ＩＥＥＥ８０２．１ｘ認證在校園網中的應用

摘要：IEEE802.1x是基于端口的訪問控制協議，由客戶端系統、認證系統和認證服務器系統三個部分組成。利用802.1x協議可以實現聯網用戶的身份認證、授權、計費等功能，全面提高了校園網的安全性和可管理性。

關鍵詞：802.1x；認證；協議；Radius；校園網

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0506-03

Application of IEEE 802.1XAuthentication In Campus Network

WEI Ping1，2

(1.Network Center of WSTC，Wuxi 214028，China;2.School of Information Technology Southern Yangtze University，Wuxi 214122，China)

Abstract: IEEE 802.1x network access control protocol based on port consists of supplicant，authenticator and authentication sever. 802.1x protocol can be used to achieve the identity of the network user authentication， authorization，billing and other functions， and comprehensively improve the campus network security and manipuility.

Key words: 802.1x; authentication; protocol; Radius; campus network

1 引言

IEEE（美國電氣及電子工程師學會）在定義LAN規范的初期，并沒有提供“用戶聯網身份認證”的安全機制。只要用戶終端通過物理鏈路與網絡設備（如交換機）端口連接后，就可以訪問局域網中的設備或資源。在局域網建設與應用早期階段，由于接入信息點數量少、分布地理范圍集中，安全隱患較少。隨著網絡技術的高速發展，特別是寬帶以太網應用熱潮的興起，聯網信息點劇增，因此從接入層端口實現聯網用戶的身份認證顯的非常重要。

PPPoE協議提供了在以太網數據鏈路層上封裝PPP 報文分組的技術，由于數據包在網絡中傳輸時需再次封裝，對組播支持性能較差，影響了寬帶網絡的傳輸效率，常用在ADSL環境中。而Web/Portal認證機制對于未認證用戶就通過DHCP服務器獲得IP地址，容易造成IP地址浪費，并且網絡安全性較差。因此傳統的PPPoE和Web/Portal認證方式已經不能適應用戶數量劇增和寬帶業務多樣化的需求。為了提高以太網絡（包括無線網絡）訪問的安全性，IEEE制定了“基于端口的訪問控制協議（Portbased Network Access Control Protocol）”，即802.1x協議標準。國際著名網絡設備制造商高度重視802.1x的推廣與應用，并從產品上進一步對認證方式和認證體系結構進行了大量技術優化。目前802.1x認證技術在企業網、校園網、高校宿舍網、金融網、小區寬帶以太網等大中型網絡環境中得到了廣泛的應用。

2 802.1x認證體系結構

IEEE 802.1x協議的體系結構包括三個重要部分組成：客戶端系統（Supplicant System）、認證系統（Authenticator System）、認證服務器系統（Authentication Server System）。如圖1所示。

1) 客戶端系統

客戶端系統是指需提供授權并接入網絡的“終端設備”，如服務器、臺式計算機、筆記本計算機、小型手持網絡設備等，或者是嵌入了802.1x撥號功能的小型路由器等設備。客戶端系統需配置好網管員統一分配的網絡參數（如 IP 地址、用戶名、密碼等），運行802.1x客戶端軟件，從而發起認證請求，經認證通過后才能訪問網絡資源。為支持基于端口的接入控制，客戶端系統需支持“基于局域網的可擴展認證協議”，即EAPOL（Extensible Authentication Protocol Over LAN）協議。

2) 認證系統

認證系統對“終端設備”的802.1x認證請求進行分析處理。認證系統需集成的網絡軟硬件平臺支持，如綜合布線、支持802.lx協議的“智能型網管交換機”等。認證系統提供了客戶端接入網絡的服務端口，包括：受控端口（controlled Port）和不受控端口（uncontrolled Port）。不受控端口始終處于雙向連通狀態，用于傳送 EAPOL 協議幀，可保證客戶端始終可以發出或接受認證。受控端口可配置為雙向受控、僅輸入受控兩種方式。受控端口只有在認證通過的狀態下才打開，用于傳輸網絡數據包。如果認證失敗，則受控端口始終處于未認證狀態，用戶終端無法接入網絡。

