网络接入控制协议（port based network access control），在802.1x协议中只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 客户端：安装在用户的计算机上，当用户有上网需求时，激活客户端程序，输入必要的帐号和口令，客户端程序将会送出连接请求。 认证系统：在校园网中指支持802.1x的认证交换机或AP，AC，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 认证服务器：一般为Radius服务器，通过检验客户端发送来的身份标识（帐号和口令，MAC地址，IP地址）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。该协议应用于校园网中对用户的认证的过程如图所示： 802.1x认证流程示意图 接入交换机的端口模式采用常关模??，首先上网学生通过802.1x的客户端输入帐号、密码后，客户端发起EAP报文至认证交换机，在认证交换机上终结EAP报文，然后从认证交换机再次发起Radius报文至Radius服务器，由Radius服务器来验证帐号、密码是否匹配，在认证通过以后由Radius服务器下发Radius报文至交换机通知该用户认证通过，交换机再将相对应的端口打开，允许用户上网。 为了防止因为用户端设备发生故障造成异常死机，或者在用户使用期间帐户到期而不能正常断线，从而影响到对用户计费的准确性，认证点应当定期重新发起认证过程，该过程对于用户是透明的，即用户无需再次输入帐号／密码。重新认证时间默认值为3600s，重新认证是默认关闭的。 由于校园网络人员众多，学生是很活跃的人群，一些学生热衷于黑客技术，一些学生思想比较自由，为了加强对上网安全的管理，根据校园网中网络使用者的特点，管理者需要对用户进行严格的管理和控制。从网络控制的安全性考虑，在校园无线网络建设中我们建议采用802.1x作为接入认证的方式。 二、方案 在校园网中用802.1x协议对无线用户实现认证和计费，根据计费策略和认证点的不同，总结为如下三种方案。 根据学校实际需求，提供给学校相应的方案。 【方案一】无线和有线用户不区分计费策略，认证点在汇聚层交换机 方案要点: 实现简单，设备成本较低，但无法区分无线和有线用户，只能采取相同的计费策略。 全部认证点放在汇聚层交换机，AP设置成关闭802.1x认证（透传），接入层交换机设置成透传802.1x报文。 无线和有线客户端通过认证后，获得相同的IP地址段。 为避免二次认证，AP关闭802.1x认证，设置为开放模式或静态WEP加密。静态WEP加密使用共享密钥（所有无线用户使用相同的密钥），密钥容易泄漏或被破解，因此无线用户的传输数据容易被监听到，安全性较差。 所有用户都必须安装802.1x客户端，统一认证方式。计费网关采用同一台计费网关（功能包括NAT，DHCP SERVER，WEB SERVER） 计费网关要关闭对国内流量的认证，只对国际流量进行二次认证。 备注：汇聚层交换机必须支持802.1x认证；计费网关必须支持802.1x认证，无线客户端软件由汇聚层交换机厂家提供。 【方案二】无线和有线用户区分计费策略，认证点分别在AP和汇聚层交换机 如下图所示，AP和有线用户分别上联到不同的接入层交换机，再上联到汇聚层交换机的不同端口。 下联AP的汇聚层交换机端口透传（关闭802.1x认证），在AP上启用802.1x认证。 下联有线用户的汇聚层交换机端口启用802.1x认证。无线用户在AP上实现认证，有线用户在汇聚层交换机上实现认证。 划分独立IP地址：在汇聚层交换机上将有线和无线端口划分到不同的VLAN，在DHCP服务器上做设置，为有线和无线VLAN分配不同的IP地址段。 对不同用户的区分计费：在Radius服务器上要做相应的绑定设置（NAS IP 绑定），将无线用户的帐号绑定到无线IP地址段，有线用户的帐号绑定到有线IP地址段。这样使用有线用户的帐号和密码将不能通过AP的认证，使用无线用户的帐号和密码也不能通过汇聚层交换机的认证。可以同时使用无线和有线的用户，在Radius服务器上设置为其帐号绑定所有IP地址段，使之经无线和有线接入都通过认证。这样就实现了对不同用户的区分计费。 方案要点： AP和有线终端需要接入不同的接入层交换机。接入设备端口利用率较低。AP也可以接入空闲的汇聚层交换机端口。 接入层交换机透传802.1x报文。在AP上发起802.1x认证。 无线数据安全由AP支持的安全性保证，如AP支持802.1x/EAP，配合Radius可对数据进行动态WEP密钥加密，则用户数据可以获得较高的安全性。 计费网关对于有线用户计费，关闭对