科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网络知识进阶之:新方法实现802.1x认证

网络知识进阶之:新方法实现802.1x认证

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

802.1x为IEEE Std 802.1x-2001基于端口的访问控制协议,可以克服PPPoE方式带来的诸多问题,并避免引入宽带接入服务器所带来的巨大投资。下面以Quidway S3026为例,介绍利用内置radius server来实现接入交换机上的用户认证。

来源:赛迪网 2010年2月2日

关键字: IEEE 交换机 802.1x 网络管理 网络

  • 评论
  • 分享微博
  • 分享邮件

  802.1x技术分析

  802.1x为IEEE Std 802.1x-2001基于端口的访问控制协议,可以克服PPPoE方式带来的诸多问题,并避免引入宽带接入服务器所带来的巨大投资。802.1x协议限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口。认证通过以后,正常的数据可以顺利地通过以太网端口。

  802.1x协议体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。如图1所示。

图 1

  客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL协议。Windows XP操作系统中已经包含了802.1x认证的客户端软件。

  认证系统通常为支持802.1x协议的网络设备,如802.1x交换机。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)。

  认证服务器通常为radius服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和radius服务器之间通过EAP协议进行通信。

  二层交换机上实现802.1x认证

  现在大部分厂商的接入交换机都支持802.1x协议,有的还支持本地认证,这就使抛开radius服务器,在接入交换机上进行用户认证成为可能。

  下面以Quidway S3026为例,介绍利用内置radius server来实现接入交换机上的用户认证。

  在S3026的出厂设置中已经配置了本地的认证服务器和域:

  radius scheme system

  server-type huawei

  primary authentication 127.0.0.1 1645

  primary accounting 127.0.0.1 1646

  user-name-format without-domain

  domain system

  radius-scheme system

  access-limit disable

  state active

  vlan-assignment-mode integer

  idle-cut disable

  self-service-url disable

  messenger time disable

  domain default enable system

  local-server nas-ip 127.0.0.1 key huawei

  我们可以直接利用已有的配置构建认证服务。

  #开启802.1x功能

  [Quidway]dot1x

  #指定的端口上开启802.1X

  [Quidway]dot1x interface eth 0/1 to eth 0/24

  #添加用户

  [Quidway]local-user sample

  [Quidway -luser-sample]password simple 123456

  [Quidway -luser-sample]service-type lan-access

  我们也可以建立新的域来进行802.1x认证。

  #开启802.1x功能

  [Quidway]dot1x

  #所有的端口都开启802.1x

  [Quidway]dot1x interface eth 0/1 to eth 0/24

  #创建radius组cjwust并进入其视图

  [Quidway]radius scheme cjwusta

  #设置主认证服务器为本地,端口号1645

  [Quidway -radius-cjwusta]primary? authentication 127.0.0.1 1645

  #创建用户域cjwust

  [Quidway]domain cjwust

  #指定cjwusta为该域用户的radius服务器组

  [Quidway -isp-huawei]radius-scheme cjwusta

  #添加本地用户sample

  [Quidway]local-user sample

  [Quidway-luser-sample]password simple 123456

  [Quidway-luser-sample]service-type lan-access

  用户添加完成后,我们就可以用这些用户名和相应的密码登录上网了。

  上述方法不仅适用于支持802.1x的二层交换机直接连终端计算机实现本地认证,还可以下连普通交换机甚至集线器实现802.1x认证(Quidway s3026缺省情况下每个端口上可容纳接入用户数量的最大值为256),这就给一些旧的网络改造提供了方便,较小的投入就能实现用户的可靠认证。

  IEEE802.1x协议为二层协议,不需要到达三层,在二层交换机上实现802.1x认证,正符合该协议的特点;并且由于业务和认证的分离,通过认证后的报文是无需封装的纯数据包,直接通过可控端口进行交换,大大提高了网络的性能、可靠性和安全性。如果再结合MAC、端口和VLAN等绑定技术将使网络具有极高的安全性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章