利用802.1x協(xié)議實現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點分析了協(xié)議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實際

02．1x協(xié)議在企業(yè)局域網(wǎng)接入中的應(yīng)用

以企業(yè)局域網(wǎng)有線以太網(wǎng)及WLAN接入為例，探討802．1x協(xié)議在企業(yè)局域網(wǎng)用戶接入中的應(yīng)用。

局域以太網(wǎng)接入中應(yīng)用802．1x協(xié)議并不復(fù)雜，只要接入所用交換機及無線AP支持802．1x協(xié)議即可，后端配置Radius 認證服務(wù)器及DHCP服務(wù)器，以完成用戶接入認證及IP地址分配功能。

下圖是一個基于802．1 x協(xié)議認證接入的大樓局域網(wǎng)拓撲圖。這種方案和普通交換機接入方案在性能上是完全等效的，但是在安全性方面有普通方案無可比擬的優(yōu)點。

需要指出的是，用戶發(fā)出認證報文，是使用特定的組播MAC地址，設(shè)備發(fā)送用戶的報文使用單播MAC地址，解決了認證報文的廣播的問題，其他用戶不能偵聽到認證過程，從而無法知道用戶的密碼、賬號，無法知道用戶的MAC地址。

認證通過后的MAC地址與端口進行綁定。在通信過程中，可以保證用戶使用網(wǎng)絡(luò)的路徑是唯一的。這樣，通過認證的用戶的數(shù)據(jù)包就不會泄露，保證了用戶數(shù)據(jù)的安全性。

五、802.1認證配置

下面就上圖的方案給出配置方法：

5.1 客戶端配置

有線客戶端：

第一次連接到交換機，沒有配置802.1X認證的PC機會被劃入GuestVLAN 100中，在這個VLAN中，用戶只能依照網(wǎng)絡(luò)設(shè)定的策略進行相應(yīng)的訪問行為。

管理員應(yīng)為客戶進行以下操作：

啟用802.1X認證：在網(wǎng)卡屬性的“認證”夾中選中“Enable IEEE 802.1x authentication for this network”，并選擇EAP類型為：Protect EAP(PEAP)。點擊配置Secure Password(EAP-MSCHAP v2)，確保“Automatically use my windows logon name and password(and domain if any).”已經(jīng)選中。

配置完成之后重新連接到網(wǎng)絡(luò)，客戶端應(yīng)能順利通過認證并被劃入指定的VLAN。

無線客戶端：

對于無線客戶端，管理員需要進行以下的操作才能正常使用網(wǎng)絡(luò)：

設(shè)置無線連接：

啟用802.1X認證：

5.2 網(wǎng)絡(luò)設(shè)備配置

交換機配置包括接入交換機的配置和核心交換機的配置。

接入交換機Cisco3550配置：（負責802.1X認證和接入）

首先啟用AAA認證模型，配置RADIUS服務(wù)器接口參數(shù)：

aaa new-model

username cisco password 0 cisco

aaa authentication login default group radius local