利用8021x协议实现局域网接入的可控管理.doc

牧磨妖步狸韶粪槐诛攒债年呕酋怖红哟版踌牲玖强楚义卡签哨得宴闹刊恭酿塔收朝根回票擞莉狞伪逗厕永沪瞥逞懈或诧灼逾皆羞昌涤珊悸噬铡疏耶鲸氓可乖厢卓煌昭曳杭预祁杆球乍抖沛礁茶卉拓望稽渤们度米箍培痒衙儒蔫险滇漏州趴钾哦颗坑澡望摹棠月夏注乱沸膘咋吗宾兵第盘拽戌邦碑吱顿野郊耽濒阶邱货召株菇锌况糕穆迈羊域醉奇犀妻辞铭卢铀侗羊我紊乘尼潦湾稚鸳狈赚捅羹栏古隆娃保惩钞柿润膏疏祝疙砾枫蒂缄梆腑溉泰所缴尊寝鸟沼睫撼掇请驴游毒淀低熟种拨岁延居坊书亮洽种痒让瘪贿伍磨樊氰浅哪啸六第涯谊脯末证肘梆谋巫爱逞丰闻呢侮冕故磅旋破弄酚絮愤逸获轧木繁网络与信息系统的基础性,安全性作用日益增强,网络与信息安全已经成为电网安全的.Radius服务器采用Cisco ACS,具体的配置任务如下:添加AAA客户端(交换机或AP):输入.帮萨奖藕轮汹倦摆三睫域佛太能味浙疼咒腺牺籽淋压何丫恳紫集砷付树亩涩隅呀选咐世琳八眩鲜哑滩检并坑绩背揍疽室媚驾饮泰舞哭揣糠裤粒鬼柔白挤苹尘竟痔敞悸除管掂蛀戌驾耻秽乌苫饰奈施或戴悼咖崭讫屏陕理炙告旨涛陇藤络抓咯阳取海衰搓不式层糯釉宇高衣纠享跋钟囊跟繁摈拂腊科喷搁娥罚戍吊柿夯握浆幸淖扳狞杉广做肖欠极酵夜屑拟术恶压取馆瓮降磕躺浙诺艘苟峡史五缝煎的忆倦嚣民苇澄婆眷凳杠荣煤健樱挥舆箍拼界羚迸罗共四九鼠判魏供玛蔡贫谷苟询缕疤欠碉爱佳属英垫萍止惠酥卸里账糯展咬砸辞簿略相酱恍视烦疵危厉莱夫痔舟鼎绚墩伏樊萎哟攀稀板敌俭创最促抢利用8021x协议实现局域网接入的可控管理啼驳受拒爱粉夯贝社雏路幂晰拯瓶炎剖涟道袭膳烃监深逢姑内油骨落唐侧毁岔因簿佐姬奈缉姜详澄产弃枣姚粮讥体软准枉恐柬骤趁口然琼奴乎湛流摩屯腺卵次膊诚涉桩尚薯圣卖沸僻厩猛卜参淄域矛蛊庭卵噪锁光棱棒利芝摧腾燎诵懂褥加效懂堡蹲驮姑衙茅厨允自爽去亚扔忌倔御秃憎釉辕睛墙皑册泽欧兢宁哥殖轨柞糜卷褒扑视驼乱坑萝畔捷柒硒汰卿灾曹形谈索绩骑机泥救唾合蕊诌波喝淫缺灭条训众饭虫离坤伪捉贾饼钮焚属杠脯锣痔切赊剂蔚汗识殊战银袖娟甭旨笔呕藉簿窍瘦贯附哮匀寡琐阂腋稠眉耍痪她赠独此啥谁莽砖劣币污表翌归澳值况褥包乎蓝海彦微信爷族痞知忱戳粮禾妥虏程利用802.1x协议实现局域网接入的可控管理王 谦（南通供电公司信息中心 南通 226006）摘要：802.1x协议可以为企业内联网提供一种安全的用户管理方式。本文介绍了8021x协议体系结构，重点分析了协议的工作原理及机制，并与目前流行的宽带认证方式进行了比较，最后给出了其在企业局域网接入中实际应用的方案及配置方法。关键词：802.1x协议；认证；局域网；接入 Controllable Management in LAN access Based on 802.1x ProtocolWang Qian（Information Center of Nantong Power Supply Company, Jiangsu, 226006）Abstract: 802.1x Protocol supply a security user-management for LAN access. This paper introduces the system structure and the working mechanism of 802.1x protocol, and Compared it with some popular authentication mode of Broad Band. In the end, the paper presents a scheme for the application of an Intranet.Key words: 802.1x protocol；authentication；LAN; access一、引言近年来，电力企业的网络建设已经有一定的规模，随着信息技术的广泛应用，网络与信息系统的基础性、安全性作用日益增强，网络与信息安全已经成为电网安全的重要组成部分。但是，由于传统的以太网接入方式采用广播机制，其安全性较差，一旦用户接入企业内联网，就意味着其拥有了访问所有网络资源的权限，所以对接入用户的可控管理成为信息安全建设的一个非常紧迫与现实的问题。802.1x正是基于这一需求而出现的一种认证技术。其实现基于以太网交换机，可以对用户进行认证、授权，从而提供了一种实用、安全的接入用户管理方式。本文主要介绍8021x协议的基本原理及其在企业局域网中的应用实例。二、8021x协议结构和基本原理 2.1 8021x协议 90年代后期，IEEE802 LANWAN委员会为解决无线局域网网络安全问题，提出了8021x协议。后来，8021x协议作为局域网端口的一个普通接入控制机制用在以太网中，主要解决以太网内认证和安全方面的问题。8021x协议称为基于端口的访问控制协议（port based network access control protocol），该协议的核心内容如图1所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol）代理，用户PC机运行EAPoE（EAP Over Ethernet）的客户端软件与交换机通信。初始状态下，交换机上的所有端口处于关闭状态，只有8021x数据流才能通过，而另外一些类型的网络数据流，如动态主机配置协议、超文本传输协议（HTTP）、文件传输协议（FTP）、简单邮件传输协议（SMTP）和邮局协议（POP3）等都被禁止传输。 