在IEEE802.1x體系結構中，由于控制流和業務流完全分離，數據包不必再次封裝，因此能更好的適應不同的網絡環境和業務運營多樣化的需要。

3) 認證服務器系統

認證服務器又稱Radius服務器，是提供認證系統的“服務器端”。Radius(Remote Address Dial-In User Service)是一種用在撥號環境中的認證授權協議，提供了用戶認證、授權、記帳的功能。在校園網中，Radius服務器一般放置于網絡中心機房，與核心交換機直連。網管員在Radius服務器平臺統一設置聯網用戶的IP地址、用戶名和密碼等參數。當用戶通過認證后，Radius服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續流量就將接受上述參數的監管。認證系統和認證服務器之間通過EAP協議進行通信。

3 802.1x認證的過程分析

基于802.1x的認證系統提供了3種身份驗證方式實現接入服務，包括：PAP、CHAP、EAP-MD5。根據業務運營的不同需求，可以任選一種身份認證方式。

以校園網中常用的“EAP-MD5”身份認證為例，具體過程如圖2。

1) 用戶終端開機進入操作系統，啟動802.1x客戶端認證軟件，向交換機發送EAPOL-START報文，請求聯網。

2) 交換機返回EAP-REQUEST/IDENTITY報文給用戶終端，并通知用戶提供聯網身份標識。

3) 用戶終端回復EAP-RESPONSE/IDENTITY報文后，與交換機連接建立。

4) 交換機發送ACCESS-REQUEST報文到RADIUS服務器。

5) RADIUS服務器生成CHALLENGE信息，并將ACCESS-CHALLENGE報文發送給交換機。

6) 交換機向用戶終端發送EAP-REQUEST/CHALLENGE報文，通知用戶終端采用EAP-MD5方式身份驗證，終端返回EAP-RESPONSE/MD5-CHALLENGE 報文給交換機。

7) 交換機將報文封裝后發送到RADIUS服務器。

8) RAIDUS服務器從數據庫中提取信息進行身份判斷。如果認證通過，則返回ACCESS-ACCEPT報文給交換機，交換機開放該端口“允許接入”，并發送報文到用戶終端通知用戶接入網絡成功。

4 在校園網中部署802.1x認證的解決方案

為了實現現代化的高等教育教學和科研管理，國內的高校幾乎都建成了一定規模的校園網。接入層信息點的分布從辦公室、閱覽室、會議室實驗室延伸到教室、體育館、宿舍樓等場所，校園網用戶不斷增多。校園網作為一個重要的基礎應用平臺，對網絡安全提出了更高的要求。對于校園網用戶的有效管理，重要的一個環節就是能夠對聯網用戶的身份認證和準確定位，上網行為的日志記錄、審計與處理。比如在教室、圖書館閱覽室等場所，不允許學生私自帶筆記本電腦上網，防止病毒的傳播和網絡資源的非法訪問。

一個完善的上網認證計費系統已成為高校網絡中心建設的重要項目。IEEE802.1x認證技術由于技術成熟得到了廣泛應用。許多網絡設備制造商，如思科、華為、港灣、H3C、銳捷等均推出了支持802.1x的網絡交換設備和一體化解決方案。微軟公司的Windows XP操作系統也整合了IEEE802.1x客戶端軟件。

1) 802.1x認證交換機配置實例。

高等學校的網絡拓撲結構一般分為三個層次：核心層、匯聚層和接入層。核心層由高密度千兆端口容量的三層以太網交換機組成；匯聚層由全千兆交換機組成；接入層采用二層智能交換設備。Radius服務器與核心層交換機連接，負責對整個校園網的上網用戶進行身份認證、計費等功能。接入層交換機通過綜合布線直接與信息點插座相連，用戶終端計算機用網線連接網卡和信息插座后與接入層交換機直連。

