IEEE802.1x认证在校园网中的应用

【前言】IEEE802.1x认证在校园网中的应用由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(work Center of WSTC,Wuxi 214028,China;2.School of Information Technology Southern Yangtze University,Wuxi 214122,China) Abstract: IEEE 802.1x network access control protocol based on port consists of supplicant,authenticator and authentication sev...

摘要：ieee802.1x是基于端口的访问控制协议，由客户端系统、认证系统和认证服务器系统三个部分组成。利用802.1x协议可以实现联网用户的身份认证、授权、计费等功能，全面提高了校园网的安全性和可管理性。

关键词：802.1x；认证；协议；Radius；校园网

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)29-0506-03

Application of IEEE 802.1XAuthentication In Campus Network

WEI Ping1,2

(work Center of WSTC,Wuxi 214028,China;2.School of Information Technology Southern Yangtze University,Wuxi 214122,China)

Abstract: IEEE 802.1x network access control protocol based on port consists of supplicant,authenticator and authentication sever. 802.1x protocol can be used to achieve the identity of the network user authentication, authorization,billing and other functions, and comprehensively improve the campus network security and manipuility.

Key words: 802.1x; authentication; protocol; Radius; campus network

1 引言

IEEE（美国电气及电子工程师学会）在定义LAN规范的初期，并没有提供“用户联网身份认证”的安全机制。只要用户终端通过物理链路与网络设备（如交换机）端口连接后，就可以访问局域网中的设备或资源。在局域网建设与应用早期阶段，由于接入信息点数量少、分布地理范围集中，安全隐患较少。随着网络技术的高速发展，特别是宽带以太网应用热潮的兴起，联网信息点剧增，因此从接入层端口实现联网用户的身份认证显的非常重要。

PPPoE协议提供了在以太网数据链路层上封装PPP 报文分组的技术，由于数据包在网络中传输时需再次封装，对组播支持性能较差，影响了宽带网络的传输效率，常用在ADSL环境中。而Web/Portal认证机制对于未认证用户就通过DHCP服务器获得IP地址，容易造成IP地址浪费，并且网络安全性较差。因此传统的PPPoE和Web/Portal认证方式已经不能适应用户数量剧增和宽带业务多样化的需求。为了提高以太网络（包括无线网络）访问的安全性，IEEE制定了“基于端口的访问控制协议（Portbased Network Access Control Protocol）”，即802.1x协议标准。国际著名网络设备制造商高度重视802.1x的推广与应用，并从产品上进一步对认证方式和认证体系结构进行了大量技术优化。目前802.1x认证技术在企业网、校园网、高校宿舍网、金融网、小区宽带以太网等大中型网络环境中得到了广泛的应用。

2 802.1x认证体系结构

IEEE 802.1x协议的体系结构包括三个重要部分组成：客户端系统（Supplicant System）、认证系统（Authenticator System）、认证服务器系统（Authentication Server System）。如图1所示。

1) 客户端系统

客户端系统是指需提供授权并接入网络的“终端设备”，如服务器、台式计算机、笔记本计算机、小型手持网络设备等，或者是嵌入了802.1x拨号功能的小型路由器等设备。客户端系统需配置好网管员统一分配的网络参数（如 IP 地址、用户名、密码等），运行802.1x客户端软件，从而发起认证请求，经认证通过后才能访问网络资源。为支持基于端口的接入控制，客户端系统需支持“基于局域网的可扩展认证协议”，即EAPOL（Extensible Authentication Protocol Over LAN）协议。

2) 认证系统

认证系统对“终端设备”的802.1x认证请求进行分析处理。认证系统需集成的网络软硬件平台支持，如综合布线、支持802.lx协议的“智能型网管交换机”等。认证系统提供了客户端接入网络的服务端口，包括：受控端口（controlled Port）和不受控端口（uncontrolled Port）。不受控端口始终处于双向连通状态，用于传送 EAPOL 协议帧，可保证客户端始终可以发出或接受认证。受控端口可配置为双向受控、仅输入受控两种方式。受控端口只有在认证通过的状态下才打开，用于传输网络数据包。如果认证失败，则受控端口始终处于未认证状态，用户终端无法接入网络。