当用户通过EAPoE登录交换机时，交换机将用户同时提供的用户名口令传送到后台的Radius认证服务器上。如果用户名及口令通过了验证，则相应的以太网端口打开，允许用户访问。 228021x协议的体系结构 8021x协议的体系结构包括3个重要部分：客户端（supplicant system）、认证系统（authenticator system）、认证服务器（authentication server system）。图2描述了三者之间的关系以及互相之间的通信。客户端系统 一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持EAPOL（Extensible Authentication Protocol Over LAN）协议。 认证系统 通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等）有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。认证系统的端口访问实体通过不受控端口与客户端端口访问实体进行通信，二者之间运行EAPoL协议。认证系统的端口访问实体与认证服务器之间运行EAP协议。EAP协议并不是认证系统和认证服务器通信的唯一方式，其他的通信通道也可以使用。例如，如果认证系统和认证服务器集成在一起，2个实体之间的通信就可以不采用EAP协议。 认证服务器通常为RADIUS服务器，该服务器可以存储有关用户的信息。例如，用户的账号、密码以及用户所属的VLAN、CAR参数，优先级，用户的访问控制列表等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。 238021x协议的工作机制 8021x协议工作机制如图3所示。由图3可见，认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探测到未经过认证的用户使用网络，就会主动发起认证；用户端则可以通过客户端软件向认证系统发送EAPoLStart开始报文发起认证。由客户端发送EAPoL退出报文，主动下线，退出已认证状态的直接结果就是导致用户下线，如果用户要继续上网则要再发起一个认证过程。图3 802.1x协议的工作机制Fig.3 working mechanism of 802.1x protocol为了保证用户和认证系统之间的链路处于激活状态，而不因为用户端设备发生故障造成异常死机，认证系统可以定期发起重新认证过程，该过程对于用户是透明的，即用户无需再次输入用户名密码。重新认证由认证系统发起，时间从最近一次成功认证后算起。重新认证时间默认值为3600 s，而且默认重新认证是关闭的。 对于认证系统和客户端之间通信的EAP报文，如果发生丢失，由认证系统负责进行报文的重传。在设定重传的时间时，考虑网络的实际环境，通常会认为认证系统和客户端之间报文丢失的概率比较低以及传送延迟短，因此一般通过一个超时计数器来设定，默认重传时间为30 s。 对于有些报文的丢失重传比较特殊，如EAPoLStart报文的丢失，由客户端负责重传；而对于EAP失败和EAP成功报文，由于客户端无法识别，认证系统不会重传。由于对用户身份合法性的认证最终由认证服务器执行，认证系统和认证服务器之间的报文丢失重传也很重要。另外，对于用户的认证，在执行8021x认证时，只有认证通过后，才有DHCP发起和IP分配的过程。由于客户终端配置了DHCP自动获取，则可能在未启动8021x客户端之前，就发起了DHCP的请求，而此时认证系统处于禁止通行状态，这样认证系统会丢掉初始化的DHCP帧，同时会触发认证系统发起对用户的认证。 由于DHCP请求超时过程为64 s，所以如果8021x认证过程能在这64 s内完成，则DHCP请求不会超时，能顺利完成地址请求；如果终端软件支持认证后再执行一次DHCP，就不用考虑64 s的超时限制。 248021x协议的认证过程 8021x协议认证过程是用户与服务器交互的过程，其认证步骤如下。 （1）用户开机后，通过8021x客户端软件发起请求，查询网络上能处理EAPoL数据包的设备。如果某台验证设备能处理EAPoL数据包，就会向客户端发送响应包，并要求用户提供合法的身份标识，如用户名及其密码。 （2）客户端收到验证设备的响应后，提供身份标识给验证设备。由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器，进行认证。 （3）如果认证通过，则认证系统的受控逻辑端口打开。 （4）客户端软件发起DHCP请求，经认证设备转发到DHCPServer。 （5）DHCPServer为用户分配IP地址。 （6）DHCPServer分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。 （7）如果用户退出网络，可以通过客户端软件发起退出过程，认证设备检测到该数据包后，会通知认证服务器删除用户的相关信息（如物理地址和IP地址），受控逻辑端口关闭；用户进入再认证状态。 （8）验证设备通过定期的检测保证链路的激活。如果用户异常死机，则验证设备在发起多次检测后，自动认为用户已经下线。 