论文部分内容阅读
为了有效控制用户随意接入局域网的行为,满足管理网络的业务需要,在局域网管理中应用802.1x认证协议,是一种比较安全且容易实现的方法。
1.802.1x认证协议
802.1x认证协议是IEEE为了解决基于端口的网络接入控制(Port Based Network Access Control)而定义的一个标准,它是一种对用户进行认证的方法,它的最终目的就是确定一个端口是否可用。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于一个端口,如果认证成功,就“打开”这个端口,允许所有的报文通过;如果认证不成功,就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构中包括请求者系统、认证系统和认证服务器系统三个部分。
1.1请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,一般把802.1x客户端软件安装在终端电脑上,用户通过启动客户端软件发起802.lx认证,输入用户名、口令等验证信息即可。
1.2认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口,也可以是逻辑端口,其主要作用是将客户端输入的验证信息传递到认证服务器,根据认证的结果打开或关闭服务端口。
1.3认证服务器系统
认证服务器检验客户端输入的验证信息,将检验结果通知认证系统。建议使用RADIUS服务器实现认证服务器的认证和授权功能。
2.RADIUS协议
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,通常被应用在既要求具有较高安全性又要求维持远程用户访问的各种网络环境中。RADIUS服务包括协议、服务器和客户端三个部分。
2.1协议
RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口、1813作为计费端口。
2.2服务器
RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
2.3客户端
它位于拨号访问服务器设备一侧,可以遍布整个网络。
RADIUS基于客户端/服务器模型将具有认证功能的交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求、认证用户,然后给交换机返回所有需要的信息。
RADIUS服务器通常要维护三个数据库。
第一个数据库Users用于存储用户信息,如用户名、口令以及使用的协议、IP地址等。
第二个数据库Clients用于存储RADIUS客户端的信息,如共享密钥。
第三个数据库Dictionary存储的信息用于解释RADIUS协议中的属性和属性值的含义。
3.802.1x认证协议在局域网管理中的应用
在单位局域网中应用802.1x认证技术进行组网,既能有效保证业务系统的正常运行,又能在一定程度上满足信息安全保密的要求。
3.1认证系统的配置
目前市场上销售的大多数三层交换机、可网管的二层交换机支持802.1x协议。大多数交换机支持两种端口受控方式:第一种是基于端口的认证,只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证,就可使用网络资源,当第一个用户下线后,其他用户被拒绝使用网络;第二种是基于MAC地址认证,该物理端口下的所有接入用户都需要单独认证,当某个用户下线后,也只有该用户无法使用网络。笔者建议单位局域网管理采用基于MAC地址的认证。
各单位可以根据自身的网络复杂程度,802.1x认证可以灵活采用集中式组网(汇聚层设备集中认证)或分布式组网(接入层设备分布认证),在不同的组网方式下,802.1x认证系统实现的网络位置有所不同,但最终目的相同。802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的交换机上,这些交换机为汇聚层设备,其下挂的网络位置较低的交换机只将认证报文传送给网络位置较高的交换机,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,管理和维护成本低。802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个交换机上,这些交换机作为接入层边缘设备,认证报文传送给边缘设备,并进行802.1x认证处理。这种组网方式的优点在于它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证,认证任务分配到众多的设备上,减轻了中心设备的负荷,其应用组网。
在交换机上配置802.1x,可根据交换机的说明书,按照开启802.1x特性、开启端口的802.1x特性、创建RADIUS方案并设置RADIUS服务器地址、设置系统与RADIUS服务器交互报文时的加密密码、设置系统向RADIUS服务器重发报文的时间间隔与次数等进行配置。
3.2请求者系统设置
请求者系统即客户端。802.1x客户端的安装有两种方式:一种是使用Windows XP自带的客户端,另一种是使用第三方客户端。
若使用Windows XP自带的802.1x客户端,则先启动Wireless Zero Configuration服务,再在“本地连接”属性中选择“身份验证”,选中“启用IEEE 802.1x身份验证”,并将身份验证方法选为“MD5-质询”,以上操作完成后,将终端接入了开启802.1x特性的端口,Windows XP右下角会弹出提示框,输入RADIUS服务器配置的账号信息登录即可。
3.3 RADIUS认证服务器配置
认证服务器有很多种,但同认证交换机搭配使用较多的是RADIUS服务器,通常涉及到Windows平台,可以采用Winradius。该软件按照说明书配置比较简单,其存储账户信息的数据库一般选择“自动配置ODBC”。要注意的是,在系统设置的“NAS密钥”处,要与交换机上设置的认证系统一致,“认证端口”与“计费端口”也要与交换机上设置的认证系统一致,最后添加登录认证账号。 [科]
