解析802.1x技术 新方法实现802.1x认证

802.1x技术分析　　802.1x为IEEE Std 802.1x-2001基于端口的访问控制协议，可以克服PPPoE方式带来的诸多题目，并避免引进宽带接进服务器所带来的巨大投资。802.1x协议限制未经授权的用户/设备通过接进端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户进行认证。在认证通过之前，802.1x只答应EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口。认证通过以后，正常的数据可以顺利地通过以太网端口。　　802.1x协议体系结构包括三个重要的部分：Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。如图1所示。　　　　图 1　　客户端系同一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接进控制，客户端系统需支持EAPOL协议。Windows XP操纵系统中已经包含了802.1x认证的客户端软件。　　认证系统通常为支持802.1x协议的网络设备，如802.1x交换机。该设备对应于不同用户的端口(可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等)。　　认证服务器通常为radius服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和radius服务器之间通过EAP协议进行通讯。　　二层交换机上实现802.1x认证　　现在大部分厂商的接进交换机都支持802.1x协议，有的还支持本地认证，这就使抛开radius服务器，在接进交换机上进行用户认证成为可能。　　下面以Quidway S3026为例，先容利用内置radius server来实现接进交换机上的用户认证。　　在S3026的出厂设置中已经配置了本地的认证服务器和域：　　radius scheme system　　server-type huawei　　primary authentication 127.0.0.1 1645　　primary accounting 127.0.0.1 1646　　user-name-format without-domain　　domain system　　radius-scheme system　　access-limit disable　　state active　　vlan-assignment-mode integer　　idle-cut disable　　immolation-service-url disable　　messenger time disable　　domain default enable system　　local-server nas-ip 127.0.0.1 key huawei　　我们可以直接利用已有的配置构建认证服务。　　#开启802.1x功能　　[Quidway]dot1x　　#指定的端口上开启802.1X　　[Quidway]dot1x inte***ce eth 0/1 to eth 0/24　　#添加用户　　[Quidway]local-user sample　　[Quidway -luser-sample]password *** 123456　　[Quidway -luser-sample]service-type lan-access　　我们也可以建立新的域来进行802.1x认证。　　#开启802.1x功能　　[Quidway]dot1x　　#所有的端口都开启802.1x　　[Quidway]dot1x inte***ce eth 0/1 to eth 0/24　　#创建radius组cjwust并进进其视图　　[Quidway]radius scheme cjwusta　　#设置主认证服务器为本地，端口号1645　　[Quidway -radius-cjwusta]primary? authentication 127.0.0.1 1645　　#创建用户域cjwust　　[Quidway]domain cjwust　　#指定cjwusta为该域用户的radius服务器组　　[Quidway -isp-huawei]radius-scheme cjwusta　　#添加本地用户sample　　[Quidway]local-user sample　　[Quidway-luser-sample]password *** 123456　　[Quidway-luser-sample]service-type lan-access　　用户添加完成后，我们就可以用这些用户名和相应的密码登录上网了。　　上述方法不仅适用于支持802.1x的二层交换机直接连终端计算机实现本地认证，还可以下连普通交换机甚至集线器实现802.1x认证(Quidway s3026缺省情况下每个端口上可容纳接进用户数目的最大值为256)，这就给一些旧的网络改造提供了方便，较小的投进就能实现用户的可靠认证。　　IEEE802.1x协议为二层协议，不需要到达三层，在二层交换机上实现802.1x认证，正符合该协议的特点;并且由于业务和认证的分离，通过认证后的报文是无需封装的纯数据包，直接通过可控端口进行交换，大大进步了网络的性能、可靠性和安全性。假如再结合MAC、端口和VLAN等绑定技术将使网络具有极高的安全性。