企业级 ap 中 802.1x 协议的应用..doc

企业级 AP 中 802.1x 协议的应用 一、802.1x端口认证原理 为什么需要IEEE802.1x？随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的瓶颈问题，更加适合在宽带以太网中的使用。 IEEE802.1x是IEEE在2001年6月通过的基于端口访问控制的接入管理协议标。 IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。因此，802.1x产生了。 IEEE802.1x是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。1．IEEE802.1x 体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：LanSwitch 的一个物理端口仅连接一个 End Station，这是基于物理端口的； IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。 图1 IEEE802.1x的体系结构 IEEE802.1x的体系结构中包括三个部分：Supplicant System，用户接入设备；Authenticator System，接入控制单元；Authentication Sever System，认证服务器。在用户接入层设备（如LanSwitch）实现 IEEE802.1x的认证系统部分，即Authenticator；IEEE802.1x的客户端一般安装在用户PC中，典型的为Windows XP操作系统自带的客户端，或其他第三方的免费802.1x客户端；认证服务器系统一般驻留在运营商的AAA中心。 Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议；Authenticator 与 Authentication Sever 间同样运行 EAP 协议，EAP 帧中封装了认证数据，将该协议承载在其他高层次协议中，如 Radius，以便穿越复杂的网络到达认证服务器。 Authenticator每个物理端口内部有受控端口（Controlled Port）和非受控端口（unControlled Port）等逻辑划分。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合，例如管理员远程唤醒一台计算机(supplicant)。 2．IEEE802.1x 认证过程简介 利用IEEE 802.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥，AP会禁止所有的网络流量通过。 当一个移动节点（申请者）进入一个无线AP认证者的覆盖范围时，无线AP会向移动节点发出一个问询。 在受到来自AP的问询之后，移动节点做出响应，告知自己的身份。 AP将移动节点的身份转发给RADIUS身份验证服务器，以便启动身份验证服务。 RADIUS服务器请求移动节点发送它的凭据，并且指定确认移动节点身份所需凭据的类型。 移动节点将它的凭据发送给RADIUS。 在对移动节点凭据的有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密，只有AP能够读出该密钥。（在移动节点和RADIUS服务器之间传递的请求通过