利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理
摘 要:802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802.1x協(xié)議體系結(jié)構(gòu),重點(diǎn)分析了協(xié)議的工作原理及機(jī)制,并與目前流行的寬帶認(rèn)證方式進(jìn)行了比較,最后給出了其在企業(yè)局域網(wǎng)接入中實(shí)際
文的重傳。在設(shè)定重傳的時(shí)間時(shí),考慮網(wǎng)絡(luò)的實(shí)際環(huán)境,通常會(huì)認(rèn)為認(rèn)證系統(tǒng)和客戶端之間報(bào)文丟失的概率比較低以及傳送延遲短,因此一般通過一個(gè)超時(shí)計(jì)數(shù)器來設(shè)定,默認(rèn)重傳時(shí)間為30 s。
對(duì)于有些報(bào)文的丟失重傳比較特殊,如EAPoL-Start報(bào)文的丟失,由客戶端負(fù)責(zé)重傳;而對(duì)于EAP失敗和EAP成功報(bào)文,由于客戶端無法識(shí)別,認(rèn)證系統(tǒng)不會(huì)重傳。由于對(duì)用戶身份合法性的認(rèn)證最終由認(rèn)證服務(wù)器執(zhí)行,認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器之間的報(bào)文丟失重傳也很重要。另外,對(duì)于用戶的認(rèn)證,在執(zhí)行802.1x認(rèn)證時(shí),只有認(rèn)證通過后,才有DHCP發(fā)起和IP分配的過程。由于客戶終端配置了DHCP自動(dòng)獲取,則可能在未啟動(dòng)802.1x客戶端之前,就發(fā)起了DHCP的請(qǐng)求,而此時(shí)認(rèn)證系統(tǒng)處于禁止通行狀態(tài),這樣認(rèn)證系統(tǒng)會(huì)丟掉初始化的DHCP幀,同時(shí)會(huì)觸發(fā)認(rèn)證系統(tǒng)發(fā)起對(duì)用戶的認(rèn)證。
由于DHCP請(qǐng)求超時(shí)過程為64 s,所以如果802.1x認(rèn)證過程能在這64 s內(nèi)完成,則DHCP請(qǐng)求不會(huì)超時(shí),能順利完成地址請(qǐng)求;如果終端軟件支持認(rèn)證后再執(zhí)行一次DHCP,就不用考慮64 s的超時(shí)限制。
2.4 802.1x協(xié)議的認(rèn)證過程
802.1x協(xié)議認(rèn)證過程是用戶與服務(wù)器交互的過程,其認(rèn)證步驟如下。
(1)用戶開機(jī)后,通過802.1x客戶端軟件發(fā)起請(qǐng)求,查詢網(wǎng)絡(luò)上能處理EAPoL數(shù)據(jù)包的設(shè)備。如果某臺(tái)驗(yàn)證設(shè)備能處理EAPoL數(shù)據(jù)包,就會(huì)向客戶端發(fā)送響應(yīng)包,并要求用戶提供合法的身份標(biāo)識(shí),如用戶名及其密碼。
(2)客戶端收到驗(yàn)證設(shè)備的響應(yīng)后,提供身份標(biāo)識(shí)給驗(yàn)證設(shè)備。由于此時(shí)客戶端還未經(jīng)過驗(yàn)證,因此認(rèn)證流只能從驗(yàn)證設(shè)備的未受控的邏輯端口經(jīng)過。驗(yàn)證設(shè)備通過EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器,進(jìn)行認(rèn)證。
(3)如果認(rèn)證通過,則認(rèn)證系統(tǒng)的受控邏輯端口打開。
(4)客戶端軟件發(fā)起DHCP請(qǐng)求,經(jīng)認(rèn)證設(shè)備轉(zhuǎn)發(fā)到DHCPServer。
(5)DHCPServer為用戶分配IP地址。
(6)DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng),認(rèn)證系統(tǒng)記錄用戶的相關(guān)信息,如MAC,IP地址等信息,并建立動(dòng)態(tài)的ACL訪問列表,以限制用戶的權(quán)限。
(7)如果用戶退出網(wǎng)絡(luò),可以通過客戶端軟件發(fā)起退出過程,認(rèn)證設(shè)備檢測(cè)到該數(shù)據(jù)包后,會(huì)通知認(rèn)證服務(wù)器刪除用戶的相關(guān)信息(如物理地址和IP地址),受控邏輯端口關(guān)閉;用戶進(jìn)入再認(rèn)證狀態(tài)。
(8)驗(yàn)證設(shè)備通過定期的檢測(cè)保證鏈路的激活。如果用戶異常死機(jī),則驗(yàn)證設(shè)備在發(fā)起多次檢測(cè)后,自動(dòng)認(rèn)為用戶已經(jīng)下線。
三、802.1x協(xié)議技術(shù)特點(diǎn)
3.1 協(xié)議實(shí)現(xiàn)簡單
802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對(duì)設(shè)備的
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
現(xiàn)貨模式下谷電用戶價(jià)值再評(píng)估
2020-10-10電力現(xiàn)貨市場(chǎng),電力交易,電力用戶 -
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補(bǔ) -
深度文章 | “十三五”以來電力消費(fèi)增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會(huì)用電量
-
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補(bǔ) -
深度文章 | “十三五”以來電力消費(fèi)增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會(huì)用電量 -
我國電力改革涉及的電價(jià)問題
-
電化學(xué)儲(chǔ)能應(yīng)用現(xiàn)狀及對(duì)策研究
2019-08-14電化學(xué)儲(chǔ)能應(yīng)用 -
《能源監(jiān)測(cè)與評(píng)價(jià)》——能源系統(tǒng)工程之預(yù)測(cè)和規(guī)劃
-
《能源監(jiān)測(cè)與評(píng)價(jià)》——能源系統(tǒng)工程之基本方法
-
貴州職稱論文發(fā)表選擇泛亞,論文發(fā)表有保障
2019-02-20貴州職稱論文發(fā)表 -
《電力設(shè)備管理》雜志首屆全國電力工業(yè) 特約專家征文
2019-01-05電力設(shè)備管理雜志 -
國內(nèi)首座蜂窩型集束煤倉管理創(chuàng)新與實(shí)踐
-
人力資源和社會(huì)保障部:電線電纜制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
人力資源和社會(huì)保障部:變壓器互感器制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
《低壓微電網(wǎng)并網(wǎng)一體化裝置技術(shù)規(guī)范》T/CEC 150
2019-01-02低壓微電網(wǎng)技術(shù)規(guī)范
-
現(xiàn)貨模式下谷電用戶價(jià)值再評(píng)估
2020-10-10電力現(xiàn)貨市場(chǎng),電力交易,電力用戶 -
建議收藏 | 中國電價(jià)全景圖
2020-09-16電價(jià),全景圖,電力 -
一張圖讀懂我國銷售電價(jià)附加
2020-03-05銷售電價(jià)附加