在IEEE802.1x体系结构中，由于控制流和业务流完全分离，数据包不必再次封装，因此能更好的适应不同的网络环境和业务运营多样化的需要。

3) 认证服务器系统

认证服务器又称Radius服务器，是提供认证系统的“服务器端”。Radius(Remote Address Dial-In User Service)是一种用在拨号环境中的认证授权协议，提供了用户认证、授权、记帐的功能。在校园网中，Radius服务器一般放置于网络中心机房，与核心交换机直连。网管员在Radius服务器平台统一设置联网用户的IP地址、用户名和密码等参数。当用户通过认证后，Radius服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证系统和认证服务器之间通过EAP协议进行通信。

3 802.1x认证的过程分析

基于802.1x的认证系统提供了3种身份验证方式实现接入服务，包括：PAP、CHAP、EAP-MD5。根据业务运营的不同需求，可以任选一种身份认证方式。

以校园网中常用的“EAP-MD5”身份认证为例，具体过程如图2。

1) 用户终端开机进入操作系统，启动802.1x客户端认证软件，向交换机发送EAPOL-START报文，请求联网。

2) 交换机返回EAP-REQUEST/IDENTITY报文给用户终端，并通知用户提供联网身份标识。

3) 用户终端回复EAP-RESPONSE/IDENTITY报文后，与交换机连接建立。

4) 交换机发送ACCESS-REQUEST报文到RADIUS服务器。

5) RADIUS服务器生成CHALLENGE信息，并将ACCESS-CHALLENGE报文发送给交换机。

6) 交换机向用户终端发送EAP-REQUEST/CHALLENGE报文，通知用户终端采用EAP-MD5方式身份验证，终端返回EAP-RESPONSE/MD5-CHALLENGE 报文给交换机。

7) 交换机将报文封装后发送到RADIUS服务器。

8) RAIDUS服务器从数据库中提取信息进行身份判断。如果认证通过，则返回ACCESS-ACCEPT报文给交换机，交换机开放该端口“允许接入”，并发送报文到用户终端通知用户接入网络成功。

4 在校园网中部署802.1x认证的解决方案

为了实现现代化的高等教育教学和科研管理，国内的高校几乎都建成了一定规模的校园网。接入层信息点的分布从办公室、阅览室、会议室实验室延伸到教室、体育馆、宿舍楼等场所，校园网用户不断增多。校园网作为一个重要的基础应用平台，对网络安全提出了更高的要求。对于校园网用户的有效管理，重要的一个环节就是能够对联网用户的身份认证和准确定位，上网行为的日志记录、审计与处理。比如在教室、图书馆阅览室等场所，不允许学生私自带笔记本电脑上网，防止病毒的传播和网络资源的非法访问。

一个完善的上网认证计费系统已成为高校网络中心建设的重要项目。IEEE802.1x认证技术由于技术成熟得到了广泛应用。许多网络设备制造商，如思科、华为、港湾、H3C、锐捷等均推出了支持802.1x的网络交换设备和一体化解决方案。微软公司的Windows XP操作系统也整合了IEEE802.1x客户端软件。

1) 802.1x认证交换机配置实例。

高等学校的网络拓扑结构一般分为三个层次：核心层、汇聚层和接入层。核心层由高密度千兆端口容量的三层以太网交换机组成；汇聚层由全千兆交换机组成；接入层采用二层智能交换设备。Radius服务器与核心层交换机连接，负责对整个校园网的上网用户进行身份认证、计费等功能。接入层交换机通过综合布线直接与信息点插座相连，用户终端计算机用网线连接网卡和信息插座后与接入层交换机直连。