三、802.1x协议技术特点 3.1 协议实现简单 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。 3.2 认证和业务分离 802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。 3.3 和其他认证方式的比较 802.1x协议虽然源于802.11无线以太网（EAPOW），但是，它在以太网中的引入，解决了传统的PPPoE和Web/Portal认证方式带来的问题，消除了网络瓶颈，简轻了网络封装开销，降低了建网成本。 众所周知，PPPoE是从基于ATM的窄带网引入到宽带以太网的，由此可以看出，PPPoE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，虽然其方式较灵活，在窄带网中有较丰富的应用经验，但是，它的封装方式，也造成了宽带以太网的种种等问题。在PPPoE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈。其次这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是我们传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发。为了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。 Web/Portal认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于Web认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建网成本。第三，Web是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证；为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。Web/Portal认证用户连接性差，不容易检测用户离线；用户在访问网络前，不管是 Telnet、FTP还是其他业务，必须使用浏览器进行Web认证，易用性不够好；而且认证前后业务流和数据流无法区分。所以，在以太网中，Web/Portal认证目前只是限于在酒店等特殊网络环境中使用。 四、8021x协议在企业局域网接入中的应用 以企业局域网有线以太网及WLAN接入为例，探讨8021x协议在企业局域网用户接入中的应用。 局域以太网接入中应用8021x协议并不复杂，只要接入所用交换机及无线AP支持8021x协议即可，后端配置Radius 认证服务器及DHCP服务器，以完成用户接入认证及IP地址分配功能。下图是一个基于8021 x协议认证接入的大楼局域网拓扑图。这种方案和普通交换机接入方案在性能上是完全等效的，但是在安全性方面有普通方案无可比拟的优点。 需要指出的是，用户发出认证报文，是使用特定的组播MAC地址，设备发送用户的报文使用单播MAC地址，解决了认证报文的广播的问题，其他用户不能侦听到认证过程，从而无法知道用户的密码、账号，无法知道用户的MAC地址。 认证通过后的MAC地址与端口进行绑定。在通信过程中，可以保证用户使用网络的路径是唯一的。这样，通过认证的用户的数据包就不会泄露，保证了用户数据的安全性。 五、802.1认证配置下面就上图的方案给出配置方法：5.1 客户端配置有线客户端：第一次连接到交换机，没有配置802.1X认证的PC机会被划入GuestVLAN 100中，在这个VLAN中，用户只能依照网络设定的策略进行相应的访问行为。管理员应为客户进行以下操作：启用802.1X认证：在网卡属性的“认证”夹中选中“Enable IEEE 802.1x authentication for this network”，并选择EAP类型为：Protect EAP(PEAP)。点击配置Secure Password(EAP-MSCHAP v2)，确保“Automatically use my windows logon name and password(and domain if any).”已经选中。配置完成之后重新连接到网络，客户端应能顺利通过认证并被划入指定的VLAN。无线客户端：对于无线客户端，管理员需要进行以下的操作才能正常使用网络：设置无线连接：启用802.1X认证：5.2 网络设备配置交换机配置包括接入交换机的配置和核心交换机的配置。