利用802.1x協(xié)議實現局域網接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內聯(lián)網提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結構，重點分析了協(xié)議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業(yè)局域網接入中實際

02．1x協(xié)議在企業(yè)局域網接入中的應用

以企業(yè)局域網有線以太網及WLAN接入為例，探討802．1x協(xié)議在企業(yè)局域網用戶接入中的應用。

局域以太網接入中應用802．1x協(xié)議并不復雜，只要接入所用交換機及無線AP支持802．1x協(xié)議即可，后端配置Radius 認證服務器及DHCP服務器，以完成用戶接入認證及IP地址分配功能。

下圖是一個基于802．1 x協(xié)議認證接入的大樓局域網拓撲圖。這種方案和普通交換機接入方案在性能上是完全等效的，但是在安全性方面有普通方案無可比擬的優(yōu)點。

需要指出的是，用戶發(fā)出認證報文，是使用特定的組播MAC地址，設備發(fā)送用戶的報文使用單播MAC地址，解決了認證報文的廣播的問題，其他用戶不能偵聽到認證過程，從而無法知道用戶的密碼、賬號，無法知道用戶的MAC地址。

認證通過后的MAC地址與端口進行綁定。在通信過程中，可以保證用戶使用網絡的路徑是唯一的。這樣，通過認證的用戶的數據包就不會泄露，保證了用戶數據的安全性。

五、802.1認證配置

下面就上圖的方案給出配置方法：

5.1 客戶端配置

有線客戶端：

第一次連接到交換機，沒有配置802.1X認證的PC機會被劃入GuestVLAN 100中，在這個VLAN中，用戶只能依照網絡設定的策略進行相應的訪問行為。

管理員應為客戶進行以下操作：

啟用802.1X認證：在網卡屬性的“認證”夾中選中“Enable IEEE 802.1x authentication for this network”，并選擇EAP類型為：Protect EAP(PEAP)。點擊配置Secure Password(EAP-MSCHAP v2)，確保“Automatically use my windows logon name and password(and domain if any).”已經選中。

配置完成之后重新連接到網絡，客戶端應能順利通過認證并被劃入指定的VLAN。

無線客戶端：

對于無線客戶端，管理員需要進行以下的操作才能正常使用網絡：

設置無線連接：

啟用802.1X認證：

5.2 網絡設備配置

交換機配置包括接入交換機的配置和核心交換機的配置。

接入交換機Cisco3550配置：（負責802.1X認證和接入）

首先啟用AAA認證模型，配置RADIUS服務器接口參數：

aaa new-model

username cisco password 0 cisco

aaa authentication login default group radius local