基于802.1X的校園網(wǎng)準(zhǔn)入控制方式
一般情況下,根據(jù)認(rèn)證服務(wù)器的部署位置的不同,可以采用WEB方式、802.1X方式、PPPoE方式、PPTP認(rèn)證方式等。
1、 802.1X認(rèn)證方式
802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn),它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。802.1x協(xié)議是基于C/S的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶或設(shè)備通過接入端口(access port)訪問局域網(wǎng)(LAN)及無線網(wǎng)絡(luò)(WLAN)。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶進(jìn)行認(rèn)證[2]。在認(rèn)證通過之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口,物理端口收到的每個(gè)幀都被送到受控和不受控端口。其中,不受控端口始終處于雙向聯(lián)通狀態(tài),主要用于傳輸認(rèn)證信息,而受控端口的聯(lián)通或斷開是由該端口的授權(quán)狀態(tài)決定的。802.1X的體系結(jié)構(gòu)如圖所示:
1.1 RADIUS協(xié)議
RADIUS:Remote Authentication Dial In User Service(遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)),由RFC2865,RFC2866定義,是目前應(yīng)用最廣泛的AAA協(xié)議。IEEE提出的802.1x標(biāo)準(zhǔn),在認(rèn)證時(shí)采用RADIUS協(xié)議。
RADIUS是一種C/S結(jié)構(gòu)的協(xié)議,它的客戶端最初就是NAS(Net Access Server)服務(wù)器,現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端[1]。RADIUS協(xié)議認(rèn)證機(jī)制靈活,可以采用PAP、CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議,它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的,因此RADIUS也支持廠商擴(kuò)充廠家專有屬性。
由于RADIUS協(xié)議簡(jiǎn)單明確,可擴(kuò)充,因此得到了廣泛應(yīng)用,包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN(Virtual Private Dialup Networks,基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù))、移動(dòng)電話預(yù)付費(fèi)等業(yè)務(wù)。
1.2 802.1x認(rèn)證特點(diǎn)
(1)802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本,不會(huì)增加匯聚交換機(jī)的交換壓力。純以太網(wǎng)技術(shù)內(nèi)核,保持了IP網(wǎng)絡(luò)無連接特性,不需要進(jìn)行協(xié)議間的多層封裝,去除了不必要的開銷和冗余。
(2)借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議),可以提供良好的擴(kuò)展性和適應(yīng)性,實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容,具有IEEE標(biāo)準(zhǔn),和以太網(wǎng)標(biāo)準(zhǔn)同源,可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合,幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備,包括路由器、交換機(jī)和無線AP上都提供對(duì)該協(xié)議的支持。
(3)802.1X的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能,從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制,業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換,通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。
(4)可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本,并有豐富的業(yè)務(wù)支持;
(5)可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN,可以使交換端口和WLAN具有安全的認(rèn)證接入功能。
1.3 802.1x工作過程
