利用802.1x協(xié)議實現(xiàn)局域網接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內聯(lián)網提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結構，重點分析了協(xié)議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業(yè)局域網接入中實際

。為支持基于端口的接入控制，客戶端系統(tǒng)需支持EAPOL（Extensible Authentication Protocol Over LAN）協(xié)議。

認證系統(tǒng) 通常為支持IEEE 802.1x協(xié)議的網絡設備。該設備對應于不同用戶的端口（可以是物理端口，也可以是用戶設備的MAC地址、VLAN、IP等）有兩個邏輯端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始終處于雙向連通狀態(tài)，主要用來傳遞 EAPOL 協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認證。受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網絡資源和服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用環(huán)境。如果用戶未通過認證，則受控端口處于未認證狀態(tài)，則用戶無法訪問認證系統(tǒng)提供的服務。認證系統(tǒng)的端口訪問實體通過不受控端口與客戶端端口訪問實體進行通信，二者之間運行EAPoL協(xié)議。認證系統(tǒng)的端口訪問實體與認證服務器之間運行EAP協(xié)議。EAP協(xié)議并不是認證系統(tǒng)和認證服務器通信的唯一方式，其他的通信通道也可以使用。例如，如果認證系統(tǒng)和認證服務器集成在一起，2個實體之間的通信就可以不采用EAP協(xié)議。

認證服務器通常為RADIUS服務器，該服務器可以存儲有關用戶的信息。例如，用戶的賬號、密碼以及用戶所屬的VLAN、CAR參數，優(yōu)先級，用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構建動態(tài)的訪問控制列表，用戶的后續(xù)流量將接受上述參數的監(jiān)管。認證服務器和RADIUS服務器之間通過EAP協(xié)議進行通信。

2．3　802．1x協(xié)議的工作機制

802．1x協(xié)議工作機制如圖3所示。由圖3可見，認證的發(fā)起可以由用戶主動發(fā)起，也可以由認證系統(tǒng)發(fā)起。當認證系統(tǒng)探測到未經過認證的用戶使用網絡，就會主動發(fā)起認證；用戶端則可以通過客戶端軟件向認證系統(tǒng)發(fā)送EAPoL－Start開始報文發(fā)起認證。由客戶端發(fā)送EAPoL退出報文，主動下線，退出已認證狀態(tài)的直接結果就是導致用戶下線，如果用戶要繼續(xù)上網則要再發(fā)起一個認證過程。

圖3 802.1x協(xié)議的工作機制

Fig.3 working mechanism of 802.1x protocol

為了保證用戶和認證系統(tǒng)之間的鏈路處于激活狀態(tài)，而不因為用戶端設備發(fā)生故障造成異常死機，認證系統(tǒng)可以定期發(fā)起重新認證過程，該過程對于用戶是透明的，即用戶無需再次輸入用戶名／密碼。重新認證由認證系統(tǒng)發(fā)起，時間從最近一次成功認證后算起。重新認證時間默認值為3600 s，而且默認重新認證是關閉的。

對于認證系統(tǒng)和客戶端之間通信的EAP報文，如果發(fā)生丟失，由認證系統(tǒng)負責進行報

上一頁 1 2 3 4 5 6 7 下一頁