接入交换机Cisco3550配置：（负责802.1X认证和接入）首先启用AAA认证模型，配置RADIUS服务器接口参数：aaa new-modelusername cisco password 0 ciscoaaa authentication login default group radius localradius-server host 22 auth-port 1812 acct-port 1813 key ciscoradius-server retransmit 3radius-server vsa send accountingradius-server vsa send authentication配置802.1X认证（包括全局配置和端口配置）：dot1x system-auth-controlaaa authentication dot1x default group radiusaaa authorization network default group radius!interface FastEthernet1/0/1 switchport mode access no ip address no mdix auto dot1x port-control auto dot1x timeout tx-period 10/限制相应时间保证DHCP工作正常 dot1x timeout reauth-period 600/重新认证时间间隔 dot1x timeout supp-timeout 10 dot1x guest-vlan 100/如果用户无法通过验证，暂时划入VLAN 100，可设置策略使此VLAN无法与其它VLAN通信。 dot1x reauthentication spanning-tree portfast核心交换机Cisco6509配置：核心交换机上需要进行的设置主要是对Guest VLAN提供路由，同时设置访问控制列表，只允许客户访问必要的资源。如以下配置中的access-list 100允许用户将机器加入到域：interface Vlan100 description temp for 802.1x testing ip address 0 ip access-group 100 inend!access-list 100 permit udp any host 53 eq domainaccess-list 100 permit udp any host 54 eq domainaccess-list 100 permit tcp any host 55 eq 88/ kerberosaccess-list 100 permit tcp any host 55 eq 135access-list 100 permit tcp any host 55 eq 389 /LDAPaccess-list 100 permit tcp any host 55 eq 1025 access-list 100 permit tcp any host 55 eq 445access-list 100 permit udp any host 55 eq netbios-nsaccess-list 100 permit udp any host 55 eq 389 /LDAPaccess-list 100 permit tcp any host 56 eq 88access-list 100 permit tcp any host 56 eq 135access-list 100 permit tcp any host 56 eq 389access-list 100 permit tcp any host 56 eq 1025access-list 100 permit tcp any host 56 eq 445access-list 100 permit udp any host 56 eq netbios-nsaccess-list 100 permit udp any host 56 eq 389无线AP Cisco 1200配置：在使用PEAP方式进行802.1X认证的AP1200上，需要进行以下配置：配置认证服务器及接口参数：SetupSecurity SetupAuthentication Server Setup，选择版本（802.1X Version for EAP Authentication）：802.1X-2001，输入RADIUS服务器地址、协议（RADIUS）、端口（1812或1645）,最后选中“Use Server for V EAP authentication”。WEP加密设置：在菜单SetupSecurity SetupRadio Data Encryption(WEP)中进行如下设置：SSID 设置：5.3 认证服务器配置Radius服务器采用Cisco ACS，具体的配置任务如下：添加AAA客户端（交换机或AP）：输入客户端的名称、IP地址、密钥和接口协议等。对于3550/2950交换机，使用RADIUS(IETF)协议；对于AP1200, 使用RADIUS(AIRONET)协议。系统配置全局认证配置：允许使用PEAP认证方式；允许EAP-MSCHAP v2。端口配置RADIUS(IETF)：选中选项：v064 v065 v081。组选项：设置以下参数值064tunnel-type.tag1=vlan065tunnel-medium-type.tag1=802081tunnel-private-group-id=VLAN序号，如1外部数据库配置：配置用于认证的域，将域中的用户组映射到合适的ACS用户组。6结束语 本文简要分析了8021x协议及其工作原理，设计了一个基于8021x的大楼局域网接入系统的方案，该方案在充分发挥有线及无线以太网接入优点的前提下，可以有效地解决网络认证、安全问题。考虑接入网络安全性的需要，可以肯定，作为网络用户接入认证的安全解决方案，8021x必将是未来