浅析802.1x技术在校园网中的应用.docVIP

浅析802.1x技术在校园网中的应用 　　摘要：本文通过对802.1x体系结构的分析，在校园网中部署研究，应对校园网用户认证、网络安全、计费等需求，基于802.1x协议认证方式应用于校园网身份认证系统，提出一种简单实用的校园宽带网接入的解决方案。 　　关键词：802.1x协议；校园网；认证 　　中图分类号：TP393.18 文献标识码：A 文章编号：1007-9599 (2011) 18-0000-01 　　802.1x Technology Application in the Campus Network 　　Wang Jujun 　　(Maanshan Technician College,Maanshan 243000,China) 　　Abstract:This article through to the 802.1x system structure analysis,in the campus network deployment research,coping with campus network user authentication,network security,billing and other needs,based on the 802.1x protocol authentication method is applied to the campus network authentication system,put forward a kind of simple and practical campus broadband network access solution. 　　Keywords:802.1x protocol;Campus network;Authentication 　　一、引言 　　802.1x协议主要是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。随着无线LAN的应用以及LAN接入，有必要对端口加以控制，以实现用户级的接入控制（Port-Based Access Control）而定义的一个标准。在可管理的校园网中作为一种用户身份认证方式具有相当的实用性和安全性。 　　二、体系结构 　　802.1x的体系结构包括三部分：客户端、认证者系统和认证服务系统。 　　（1）客户端：一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起802.1x协议的认证过程。（2）认证系统：通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一个逻辑接入点（非受控端口），允许验证者和LAN上其它计算机之间交换数据，而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连通状态（开放状态），主要用来传递EAPOL帧，可保证客户端始终可以发出或接受认证。第二个逻辑接入点（受控端口），允许经验证的LAN用户和验证者之间交换数据。受控端口平时处于关闭状态，只有在客户端认证通过时才打开，用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用程序。如果用户未通过认证，则受控端口处于未认证（关闭）状态，则用户无法访问认证系统提供的服务。（3）认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续数据流就将接受上述参数的监管。 　　三、认证过程 　　在校园网中，利用802.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验证。利用接入点和RADIUS服务器对节点进行身份验证，如果没有有效的身份验证密钥，接入点会禁止所有的网络流量通过。 　　四、系统应用 　　802.1x接入认证技术在校园网中得到了非常广泛的应用，国内的校园网经过多年的发展，根据自身特点逐渐形成了相应的技术方案。以下是针对所在学校的特点提出的具体解决方案。 　　校园网是按照层次结构进行组网，将数据库，应用服务器部署在核心层，这种部署使网络半径最短，便于客户端快速的访问，使用网络资源能够得到充分的应用。因此在802.1x部署时，将认证服务器部署在核心层，认证服务器采用RADIUS认证服务器+SQL数据库+jboss管理服务器的组合，可以实现完整的认证计费策略。接入层和汇聚层交换机均支持基于MAC地址802.1x功能和基于