(1)當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序,輸入已經(jīng)申請(qǐng)、登記過的用戶名和口令,發(fā)起連接請(qǐng)求。此時(shí),客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī),開始啟動(dòng)一次認(rèn)證過程。
(2)交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?nbsp;
(3)客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶名信息通過數(shù)據(jù)幀送給交換機(jī)。
(4)交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。
(5)認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表相比對(duì),找到該用戶名對(duì)應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字傳送給交換機(jī),由交換機(jī)傳給客戶端程序。
(6)客戶端程序收到由交換機(jī)傳來的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的),并通過交換機(jī)傳給認(rèn)證服務(wù)器。
(7)認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對(duì)比,如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息,并向交換機(jī)發(fā)出打開端口的指令,允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持交換機(jī)端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。
2、 PPPOE認(rèn)證方式
PPPOE:point-to-point protocol over ethernet(以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議),可以使以太網(wǎng)的主機(jī)通過一個(gè)簡(jiǎn)單的橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上。
PPP:Point to Point Protocol(點(diǎn)到點(diǎn)協(xié)議)。它是TCP/IP網(wǎng)絡(luò)協(xié)議集的成員之一,也可以認(rèn)為PPP是對(duì)TCP/IP的一個(gè)擴(kuò)展,它增加了兩組有用的功能,使得TCP/IP信息包能夠通過串行鏈路來傳輸,以適用于WAN(廣域網(wǎng))。
PPP是為串行通信設(shè)計(jì)的,現(xiàn)在它與以太網(wǎng)(Ethernet)相結(jié)合,成為在以太網(wǎng)絡(luò)中轉(zhuǎn)播PPP幀信息的技術(shù),也稱PPP over Ethernet,即PPPoE協(xié)議。
使用串行鏈路的ISP在調(diào)制解調(diào)器通信上使用PPP協(xié)議,同時(shí)PPPoE允許ISP們對(duì)用戶的登錄安全進(jìn)行控制和測(cè)量用戶流量,因此對(duì)于PPPoE協(xié)議主要由DSL提供商使用。對(duì)于校園網(wǎng)這種以太網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),一般不采用這種認(rèn)證方式,但是相對(duì)于其他的認(rèn)證方式,可以作為一個(gè)很好的補(bǔ)充。
3、 PPTF認(rèn)證方式
PPTP:點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP: Point to Point Tunneling Protocol),是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),它工作在第二層。通過該協(xié)議,遠(yuǎn)程用戶能夠通過 Microsoft Windows 系列操作系統(tǒng)以及其它裝有點(diǎn)對(duì)點(diǎn)協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡(luò),并能撥號(hào)連入本地 ISP,通過 Internet 安全鏈接到內(nèi)部網(wǎng)絡(luò)。
該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開發(fā)的一種新的增強(qiáng)型安全協(xié)議,支持多協(xié)議虛擬專用網(wǎng)(VPN),可以通過密碼身份驗(yàn)證協(xié)議(PAP)、可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)等方法增強(qiáng)安全性??梢允惯h(yuǎn)程用戶通過撥入ISP、通過直接連接Internet或其他網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。
