實現(xiàn)終端設(shè)備的安全接入

引言：眾所周知，交換機(jī)上的MAC地址表很容易受到攻擊。使用接入安全技術(shù)，可以對該端口進(jìn)行限制（例如限制其MAC地址數(shù)量，對其進(jìn)行賬戶認(rèn)證等），來有效解決該問題。具體的解決方法包括端口安全和802.1X認(rèn)證技術(shù)。

眾所周知，交換機(jī)上的MAC地址表很容易受到攻擊。使用接入安全技術(shù)，可以對該端口進(jìn)行限制（例如限制其MAC地址數(shù)量，對其進(jìn)行賬戶認(rèn)證等），來有效解決該問題。具體的解決方法包括端口安全和802.1x認(rèn)證技術(shù)。

在無線網(wǎng)絡(luò)領(lǐng)域，802.1x認(rèn)證模式特得到了日益廣泛的應(yīng)用。例如對于無線網(wǎng)絡(luò)常用的 WEP，WPA，WPA2等基于預(yù)共享密鑰的認(rèn)證技術(shù)來說，其實際上是可以被破解。

為提高安全性，可以使用802.1認(rèn)證框架。這樣，當(dāng)用戶連接無線網(wǎng)絡(luò)時，必須經(jīng)過802.1X的安全認(rèn)證過程，只有輸入正確的賬戶名和密碼才可以連接到無線網(wǎng)絡(luò)中。當(dāng)然，在802.1X中還可以實現(xiàn)基于證書的認(rèn)證，這樣可以大大提高安全性。

當(dāng)客戶端剛連接到交換機(jī)后，交換機(jī)會立即發(fā)出一個EAP要求，要求客戶端進(jìn)行認(rèn)證，之后客戶端會發(fā)送賬戶名和密碼信息，在該過程中使用EAPOL協(xié)議進(jìn)行封裝。當(dāng)交換機(jī)處理時，會從封裝的信息中提取賬戶名和密碼信息，使用Radius協(xié)議進(jìn)行封裝，并基于IP傳送給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器在自己的數(shù)據(jù)庫中進(jìn)行查詢，如果認(rèn)證通過，則返回給交換機(jī)一個允許通過的消息，讓客戶機(jī)可以正常接入。

以簡單的例子來說明如何實現(xiàn)基于802.1x的安全認(rèn)證。在一臺思科三層交換機(jī)上的e0/2接口上連接了一臺ACS服務(wù)器，該服務(wù)器的IP為10.1.1.100，在交換機(jī)的e0/0接口上連接一臺客戶機(jī)，其地址為20.1.1.2，在該交換機(jī)的e0/1接口上連接了一臺路由器，其IP為20.1.1.1。……