802.1x系统接入相关情况说明

802 1x 内网接入系统说明文档内网接入系统说明文档 一 802 1x 协议 802 1x 协议介绍 IEEE 802 1x 协议起源于 802 11 其主要目的是为了解决有线和无线局域网用户的接 入认证问题 802 1x 协议又称为基于端口的访问控制协议 可提供对 802 11 无线局域网和 对有线以太网络的验证的网络访问权限 802 1x 协议仅仅关注端口的打开与关闭 对于合 法用户接入时 打开端口 对于非法用户接入或没有用户接入时 则端口处于关闭状态 IEEE 802 1x 协议的体系结构主要包括三部分实体 客户端 Supplicant System 认证系 统 Authenticator System 认证服务器 Authentication Server System 1 客户端 一般为一个用户终端系统 该终端系统通常要安装一个客户端软件 用户 通过启动这个客户端软件发起 IEEE 802 1x 协议的认证过程 2 认证系统 通常为支持 IEEE 802 1x 协议的网络设备 该设备对应于不同用户的端 口有两个逻辑端口 受控 controlled Port 端口和非受控端口 uncontrolled Port 第一个逻辑 接入点 非受控端口 允许验证者和 LAN 上其它计算机之间交换数据 而无需考虑计算 机的身份验证状态如何 非受控端口始终处于双向连通状态 开放状态 主要用来传递 EAPOL 协议帧 可保证客户端始终可以发出或接受认证 第二个逻辑接入点 受控端口 允许经验证的 LAN 用户和验证者之间交换数据 受控端口平时处于关闭状态 只有在客 户端认证通过时才打开 用于传递数据和提供服务 受控端口可配置为双向受控 仅输入 受控两种方式 以适应不同的应用程序 如果用户未通过认证 则受控端口处于未认证 关 闭 状态 则用户无法访问认证系统提供的服务 3 认证服务器 通常为 RADIUS 服务器 该服务器可以存储有关用户的信息 比如用 户名和口令 用户所属的 VLAN 优先级 用户的访问控制列表等 当用户通过认证后 认证服务器会把用户的相关信息传递给认证系统 由认证系统构建动态的访问控制列表 用户的后续数据流就将接受上述参数的监管 二 802 1x 内网接入系统架构 系统架构的相关逻辑图 可用下图表示 上图比较好的解释了 802 1x 交换机所能起到的作用 以及相关设备的接入情况 包括 终端 认证客户端 认证服务器 下图是 802 1x 的认证过程 形象的展现了整个 802 1x 的认证流程 通过 Radius 协议 进行传输 可根据客户需要制定不同的安全认证方式 三 802 1x 内网接入系统模块介绍和配置简介 1 Radius 服务器部分 Radius 服务器的选择很广泛 物理设备可以使用一台性能优良的 PC 机即可 由 于支持 802 1x 的交换机都支持热备的 这里就建议用两台机器做 Radius 服务器比较好 当然前提是保证在路由器上进行了正确的配置 保证 Radius 服务器可以和所有的 Radius 客户端 交换机 进行正常的通讯 如果有防火墙设备需要根据实际情况对防 火墙进行配置 软件方面 可以选用的方案也很多 例如 IAS 微软出品的 Radius 服务器 我测 试的也是 IAS WinRadius FreeRadius 等等 由于 Radius 在多平台上均有各自的版 本 所以在这里我就不推荐最终方案采用什么形式的了 不过要注意的一点是要考虑 到 Radius 服务器的授权形式 毕竟有些 Radius 服务器是收费的 2 Radius 客户端部分 在 Radius 客户端上主要是进行配置 根据交换机型号的不同 实际的配置代码可 能多种多样 我做测试用的交换机是华为的 S3900 系列 宗旨就是让 Radius 客户端 的认证指向 Radius 服务器即可 简单的说 Radius 客户端就是在终端用户和 Radius 服务器之间转发报文的功能 它 本是可以认为是 透明的 3 终端用户部分 终端用户部分要使用我们的功能模块部分 在终端启动的时候 执行我们提供的 模块 该部分功能实现了合法用户的 802 1x 认证过程 且这个认证过程对于客户来说 是透明的 现在的问题就是我们两家的软件如何进行集成来实现整套方案 四 相关疑问解答 这部分内容主要就我们上次见面开会的时候 刘副总询问的两个问题 做回答 这两 个问题我已经过试验验证 1 有 hub 小交换机的网络的认证问题 一个机器通过 802 1x 验证之后 其它的端口也必须需要验证才能上网 否则无法 上网 基于 Mac 地址的验证 2 没有经过认证的设备的 冒名顶替 的问题 如果一个机器经过了验证 再把它的网线拔下来