1.802.1x认证协议
802.1x认证协议是IEEE为了解决基于端口的网络接入控制(Port Based Network Access Control)而定义的一个标准,它是一种对用户进行认证的方法,它的最终目的就是确定一个端口是否可用。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于一个端口,如果认证成功,就“打开”这个端口,允许所有的报文通过;如果认证不成功,就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构中包括请求者系统、认证系统和认证服务器系统三个部分。
1.1请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,一般把802.1x客户端软件安装在终端电脑上,用户通过启动客户端软件发起802.lx认证,输入用户名、口令等验证信息即可。
1.2认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口,也可以是逻辑端口,其主要作用是将客户端输入的验证信息传递到认证服务器,根据认证的结果打开或关闭服务端口。
1.3认证服务器系统
认证服务器检验客户端输入的验证信息,将检验结果通知认证系统。建议使用RADIUS服务器实现认证服务器的认证和授权功能。
2.RADIUS协议
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,通常被应用在既要求具有较高安全性又要求维持远程用户访问的各种网络环境中。RADIUS服务包括协议、服务器和客户端三个部分。
2.1协议
RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口、1813作为计费端口。
2.2服务器
RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
2.3客户端
它位于拨号访问服务器设备一侧,可以遍布整个网络。
RADIUS基于客户端/服务器模型将具有认证功能的交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求、认证用户,然后给交换机返回所有需要的信息。
RADIUS服务器通常要维护三个数据库。
第一个数据库Users用于存储用户信息,如用户名、口令以及使用的协议、IP地址等。
第二个数据库Clients用于存储RADIUS客户端的信息,如共享密钥。
第三个数据库Dictionary存储的信息用于解释RADIUS协议中的属性和属性值的含义。
3.802.1x认证协议在局域网管理中的应用
在单位局域网中应用802.1x认证技术进行组网,既能有效保证业务系统的正常运行,又能在一定程度上满足信息安全保密的要求。
3.1认证系统的配置
目前市场上销售的大多数三层交换机、可网管的二层交换机支持802.1x协议。大多数交换机支持两种端口受控方式:第一种是基于端口的认证,只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证,就可使用网络资源,当第一个用户下线后,其他用户被拒绝使用网络;第二种是基于MAC地址认证,该物理端口下的所有接入用户都需要单独认证,当某个用户下线后,也只有该用户无法使用网络。笔者建议单位局域网管理采用基于MAC地址的认证。
各单位可以根据自身的网络复杂程度,802.1x认证可以灵活采用集中式组网(汇聚层设备集中认证)或分布式组网(接入层设备分布认证),在不同的组网方式下,802.1x认证系统实现的网络位置有所不同,但最终目的相同。802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的交换机上,这些交换机为汇聚层设备,其下挂的网络位置较低的交换机只将认证报文传送给网络位置较高的交换机,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,管理和维护成本低。802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个交换机上,这些交换机作为接入层边缘设备,认证报文传送给边缘设备,并进行802.1x认证处理。这种组网方式的优点在于它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证,认证任务分配到众多的设备上,减轻了中心设备的负荷,其应用组网。
在交换机上配置802.1x,可根据交换机的说明书,按照开启802.1x特性、开启端口的802.1x特性、创建RADIUS方案并设置RADIUS服务器地址、设置系统与RADIUS服务器交互报文时的加密密码、设置系统向RADIUS服务器重发报文的时间间隔与次数等进行配置。
3.2请求者系统设置
请求者系统即客户端。802.1x客户端的安装有两种方式:一种是使用Windows XP自带的客户端,另一种是使用第三方客户端。
若使用Windows XP自带的802.1x客户端,则先启动Wireless Zero Configuration服务,再在“本地连接”属性中选择“身份验证”,选中“启用IEEE 802.1x身份验证”,并将身份验证方法选为“MD5-质询”,以上操作完成后,将终端接入了开启802.1x特性的端口,Windows XP右下角会弹出提示框,输入RADIUS服务器配置的账号信息登录即可。
3.3 RADIUS认证服务器配置
认证服务器有很多种,但同认证交换机搭配使用较多的是RADIUS服务器,通常涉及到Windows平台,可以采用Winradius。该软件按照说明书配置比较简单,其存储账户信息的数据库一般选择“自动配置ODBC”。要注意的是,在系统设置的“NAS密钥”处,要与交换机上设置的认证系统一致,“认证端口”与“计费端口”也要与交换机上设置的认证系统一致,最后添加登录认证账号。 [科]