在部署802.1x方案中，接入層交換機的配置是一個重要的環節。以港灣公司的uHammer3550-24交換機為例，在一個網絡辦公環境中配置要求如下：1到20號端口連接辦公計算機，必須通過“認證”上網，其中20號端口采用基于MAC的控制認證并最多允許10個用戶數；21到24號端口連接部門服務器，端口始終處于開放狀態，可以不經“認證”上網；25到26端口為與匯聚層交換機上鏈口，始終處于授權狀態，不必“認證”。其中，交換機管理IP地址： 192.168.100.1，Radius服務器IP地址：192.168.200.1。

配置步驟如下，在一臺聯網的計算機上運行“附件”中的“命令提示符”，進入DOS窗口。輸入命令telnet 192.168.100.1后按“回車鍵”，遠程進入交換機配置模式，并輸入命令：

Harbour(config)#config dot1x enable

Harbour(config)#config port 21-24 dot1x authcontrolledportcontrol forceauth

Harbour(config)#config port 25-26 dot1x authcontrolledportcontrol forceauth

Harbour(config)#config port 20 dot1x port-control-mode MAC-based

Harbour(config)#config dot1x multiple-host-one-port max-host-count 10

Harbour(config)#radius authentication add-server id 0 server-ip 192.168.200.1 client-ip 192.168.100.1

Harbour(config)#radius authentication config-server id 0 shared-secret password

Harbour(config)#radius authentication enable

Harbour(config)#radius authentication server-switch enable

Harbour(config)#config isp-domain default authentication config-server id 0 type primary

Harbour(config)#save configuration

其中“Harbour(config)”表示交換機配置模式的提示符，最后一句命令用于將配置結果保存到交換機 Flash芯片中。

2) Radius服務器平臺的構建

Radius服務器提供了整個校園網用戶進行身份認證和用戶管理的功能，一般采用配置先進、性能穩定的PC服務器作為硬件平臺。Radius服務器需構筑在操作系統和數據庫平臺上，如Windows2000Server和SQLServer2000大型數據庫，同時安裝好全部補丁程序。為了確保Radius服務器的安全性，必須安裝殺毒軟件、防火墻軟件（注意開啟UDP 1812、1813端口），并定期升級到最新版。安裝802.1x服務器端軟件，設置開機后自動啟動認證服務管理器。添加全部接入層交換機的管理IP地址、統一規劃并輸入聯網用戶的帳號、密碼等參數，綁定MAC地址等，這樣Radius服務器平臺構建完成。如圖3、圖4。

3) 802.1x客戶端平臺的構建

校園網中需安裝802.1x客戶端軟件的計算機主要包括：行政管理、教師辦公用計算機和圖書館電子閱覽計算機等。客戶端計算機運行的主流操作系統是Windows2000和WindowsXP，注意正確啟用網卡驅動程序、連接好網線。安裝802.1x客戶端軟件，設置好網管員分配的網絡參數，點擊“連接”后經認證通過，就可以訪問網絡資源。筆記本電腦建議禁用“1394火線端口”、禁用“無線網卡”。運行WindowsXP的計算機，在TCP/IP協議配置中把操作系統自帶的“啟用此網絡的IEEE802.1x驗證”前面的勾去掉，防止和客戶端軟件沖突。如圖5、圖6。

5 應用效果

在校園網中實施了802.1x撥號認證上網后，只有網絡中心授權的用戶才能撥號上網，使用網絡資源。非授權用戶的計算機與信息點連接后，由于不能通過身份認證，交換機端口處始終處于關閉狀態，無法使用網絡資源。

6 結束語

802.1x認證系統提供了一種聯網用戶身份認證的有效手段，通過判斷是否為授權用戶來決定接入層交換機端口的“開放”和“關閉”狀態。通過與計算機網卡的MAC地址綁定、用戶名和密碼的身份識別等技術措施，可以全面提高校園網的安全性和可管理性。

參考文獻：

[1] Kaeo M.Designing Network Security[M].2nd ed.北京:人民郵電出版社，2005.

[2] Debra Littlejohn Shinder.Cisco Networking Academy Program:Computer Networking Essentials[M].北京:人民郵電出版社，2003.

[3] 王群.非常網管網絡安全[M].北京:人民郵電出版社，2007.

[4] 港灣網絡有限公司[EB/OL].http://www.harbournetworks.com.