认证技术在办公网中应用探究.docVIP

认证技术在办公网中应用探究 　　【摘 要】为了解决办公大楼办公网络中大部分终端安全防护措不足、终端接入网络控制不严，经常遇到非法接入、私自拨号等现象严重等问题，为了实现对所有接入办公网络的用户终端实行监控，确保全部终端都在控制范围内办公。从而达到阻止非法用户未经任何认证就对网络资源进行访问。结合IEEE802.1x认证协议，全面在办公网络中推广使用。本文记录了在实施过程中接入层交换机实现方案与发现的问题与相关的解决办法。参考了同类论文，提出实施过程中相关的改进方法。经过推广IEEE802.1x认证协议，达到使办公网络运行安全、稳定、可靠的目标。 【关键词】IEEE802.1X；网络安全；认证协议；网络准入；数网交换机 1背景 为保障办公网络信息系统的安全运行和业务正常开展，按照公司网络与信息安全保卫专项工作方案的要求，加强计算机终端接入管控、安全防护等工作，落实网络准入与终端防护等终端控制措施，确保合法用户和安全终端能够正常访问网络资源，非法用户或不符合安全管理办法终端不能够访问网络资源，保障网络与信息的安全为目的。 按照公司计算机终端安全管理要求，强化网络准入控制与终端安全防护系统的设计，开展计算机终端的网络接入管控、安全防护等工作，落实网络准入与终端防护等终端控制措施，解决计算机终端安全管理措施落实难、控制难、覆盖面不全、防护技术不统一和支撑环境等问题，本文主要对IEEE802.1X认证技术在接入层交换的实现过程进行了详细探讨。 2 总体架构 本项目重点增强终端接入公司网络的准入控制和入网安全检查能力，网络准入控制与终端安全防护系统主要包括：计算机终端代理、网络准入控制策略服务组件、数据存储组件、管理控制台。 具体的系统架构方式如图1系统架构方式示意图所示： 2.2 接入层交换机配置实现方案 本次实现IEEE802.1x认证系统中使用设备主要为H3C 3610系列交换机作为接入层交换机，以H3C 9508系列作为汇聚层交换机。图2数据网交换机系统拓扑图为本系统数据网交换机网络拓扑图。 3 网络中常见广播风暴的预防措施 办公楼数据网交换机日常使用出现网络广播风暴的原因主要是用户对网络不了解，在自己使用的电脑终端发生网络故障时盲目处理，看见有掉落的网线时就插上用户所能看见的网络端口，或办公室内的HUB上，导致产生物理环路，从而产生“广播风暴”[2]。产生物理环路的的常见现象有两种： 一种是在接入层交换机上两个物理端口被网线物理连接起来从而产生物理环路。此类环路现象利用STP-Spanning Tree Protocol（生成树协议）协议，能有效的防止该类故障出现。 第二种现象是接入层交换机下联的HUB（集线器）上面被一条物理网络线的两端，同时接在了HUB的两个端口上面。此类环路由于在接入层下联HUB上出现，HUB上没有相关端口配置，产生的物理环路不能由STP协议计算，所以当产生物理环路时广播数据包还是走进了数据网交换机，此类环路现象需要数据网交换机上另一个协议命令解决：loopback-detection enable（数据网交换机端口环回监测功能）。 当用户开启数据网交换机端口环回监测功能后，交换机便定时监测各个端口是否被外部环回。如果发现某端口被环回，交换机会根据用户配置进行相应处理。 4 实施过程遇到的问题 本系统采用Symantec Endpoint Protection软件发起802.1X认证协议，在 H3C交换在802.1x协议认证过程技术不成熟，存在部分缺陷，产生了认证循环。虽然认证通过了，但交换机还向客户端发送Authentication timeout的信息，而客户端接收到请求后回应一个 EAP-Response报文给认证服务器，其中包括用户名、密码。当用户数量少的时候，网络还能承受，但用户数量达到一定数量的时候，网络质量明显下降。后来跟厂家协调，原来在其他地方也有出现类似问题，厂家提出解决方案在端口配置上加入undo dot1x handshake 这个命令跳过“握手”阶段后，网络才能正常运行，具体端口配置如下： interface Ethernet1/0/5 //进入端口E1/0/5 port link-mode bridge //端口工作为二层模式 port access vlan 105 //端口划入Vlan105 loopback-detection enable //端口环路监测功能开启 stp edged-port enable //设置为STP生成的边缘端口 dot1x guest-vlan 824 //当认证失败是划入Vlan824 undo dot1x han