在部署802.1x方案中，接入层交换机的配置是一个重要的环节。以港湾公司的uHammer3550-24交换机为例，在一个网络办公环境中配置要求如下：1到20号端口连接办公计算机，必须通过“认证”上网,其中20号端口采用基于MAC的控制认证并最多允许10个用户数；21到24号端口连接部门服务器，端口始终处于开放状态，可以不经“认证”上网；25到26端口为与汇聚层交换机上链口，始终处于授权状态，不必“认证”。其中，交换机管理IP地址： 192.168.100.1，Radius服务器IP地址：192.168.200.1。

配置步骤如下，在一网的计算机上运行“附件”中的“命令提示符”，进入DOS窗口。输入命令telnet 192.168.100.1后按“回车键”，远程进入交换机配置模式，并输入命令：

Harbour(config)#config dot1x enable

Harbour(config)#config port 21-24 dot1x authcontrolledportcontrol forceauth

Harbour(config)#config port 25-26 dot1x authcontrolledportcontrol forceauth

Harbour(config)#config port 20 dot1x port-control-mode MAC-based

Harbour(config)#config dot1x multiple-host-one-port max-host-count 10

Harbour(config)#radius authentication add-server id 0 server-ip 192.168.200.1 client-ip 192.168.100.1

Harbour(config)#radius authentication config-server id 0 shared-secret password

Harbour(config)#radius authentication enable

Harbour(config)#radius authentication server-switch enable

Harbour(config)#config isp-domain default authentication config-server id 0 type primary

Harbour(config)#save configuration

其中“Harbour(config)”表示交换机配置模式的提示符，最后一句命令用于将配置结果保存到交换机 Flash芯片中。

2) Radius服务器平台的构建

Radius服务器提供了整个校园网用户进行身份认证和用户管理的功能，一般采用配置先进、性能稳定的PC服务器作为硬件平台。Radius服务器需构筑在操作系统和数据库平台上，如Windows2000Server和SQLServer2000大型数据库，同时安装好全部补丁程序。为了确保Radius服务器的安全性，必须安装杀毒软件、防火墙软件（注意开启UDP 1812、1813端口），并定期升级到最新版。安装802.1x服务器端软件，设置开机后自动启动认证服务管理器。添加全部接入层交换机的管理IP地址、统一规划并输网用户的帐号、密码等参数，绑定MAC地址等，这样Radius服务器平台构建完成。如图3、图4。

3) 802.1x客户端平台的构建

校园网中需安装802.1x客户端软件的计算机主要包括：行政管理、教师办公用计算机和图书馆电子阅览计算机等。客户端计算机运行的主流操作系统是Windows2000和WindowsXP，注意正确启用网卡驱动程序、连接好网线。安装802.1x客户端软件，设置好网管员分配的网络参数，点击“连接”后经认证通过，就可以访问网络资源。笔记本电脑建议禁用“1394火线端口”、禁用“无线网卡”。运行WindowsXP的计算机，在TCP/IP协议配置中把操作系统自带的“启用此网络的IEEE802.1x验证”前面的勾去掉，防止和客户端软件冲突。如图5、图6。

5 应用效果

在校园网中实施了802.1x拨号认证上网后，只有网络中心授权的用户才能拨号上网，使用网络资源。非授权用户的计算机与信息点连接后，由于不能通过身份认证，交换机端口处始终处于关闭状态，无法使用网络资源。

6 结束语

802.1x认证系统提供了一种联网用户身份认证的有效手段，通过判断是否为授权用户来决定接入层交换机端口的“开放”和“关闭”状态。通过与计算机网卡的MAC地址绑定、用户名和密码的身份识别等技术措施，可以全面提高校园网的安全性和可管理性。

参考文献：

[1] Kaeo M.Designing Network Security[M].2nd ed.北京:人民邮电出版社,2005.

[2] Debra Littlejohn Shinder.Cisco Networking Academy Program:Computer Networking Essentials[M].北京:人民邮电出版社,2003.

[3] 王群.非常网管网络安全[M].北京:人民邮电出版社,2007.

[4] 港湾网络有限公司[EB/OL]..