實現(xiàn)終端設(shè)備的安全接入

引言：眾所周知，交換機上的MAC地址表很容易受到攻擊。使用接入安全技術(shù)，可以對該端口進行限制（例如限制其MAC地址數(shù)量，對其進行賬戶認證等），來有效解決該問題。具體的解決方法包括端口安全和802.1X認證技術(shù)。

眾所周知，交換機上的MAC地址表很容易受到攻擊。使用接入安全技術(shù)，可以對該端口進行限制（例如限制其MAC地址數(shù)量，對其進行賬戶認證等），來有效解決該問題。具體的解決方法包括端口安全和802.1x認證技術(shù)。

在無線網(wǎng)絡(luò)領(lǐng)域，802.1x認證模式特得到了日益廣泛的應用。例如對于無線網(wǎng)絡(luò)常用的 WEP，WPA，WPA2等基于預共享密鑰的認證技術(shù)來說，其實際上是可以被破解。

為提高安全性，可以使用802.1認證框架。這樣，當用戶連接無線網(wǎng)絡(luò)時，必須經(jīng)過802.1X的安全認證過程，只有輸入正確的賬戶名和密碼才可以連接到無線網(wǎng)絡(luò)中。當然，在802.1X中還可以實現(xiàn)基于證書的認證，這樣可以大大提高安全性。

當客戶端剛連接到交換機后，交換機會立即發(fā)出一個EAP要求，要求客戶端進行認證，之后客戶端會發(fā)送賬戶名和密碼信息，在該過程中使用EAPOL協(xié)議進行封裝。當交換機處理時，會從封裝的信息中提取賬戶名和密碼信息，使用Radius協(xié)議進行封裝，并基于IP傳送給認證服務器，認證服務器在自己的數(shù)據(jù)庫中進行查詢，如果認證通過，則返回給交換機一個允許通過的消息，讓客戶機可以正常接入。

以簡單的例子來說明如何實現(xiàn)基于802.1x的安全認證。在一臺思科三層交換機上的e0/2接口上連接了一臺ACS服務器，該服務器的IP為10.1.1.100，在交換機的e0/0接口上連接一臺客戶機，其地址為20.1.1.2，在該交換機的e0/1接口上連接了一臺路由器，其IP為20.1.1.1。……