交换机端口安全技术

1、交换机端口安全技术802.1x网络接入认证技术菜籽 2012-4-28随着以太网应用日益普及，以太网安全成为日益迫切的需求。以太网交换机 针对网络安全问题提供了多种安全机制，包括地址绑定、端口隔离、接入认证等 技术。本文将针对以太网交换机端口接入认证技术进行讲解。IEEE802.1X标准是一种基于端口的网络接入控制协议。802.1x协议起源于 802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了 解决无线局域网用户的接入认证问题。802.1x是一种基于端口的认证协议，是 一种对用户进行认证的方法和策略。端口可以是一个物理端口（比如说机器上的 有线网卡端口或者是无线

2、端口），也可以是一个逻辑端口（如VLAN）。对于无线 局域网来说，一个端口就是一个信道。802.1x认证的最终目的就是确定一个端 口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有 的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的 认证协议报文通过。若开启“802.1x验证”后当电脑通过有线或者无线准备接入网络时，在xp 以上的系统会弹出用户名和密码的认证提示，当用户输入正确的用户名和密码之 后，才可以通过认证进行网络通讯，但是若用户端没有开启认证的话，则无法正 常的访问网络。1、802.1x体系结构802.1x的系统为典型的客户机/服务器体系结构

3、，包括三个实体，如下图所示， 分别为客户端、设备端和认证服务器。在实际网络中，客户端通常是安装了 802.1x客户端软件（windowsxp自带客 户端，后文详细介绍了如何激活该软件）；设备端通常是启用了 802.1x功能的接 入层交换机；而认证服务器端可以是以交换机自带的本地认证，也可以是远程集 中认证服务器。认证服务器可分为本地认证服务器和远程集中认证服务器，分别适用于不同 场合.（1）本地认证服务器由设备端内置本地服务器对客户端进行认证。设备端内置的认证服务器对客 户端进行认证，认证通过后开放端口。这种认证模式通常适用于网络规模小，客 户端数量不多的情况。（2）远程集中认证服务器由远程的

4、认证服务器对客户端进行认证。设备端将客户端信息发送到远程认 证服务器上，有服务器查找用户信息数据库后返回消息给设备端。2、802.1x基本配置（1）、开启全局的802.1X特性H3C dot1x（2）、开启端口的802.1X特性H3C dot1x interface interface-list（3）、添加本地接入用户并设置相关参数H3C local-user user-nameH3C-luser-localuser service-type lan-accessH3C-luser-localuser password （ cipher | simple password3、验证性试验SWAE

5、1/0/1PCSWAdot1xSWAdot1x interface ethernet1/0/1SWAlocal-user localuserSWA-luser-localuserpassword simple helloSWA-luser-localuserservice-type lan-access通过登录软件验证试验。附件：开启WINDOWS操作系统内置802.1x登录软件方法汇集如下:一、XP下面的开启方法：1、首先需要开启服务:右键点击我的电脑，选择管理，进入服务选项。开启wireless zero configuration 选项和 wired autoconfig 选项。（见图一

6、）gUrLivers：=Ll Plug and Flay Device Host 醒 VMw ar eVMw ar e靴 VMw ar e 曦3 VM胃:ar已 降VMw ：=Q-h gVuluJTlH 嚓 WKCI IWindowsWindowsWindowsyWirLiiowsWirLdowsWirLdowsWirLdowEWiridowEWiridowEAgent Servi ceAiithor i z at i on S ervi c eDHCP ServiceNAT ServiceUSB Arb i tr at i on Servi ceShadow CopyentAudi oDr

7、i ver F oiindat i onFir ew：=Lll/ Int ernetImage Acqui s i t i onInstallerM：=LTL：=Lgem ent Ins truun ent at i on M：=LTL：gemtjrLt IristrujTiHrLtati. Medi a Flayer Network Sha. Time为主持通用即插即用设备提供支持。lilw：=q-e Agent ServiceAuthori e：=l+i on and authenti cat.DHCP servi ce tor virtii：=il netw.Network adih-e

8、sE tr：=irLEl：ti on f.一 User.CoriXLec.(WIA)AutoConfi gWireless Zero Configuration 峰Per form ：rLce AdapterWorks tati on营理并扶行用于备愣和其它目的. 便基于WindQws的程序能创建、. 莒理基于Windows的程序的音频. M：TL：=Lges user_mode driver host. 为家庭和小型办婆网貉提供网貉. 为扫描做和照、相机提供函像捕荻 添加、修改和册臃以Windows In. 提供共同的界面和对象模式以便. 与驱动程序间空换系统管理信息- 使用通用即插即用设备

