新方法實現(xiàn)802.1x認證

802.1x技術分析

802.1x為IEEE Std 802.1x-2001基于端口的訪問控制協(xié)議，可以克服PPPoE方式帶來的諸多問題，并避免引入寬帶接入服務器所帶來的巨大投資。802.1x協(xié)議限制未經授權的用戶/設備通過接入端口訪問LAN/WAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶進行認證。在認證通過之前，802.1x只允許EAPOL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端口。認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

802.1x協(xié)議體系結構包括三個重要的部分：Supplicant System客戶端、Authenticator System認證系統(tǒng)、Authentication Server System認證服務器。如圖1所示。

圖 1

客戶端系統(tǒng)一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認證過程。為支持基于端口的接入控制，客戶端系統(tǒng)需支持EAPOL協(xié)議。Windows XP操作系統(tǒng)中已經包含了802.1x認證的客戶端軟件。

認證系統(tǒng)通常為支持802.1x協(xié)議的網(wǎng)絡設備，如802.1x交換機。該設備對應于不同用戶的端口（可以是物理端口，也可以是用戶設備的MAC地址、VLAN、IP等）。

認證服務器通常為radius服務器，該服務器可以存儲有關用戶的信息，比如用戶所屬的VLAN、CAR參數(shù)、優(yōu)先級、用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構建動態(tài)的訪問控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管。認證服務器和radius服務器之間通過EAP協(xié)議進行通信。

二層交換機上實現(xiàn)802.1x認證

現(xiàn)在大部分廠商的接入交換機都支持802.1x協(xié)議，有的還支持本地認證，這就使拋開radius服務器，在接入交換機上進行用戶認證成為可能。

下面以Quidway S3026為例，介紹利用內置radius server來實現(xiàn)接入交換機上的用戶認證。

在S3026的出廠設置中已經配置了本地的認證服務器和域：

radius scheme system
server-type huawei
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
domain system
radius-scheme system
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain default enable system
local-server nas-ip 127.0.0.1 key huawei

我們可以直接利用已有的配置構建認證服務。

#開啟802.1x功能

[Quidway]dot1x

#指定的端口上開啟802.1X

[Quidway]dot1x interface eth 0/1 to eth 0/24

#添加用戶

[Quidway]local-user sample

[Quidway -luser-sample]password simple 123456

[Quidway -luser-sample]service-type lan-access

我們也可以建立新的域來進行802.1x認證。

#開啟802.1x功能

[Quidway]dot1x

#所有的端口都開啟802.1x

[Quidway]dot1x interface eth 0/1 to eth 0/24

#創(chuàng)建radius組cjwust并進入其視圖

[Quidway]radius scheme cjwusta

#設置主認證服務器為本地，端口號1645

[Quidway -radius-cjwusta]primary? authentication 127.0.0.1 1645

#創(chuàng)建用戶域cjwust

[Quidway]domain cjwust

#指定cjwusta為該域用戶的radius服務器組

[Quidway -isp-huawei]radius-scheme cjwusta

#添加本地用戶sample

[Quidway]local-user sample

[Quidway-luser-sample]password simple 123456

[Quidway-luser-sample]service-type lan-access

用戶添加完成后，我們就可以用這些用戶名和相應的密碼登錄上網(wǎng)了。

上述方法不僅適用于支持802.1x的二層交換機直接連終端計算機實現(xiàn)本地認證，還可以下連普通交換機甚至集線器實現(xiàn)802.1x認證（Quidway s3026缺省情況下每個端口上可容納接入用戶數(shù)量的最大值為256），這就給一些舊的網(wǎng)絡改造提供了方便，較小的投入就能實現(xiàn)用戶的可靠認證。

IEEE802.1x協(xié)議為二層協(xié)議，不需要到達三層，在二層交換機上實現(xiàn)802.1x認證，正符合該協(xié)議的特點；并且由于業(yè)務和認證的分離，通過認證后的報文是無需封裝的純數(shù)據(jù)包，直接通過可控端口進行交換，大大提高了網(wǎng)絡的性能、可靠性和安全性。如果再結合MAC、端口和VLAN等綁定技術將使網(wǎng)絡具有極高的安全性。