摘要:由于随着网络建设规模的发展、网络的安全越来越重要,无线网络、局域网等现在面临着巨大的网络安全挑战,这些网络采用对用户认证作为网络安全的一部分,作为用户认证技术之一的802.1x现在使用也越来越广泛,802.1x能够对用户进行认证、授权使不同用户享受不同的权限。
关键词:局域网;802.1x;认证
中图法分类号:TP3文献标识码:A文章编号:1009-3044(2010)08-1821-02
Application of 802.1x Protocol to LAN
YI Da-guo
(Dept. of Computer Science, Hunan Vocational Technological Academy of Creature and Mechanical Equipment and Electric Power Equipment, Changsha 410126, China)
Abstract: As the scale of network construction with the development of an increasingly important network security, wireless networking, LAN and other networks are now facing a huge security challenges, these networks are used for user authentication as part of network security, as a user authentication technologies one of 802.1x is also now used more widely, 802.1x can user authentication, authorization to enable different users to enjoy various privileges.
Key words: LAN; 802.1x; authentication
1 802.1x概述
随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使用。
IEEE802.1x是IEEE2通过的基于端口访问控制的接入管理协议标准。
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的局域网交换机,用户就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是局域网设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问LAN内的资源,相当于物理上断开连接。
2 802.1x的认证体系
如图1所示,IEEE802.1x的认证体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议;Authenticator与Authentication Sever间同样运行EAP协议,EAP帧中封装了认证数据,将该协议承载在其他高层次协议中,如Radius,以便穿越复杂的网络到达认证服务器。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合,例如管理员远程唤醒一台计算机(supplicant) [1]。
3 802.1x的认证过程
如图2所示,IEEE802.1x通过EAP承载认证信息,共定义了如下EAP包类型:
l EAP-Packet,认证信息帧,用于承载认证信息;
l EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起;
l EAPOL-Logoff,退出请求帧,可主动终止已认证状态;
l EAPOL-Key,密钥信息帧,支持对 EAP 报文的加密;
l EAPOL-Encapsulated-ASF-Alert,用于支持Alert Standard Forum (ASF)的Alerting消息。
其中EAPOL-Start,EAPOL-Logoff和EAPOL-Key仅在Supplicant和Authenticator间存在,在交换机和认证服务器间,EAP-Packet报文重新封装承载于Radius协议之上,以便穿越复杂的网络到达认证服务器。EAPOL-Encapsulated-ASF-Alert封装与网管相关信息,例如各种告警信息,由 Authenticator终结[2]。
4 802.1x在局域网中的具体应用
网络拓扑如图3。
要求在Catalyst系列交换机上使用802.1x实现动态VLAN技术,第一步,在交换机上启动AAA,配置认证和授权。
switch(config)# aaa new-model
switch(config)# username juniper password cisco
switch(config)# aaa authentication login default local
//定义login 的认证方法,此配置和802.1x 无关,仅用于管理交换机
switch(config)# aaa authentication dot1x default group radius
switch(config)# aaa authorization network default group radius
//配置认证和授权方法
第二步,配置AAA 服务器参数。
switch(config)# radius-server host 10.10.20.60 key cisco
switch(config)# radius-server vsa send
//由于需要做动态VLAN 分配,因此必须让交换机识别radius服务器发送的VSA值
第三步,启动802.1x。
switch(config)# dot1x system-control
//全局开启802.1x
switch(config)# interface range fa0/1 – 20
switch(config-if-range)# switchport mode access
switch(config-if-range)# spanning-tree portfast
switch(config-if-range)# dot1x port-control auto
//在端口上开启802.1x
第四步,配置Radius服务器。
1) 在ACS导航条中点击“Network Configuration”将交换机添加为AAA client,认证协议使用“Radius(IETF)”
2) 在ACS导航条中点击“Interface Configuration”,点击“Radius(IETF)”进入界面后选中“ [064] Tunnel-Type ” 、“ [065] Tunnel-Medium-Type ” 、“ [081]Tunnel-Private-Group-ID”复选框,点击“submit”。
3) 在ACS导航条中点击“User Setup”添加用户并且分配到相应的组中。
4) 在ACS导航条中点击“Group Setup”编辑组设置,将“[064] Tunnel-Type”标签1的值设置为“VLAN”,将“[065] Tunnel-Medium-Type” 标签1 的值设置为“802”,将“[081]Tunnel-Private-Group-ID” 标签1的值设置为该组用户所对应的VLAN ID。
5) 在ACS导航条中点击“System configuration”,将“Allow LEAP (For Aironet only)”签名的勾去掉。
第五步,测试。
目前支持802.1x认证的Windows操作系统有Windows 2000 sp4、Windows xp、Windows server 2003,将PC接到交换机端口前还需将“本地连接”的802.1x验证方式选为“MD5-质询”,接下来,将PC接入到交换机上,不用多久,任务栏上会弹出提示框,提示输入用户名和密码,点击该消息后,用户可以在对话框中输入帐号和密码,如果正确,可以在交换机上使用show vlan命令发现该端口被分配到用户所属的vlan中。
5 总结
本文论述了802.1x的概述、认证体系及其认证过程,从中我们可以看到802.1x技术认证的实现方法,最后还介绍了在局域网中采用802.1x进行认证改变vlan属性的过程,从中我们可以看出802.1x技术运用的灵活性和广泛性,掌握好802.1x对于我们进行局域网的认证和部署及其局域网的安全具有重大意义,我们及时的了解和深入这方面的技术越来越重要。
参考文献:
[1] wayne lewis,ph.d.cisco networking Adcademy program.
[2] neil lovering cisco networking Adcademy program.
推荐访问: 网中