利用802.1x实现校园网接入可控管理.docVIP

利用802.1x实现校园网接入可控管理 　　【摘要】校园网应用越来越多，对网络安全性、计费以及实名制的需求也日益突出，而传统认证方式在校园网中存在不可弥补的缺陷。文章对802.1x 协议进行了研究，并对使用802.1x实现校园网认证进行分析并举例。 　　【关键词】802.1x；校园网；认证；可控端口；DES-3226S交换机 　　【中图分类号】 TP393 【文献标识码】A 　　【文章编号】1674-1145（2008）05-0123-02 　　 　　随着校园网用户数的急剧增加和对业务多样性要求的提高，网络的安全性问题日益突出，如何保证网络的访问安全成为网络管理者一个无法回避的问题。校园网上的用户多数是学生，上网总的特点是：信息点多、网络规模大、网络应用复杂、流量大、安全隐患大、不易管理。为避免滥用网络带来的危害，很多学校对校园网都提出了具备安全认证功能的要求。 　　 　　一、802.1x介绍 　　 　　90年代后期，IEEE802委员会为解决无线局域网安全问题，提出了802.1x 协议。 后来，802.1x 协议作为局域网端口的一个普通接入控制机制用于以太网中，目的是解决以太网的认证和安全方面的问题。 　　802.1x是一种基于端口的网络访问控制技术，在局域网设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是交换机设备的端口。连接在该类设备上的用户如果能通过认证，就可以访问局域网的资源，如果不能通过认证，就无法访问局域网内的资源，相当于物理上处于断开状态。 　　802.1x协议的体系结构包括三个重要的部分：客户端、认证系统、认证服务器。 　　客户端系统：一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持EAPOL协议。 　　认证系统：通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等），其中分为受控端口和不受控端口。不受控端口始终处于双向连通状态，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。如果用户未通过认证，则受控端口处于未认证状态，用户无法访问认证系统提供的服务。 　　认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。 　　 　　二、802.1x认证的过程 　　 　　1．当用户有上网需求时打开802.1x客户端程序，输入已经申请登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 　　2．交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序把输入的用户名送上来。 　　3．客户端程序响应交换机发出的请求，将用户名信息通过数据帧发送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 　　4．认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 　　5．客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理，并通过交换机传给认证服务器。 　　6. 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。 　　 　　三、802.1x认证的技术特点 　　 　　1．协议实现简单。802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。 　　2．认证和业务分离。802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。 　　3．和其他认证方式的比较。802.1x协议虽然源于802.11无线以太网，但是，它在以太网中的引入，解