校园网运行和安全管理论坛技术沙龙.PDFVIP

  • 1
  • 0
  • 约6.31千字
  • 约 22页
  • 2019-06-05 发布于湖北
  • 举报

校园网运行和安全管理论坛技术沙龙.PDF

园网运行与安全管理论坛技术沙龙 802.1X 准入控制简介 段海新 2008年1月9 日,清华大学 提纲 校园网接入安全的需求 802.1X 技术简介 网络准入控制(NAC和NAP) 清华802.1X实例 问题分析 校园网身份认证的需求 开放访问,没有认证 校内开放,网关认证 – Web – 专用客户端 基于DHCP MAC 的认证 其他认证技术…… 基于802.1X的端口认证 计费、追踪、责任认定?? 802.1X的背景与需求 无线上网和Ethernet LAN 的需求 IEEE 802.1X 起源于无线局域网标准IEEE 802.11,但现在更多应用于LAN环境 基于端口的访问控制(Port-Based Access Control ),基于身份(identity-based ) 802.1X Framework Supplicant EAPOL Authenticator RADIUS Authentication Server 802.1X Framework IEEE 802.1X 2004 http :///getieee802/download/802.1 X-2004.pdf Supplicant (PC 等) Authenticator (Switch, Access Point ) Authentication Server (RADIUS Server ) EAPOL(RFC 2284) RADIUS(RFC 2138, 2139, ) IEEE 802.1X Conversation Supplicant Windows 厂商或自己客户端 客户端软件要支持EAPOL,开放源代码实现/ 问题:如果使用DHCP,由于DHCP流量不能通过,启动过程很慢 Authenticator Authenticator只起到代理的作用 以EAP 与Supplicant交换认证信息 通过RADIUS等高层协议转交给 Authentication Server (比如RADIUS ) Authentication Server RADIUS Server (EAP with MD5) FreeRadius uid Random MD5(Random,passwd) MD5(Random,passwd) 基于802.1X控制的其他功能 Supplicant通过EAP 上传的其他信息 – Identity – MAC Address – IP Address – Security Posture: Patch, Virus Signature, etc. 通过RADIUS传递给Authenticator 的信息 – VLAN ,其他属性(RFC 2868 ) Policy Enforcement – Client必须符合Security Policy 才能接入 – 集中管理 CISCO NAC: the Ideal Solution Compliant Policy Endpoint: Servers

文档评论(0)

1亿VIP精品文档

相关文档