9、与苴他网. 雄护在网籍上的所有客户端和服, 此服荟在以大网接口上执行IEEE. 为您的802. 11 :适配器提供自动配置 从WMI HiFerf提供程序提供性. 创建和噩护到远程服务的客户端.已禁用 手动本地服务本地系统已启动自动本地系统已启动自动本地系统已启动自动本地系统已启动自动本地系统手动本地系统手动本地服荟已启动自动本地系统手动本地系统已禁用本地系统手动本地系统手动本地系统已启动自动本地系统手动本地系统手动网路服荟已启动自动本地系统己启动手动本地系统已启动自动本地系统手动本地系统已启动自动本地系统图一2、勾选验证： 网络连接里面有的本地连接和无线网络中分别把支持802.1x的相关选项

10、勾选。开启有线，右键单击本地链接，属性，在验证栏开启服务。（图二）图二开启无线，单击无线网络，属性，在无线网络配置里面选择要配置的无线连接， 选择属性（图三）。-无绘网络连接属性常规无践网配置高缀回戟湿艾配置我的无娜簸g可用阿籍OP:要连接、断开区域内无线网貉或查找有关更多信息，请 单击下面的按钮，查看无线网结首选网籍任）：按下面的顺序自动遂接到一个可用网韬:if图三在验证选项卡下，选择打开802.1x协议支持。（图四）二、Vista, Windows?下开启方法：1、首先需要开启服务：计算机-右键管理-服务选项。分别打开wired autoconfig和wlan autoconfig 即可。

11、（图五）舟：WIAMSVC垦号事球E理席.走 嬲 怖与曜E BM.立砌皇园fl 刑纳SS用丽MN）的海理g酒 疆它还似含怀+以呼跑踌，申5问 中胡展箸,以前;2井或计鼻迥 成C5昂沼怔的浙期适无昵茹 浦肝鼻吐理皿第再讪LWWC g陶S囚计*f；L上的所寿WLN诩 帽棋坊同睫词g 帛瓣诺 UI.酿g：131JR忠的H*M WLflftl建瞄.到注疗WLANSVC SS.W rbd& Connect.WCNCSVCft Windo.子soWindows Defender探圭计JIfl本亟33卷4eiS3r WtrbdQws Driver Fqis,愕M用.式鑫&祷字_.6i&3i询 Wirtdoi

12、w EjtcfM 在程身停止运国舛一至用Writdow Ewnt CcLrjt舞芯性略.，. Wfndo-w& Event Logjt快省欧摹年旬酣中日巳林-Mndowi FireballWindows /火燃通典-ejManWindows F-qtil Cac.遮诵晋布足字&啊瞿_季旬. Windows- linage8 Ac.为与某汶切典呀心枳围1WTndos IfitaHer财，推壬当竭除以却n.手5?-ndowi- Msnag-6-.IS弟共局的界3H既柔.一.已明i=S.WT-fid&vrt M&dulel JB目 WirtditSwi Update- 一至由.Wrftdo P心蛔M

13、“-巡回旅寻覃再为孕itN-,呻E苦Wrpd&vrt Remote Windtig廊言即网n.“L Wrndovw- Search芸泌区-，g成,Mndoirt Trme晔旺财宅上的所荷毒户皿Be期手年.Windom- UfxiaEe启四治林.east手的a WHTTP Web Prox-WinHTTP安汉了喜户提手尚Wired AjjloConfig有爆巨通息0QT器站兽 WU钢用jkCon(igW14NSVC最攻成土es-sj孟至玲jt I.WM| PerfoirriiincflPjovidts pc-rfemninc* .-手33. Wcrkrtstigfl噂SM&尬瞄邂itt：easr阿H耍冤-!-VWAN血曲心带g谟原君蛙帘为m随.手动和司计JSlfl左网席上f可一手S3图五2、勾选验证:开启有线，右键单击网络-属性-更改适配器设置，右键单击本地连接，属性，身 份验证，勾选802.1x认证。（图六）图六开启无线，右键单击网络-属性-管理无线网络，右键单击无线网络的ssid名称， 属性，在安全