利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點(diǎn)擊量：評(píng)論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點(diǎn)分析了協(xié)議的工作原理及機(jī)制，并與目前流行的寬帶認(rèn)證方式進(jìn)行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實(shí)際

。為支持基于端口的接入控制，客戶端系統(tǒng)需支持EAPOL（Extensible Authentication Protocol Over LAN）協(xié)議。

認(rèn)證系統(tǒng) 通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對(duì)應(yīng)于不同用戶的端口（可以是物理端口，也可以是用戶設(shè)備的MAC地址、VLAN、IP等）有兩個(gè)邏輯端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞 EAPOL 協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi)，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。如果用戶未通過(guò)認(rèn)證，則受控端口處于未認(rèn)證狀態(tài)，則用戶無(wú)法訪問(wèn)認(rèn)證系統(tǒng)提供的服務(wù)。認(rèn)證系統(tǒng)的端口訪問(wèn)實(shí)體通過(guò)不受控端口與客戶端端口訪問(wèn)實(shí)體進(jìn)行通信，二者之間運(yùn)行EAPoL協(xié)議。認(rèn)證系統(tǒng)的端口訪問(wèn)實(shí)體與認(rèn)證服務(wù)器之間運(yùn)行EAP協(xié)議。EAP協(xié)議并不是認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器通信的唯一方式，其他的通信通道也可以使用。例如，如果認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器集成在一起，2個(gè)實(shí)體之間的通信就可以不采用EAP協(xié)議。

認(rèn)證服務(wù)器通常為RADIUS服務(wù)器，該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息。例如，用戶的賬號(hào)、密碼以及用戶所屬的VLAN、CAR參數(shù)，優(yōu)先級(jí)，用戶的訪問(wèn)控制列表等。當(dāng)用戶通過(guò)認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問(wèn)控制列表，用戶的后續(xù)流量將接受上述參數(shù)的監(jiān)管。認(rèn)證服務(wù)器和RADIUS服務(wù)器之間通過(guò)EAP協(xié)議進(jìn)行通信。

2．3　802．1x協(xié)議的工作機(jī)制

802．1x協(xié)議工作機(jī)制如圖3所示。由圖3可見(jiàn)，認(rèn)證的發(fā)起可以由用戶主動(dòng)發(fā)起，也可以由認(rèn)證系統(tǒng)發(fā)起。當(dāng)認(rèn)證系統(tǒng)探測(cè)到未經(jīng)過(guò)認(rèn)證的用戶使用網(wǎng)絡(luò)，就會(huì)主動(dòng)發(fā)起認(rèn)證；用戶端則可以通過(guò)客戶端軟件向認(rèn)證系統(tǒng)發(fā)送EAPoL－Start開(kāi)始報(bào)文發(fā)起認(rèn)證。由客戶端發(fā)送EAPoL退出報(bào)文，主動(dòng)下線，退出已認(rèn)證狀態(tài)的直接結(jié)果就是導(dǎo)致用戶下線，如果用戶要繼續(xù)上網(wǎng)則要再發(fā)起一個(gè)認(rèn)證過(guò)程。

圖3 802.1x協(xié)議的工作機(jī)制

Fig.3 working mechanism of 802.1x protocol

為了保證用戶和認(rèn)證系統(tǒng)之間的鏈路處于激活狀態(tài)，而不因?yàn)橛脩舳嗽O(shè)備發(fā)生故障造成異常死機(jī)，認(rèn)證系統(tǒng)可以定期發(fā)起重新認(rèn)證過(guò)程，該過(guò)程對(duì)于用戶是透明的，即用戶無(wú)需再次輸入用戶名／密碼。重新認(rèn)證由認(rèn)證系統(tǒng)發(fā)起，時(shí)間從最近一次成功認(rèn)證后算起。重新認(rèn)證時(shí)間默認(rèn)值為3600 s，而且默認(rèn)重新認(rèn)證是關(guān)閉的。

對(duì)于認(rèn)證系統(tǒng)和客戶端之間通信的EAP報(bào)文，如果發(fā)生丟失，由認(rèn)證系統(tǒng)負(fù)責(zé)進(jìn)行報(bào)

上一頁(yè) 1 2 3 4 5 6 7 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