802.1x认证协议在局域网管理中的应用.docVIP

PAGE PAGE 1 802.1x认证协议在局域网管理中的应用 　　为了有效控制用户随意接入局域网的行为，满足管理网络的业务需要，在局域网管理中应用802.1x认证协议，是一种比较安全且容易实现的方法。 　　1.802.1x认证协议 　　802.1x认证协议是IEEE为了解决基于端口的网络接入控制（PortBasedNetworkAccessControl）而定义的一个标准，它是一种对用户进行认证的方法，它的最终目的就是确定一个端口是否可用。端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。对于一个端口，如果认证成功，就“打开”这个端口，允许所有的报文通过；如果认证不成功，就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。 　　802.1x的体系结构中包括请求者系统、认证系统和认证服务器系统三个部分。 　　1.1请求者系统 　　请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，一般把802.1x客户端软件安装在终端电脑上，用户通过启动客户端软件发起802.lx认证，输入用户名、口令等验证信息即可。 　　1.2认证系统 　　认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口，也可以是逻辑端口，其主要作用是将客户端输入的验证信息传递到认证服务器，根据认证的结果打开或关闭服务端口。 　　1.3认证服务器系统 　　认证服务器检验客户端输入的验证信息，将检验结果通知认证系统。建议使用RADIUS服务器实现认证服务器的认证和授权功能。 　　2.RADIUS协议 　　RADIUS（RemoteAuthenticationDial-InUserService，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，通常被应用在既要求具有较高安全性又要求维持远程用户访问的各种网络环境中。RADIUS服务包括协议、服务器和客户端三个部分。 　　2.1协议 　　RFC2865和RFC2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制，并定义了1812作为认证端口、1813作为计费端口。 　　2.2服务器 　　RADIUS服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。 　　2.3客户端 　　它位于拨号访问服务器设备一侧，可以遍布整个网络。 　　RADIUS基于客户端/服务器模型将具有认证功能的交换机作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息对用户进行相应处理（如接入/挂断用户）。RADIUS服务器负责接收用户连接请求、认证用户，然后给交换机返回所有需要的信息。 　　RADIUS服务器通常要维护三个数据库。 　　第一个数据库Users用于存储用户信息，如用户名、口令以及使用的协议、IP地址等。 　　第二个数据库Clients用于存储RADIUS客户端的信息，如共享密钥。 　　第三个数据库Dictionary存储的信息用于解释RADIUS协议中的属性和属性值的含义。 　　3.802.1x认证协议在局域网管理中的应用 　　在单位局域网中应用802.1x认证技术进行组网，既能有效保证业务系统的正常运行，又能在一定程度上满足信息安全必威体育官网网址的要求。 　　3.1认证系统的配置 　　目前市场上销售的大多数三层交换机、可网管的二层交换机支持802.1x协议。大多数交换机支持两种端口受控方式：第一种是基于端口的认证，只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证，就可使用网络资源，当第一个用户下线后，其他用户被拒绝使用网络；第二种是基于MAC地址认证，该物理端口下的所有接入用户都需要单独认证，当某个用户下线后，也只有该用户无法使用网络。笔者建议单位局域网管理采用基于MAC地址的认证。 　　各单位可以根据自身的网络复杂程度，802.1x认证可以灵活采用集中式组网(汇聚层设备集中认证)或分布式组网(接入层设备分布认证)，在不同的组网方式下，802.1x认证系统实现的网络位置有所不同，但最终目的相同。802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的交换机上，这些交换机为汇聚层设备，其下挂的网络位置较低的交换机只将认证报文传送给网络位置较高的交换机，集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式，管理和维护成本低。802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个交换机上，这些交换机作为接入层边缘设备，认证报文传送给边缘设备，并进行802.1x认