浅谈802.1x标准和Radius协议的扩展应用问题.docVIP

浅谈802.1x标准和Radius协议的扩展应用问题 　　摘要：本文重点就802.1x标准和Radius协议的应用中存在的问题进行介绍，后就此类问题提出相应的扩展方法。 　　关键词：802.1x标准；Radius协议；扩展应用 　　中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 13-0000-01 　　Extensions Application of 802.1x Standard and Radius Protocol 　　Zhu Yanfeng 　　(National Computer Information Security Management Center Guangdong Sub-Center,Guangzhou510650,China) 　　Abstract:This article focuses on the 802.1x standard and the Radius protocol application problems are introduced,such problems after the expansion of the corresponding method. 　　Keywords:802.1x standard;Radius protocol;Extended application 　　一、802.1x及Radius的概念 　　802.1x指的是基于端口的访问控制协议，此协议主要对IEEE 802 LAN优势进行利用，为连接到局域网的用户提供了认证以及授权的手段。 　　Radius即为Remote Access Dail-In User Service，指的是将Radius在802.1x网络中进行应用以提供一种完整安全的网络认证授权计费的解决途径。 　　二、802.1x标准和Radius协议应用中所存在的主要问题 　　（一）802.1x标准在应用中存在的问题 　　1.一旦某用户将802.1x相应设备中的物理端口打开时，将会导致在同一端口连接的其他的用户不必经过认证即可进行网络的使用，因而使得提供商无法根据粒度对用户进行认证以及费用的计算。2.建网的成本相对较高。用户需对当前所接入的网络进行改造，同时将全部接入层的交换机进行相应的携带有802.1x功能的相关交换机的更换。 　　（二）Radius协议在应用中存在的问题 　　1.若网络中某客户遭受到了非法的攻击，此时由于其占用的网络带宽过多而引起整个网络的流量出现异常，甚至阻塞网络引起网络的瘫痪。2.Radius协议中缺乏控制上网时限的属性，若一个账号被申请，则此账号将长期有效，且客户的认证通过之后无时间限制对网络进行使用，有时可能并不实用。如校园网中无法控制某些整晚上网的学生，还无法对毕业生用户进行上网有效期的设置。3.采用DHCP服务器进行IP地址的分配，仅当用户通过PC1的认证之后方可分配到相应的IP网络地址，虽然确保了网络的安全性，但客户进行认证过程中无法对IP进行绑定，此时PC2、PC3以及PC4都可通过PC1账号来上网，因而对整个网络带来了安全隐患。 　　三、802.1x标准和Radius协议的扩展应用 　　（一）对802.1x标准的扩展 　　对此标准进行扩展，将802.1x设备上各物理端口设计为下图1的结构： 　　 　　图1：802.1x端口的扩展设计图 　　如图所示，一个物理端口上包括了受控端口以及非受控端口，而非受控端口仅对802.1x所认证的报文开放，而其他所有数据的报文均无法通过此端口。受控端口有三种状态：（1）当Auth Controlled Port Control设置为Force Unauthorized时，此状态为非认证状态，此时网络连接会断开。（2）而设置为Force Authorized时即为认证状态，因而网络将连接。（3）当此值设置为Auto时，网络连接情况同用户的认证情况相一致，此时，若用户通过了认证则逻辑通道将打开，设备此时会对用户的信息进行记录，此时流经此端口的任何数据报进行转发之前都会通过Mac的过滤，此时对于用户即可进行粒度管理。 　　（二）对Radius协议的扩展 　　1.对用户的上下行带宽进行限制。对用户使用网络带宽进行有效的限制是实现网络可控的一条途径。Radius协议中本无此属性，可通过Radius协议的可扩展性对所需的属性进行扩展。可通过如下方法实现对用户上下行带宽的限制：对Uplink-Bandwidth属性进行扩展以实现对用户上行带宽的限制，同时对Downlink-Bandwidth属性进行扩展来对用户下行带宽进行分配。此两种属性分别对用户所允许的上、下行带宽描述进行了储存，其值应设置为