4、 WEB認(rèn)證方式
WEB認(rèn)證接入方式采用重定向技術(shù),客戶端無需安裝任何軟件,用戶只需打開瀏覽器,輸入任意網(wǎng)址就會(huì)彈出認(rèn)證界面,引導(dǎo)用戶輸入用戶名密碼進(jìn)行認(rèn)證,合法用戶認(rèn)證通過后可以正常訪問網(wǎng)絡(luò),非法用戶的網(wǎng)絡(luò)訪問被拒絕。
WEB認(rèn)證接入技術(shù)組網(wǎng)方式靈活,客戶維護(hù)成本低,適應(yīng)各種網(wǎng)絡(luò)環(huán)境,可以實(shí)現(xiàn)用戶名、IP 地址和Mac 地址的綁定,方便運(yùn)營(yíng)維護(hù)。
5、 小結(jié)
目前高校網(wǎng)絡(luò)認(rèn)證方式主要為WEB認(rèn)證方式、802.1X認(rèn)證方式。使用WEB認(rèn)證方式可以方便部署,不需要更改交換機(jī)配置,隨時(shí)部署隨時(shí)生效,用戶不需要安裝客戶端。而存在的問題主要是不能對(duì)局域網(wǎng)絡(luò)準(zhǔn)入進(jìn)行很好的控制,由于內(nèi)網(wǎng)用戶數(shù)據(jù)包在接入內(nèi)部,僅訪問內(nèi)部服務(wù)器和局域網(wǎng)用戶時(shí),數(shù)據(jù)包不需要經(jīng)過認(rèn)證服務(wù)器,那么數(shù)據(jù)包在整個(gè)局域網(wǎng)內(nèi)部是合法的,校內(nèi)的所有公共服務(wù)器資源,局域網(wǎng)內(nèi)共享資源都是可達(dá)的,這樣造成局域網(wǎng)內(nèi)部上網(wǎng)用戶混亂,會(huì)出現(xiàn)IP地址沖突、病毒攻擊等上網(wǎng)中斷,導(dǎo)致正常用戶無法正常上網(wǎng)。802.1X認(rèn)證方式需要對(duì)交換機(jī)進(jìn)行配置,所有交換機(jī)需要配置AAA認(rèn)證,使交換機(jī)可以和認(rèn)證服務(wù)器進(jìn)行數(shù)據(jù)交換,整個(gè)校園網(wǎng)部署過程比較繁瑣,當(dāng)服務(wù)器因IP地址進(jìn)行變動(dòng)或更換地理位置時(shí),就需要對(duì)整個(gè)校園網(wǎng)接入交換機(jī)進(jìn)行重新配置。但是這樣的優(yōu)點(diǎn)是,可以保證每一個(gè)上網(wǎng)用戶都是合法的,即使在校園網(wǎng)內(nèi)部也同樣需要認(rèn)證。對(duì)兩種認(rèn)證方式的特點(diǎn)比較,就會(huì)得到如表1所示內(nèi)容。
兩種認(rèn)證方式都可以部署在橋接的方式,所以橋接的方式下可以實(shí)現(xiàn)混合認(rèn)證,根據(jù)不同用戶類型,制定不同的準(zhǔn)入方案,但是旁路的方式只能使用802.1X的認(rèn)證方式。由于信息化的高速發(fā)展,帶寬的不斷增加,上網(wǎng)人數(shù)激增,導(dǎo)致在主干線路上的數(shù)據(jù)流量十分龐大,對(duì)于串入主干上的設(shè)備就要求其安全、穩(wěn)定、高效。通常我們?cè)谥鞲缮嫌蟹阑饓Α⒙酚善鳌⒑诵慕粨Q、流控等設(shè)備,每個(gè)串入一臺(tái)設(shè)備都會(huì)對(duì)網(wǎng)絡(luò)或多或少的影響,所以盡量還是要使用旁路部署。
欄目分類
- 再論AI對(duì)人的異化
- 人工智能時(shí)代算法傳播的倫理失范問題及其治理對(duì)策研究
- 鋼鐵行業(yè)成本預(yù)算系統(tǒng)開發(fā)應(yīng)用實(shí)踐
- 基于區(qū)塊鏈的零信任網(wǎng)絡(luò)安全架構(gòu)
- 新時(shí)期CDN帶寬預(yù)測(cè)及運(yùn)營(yíng)部署方案研究
- 電動(dòng)汽車充電站智能監(jiān)控系統(tǒng)的質(zhì)量控制標(biāo)準(zhǔn)和實(shí)施策略
- 裝載機(jī)怠速提升動(dòng)臂抖動(dòng)故障的分析與解決措施
- 測(cè)量技術(shù)與測(cè)繪技術(shù)在公路橋梁工程中的應(yīng)用分析
- 基于物聯(lián)網(wǎng)的建筑電氣設(shè)備安全智能監(jiān)測(cè)系統(tǒng)設(shè)計(jì)
- 5G ToB行業(yè)專網(wǎng)規(guī)劃設(shè)計(jì)方法研究
- 官方認(rèn)定!CSSCI南大核心首批191家“青年學(xué)者友好期刊名單”
- 2023JCR影響因子正式公布!
- 國(guó)內(nèi)核心期刊分級(jí)情況概覽及說明!本篇適用人群:需要發(fā)南核、北核、CSCD、科核、AMI、SCD、RCCSE期刊的學(xué)者
- 我用了一個(gè)很復(fù)雜的圖,幫你們解釋下“23版最新北大核心目錄有效期問題”。
- 重磅!CSSCI來源期刊(2023-2024版)最新期刊目錄看點(diǎn)分析!全網(wǎng)首發(fā)!
- CSSCI官方早就公布了最新南核目錄,有心的人已經(jīng)拿到并且投入使用!附南核目錄新增期刊!
- 北大核心期刊目錄換屆,我們應(yīng)該熟知的10個(gè)知識(shí)點(diǎn)。
- 注意,最新期刊論文格式標(biāo)準(zhǔn)已發(fā)布,論文寫作規(guī)則發(fā)生重大變化!文字版GB/T 7713.2—2022 學(xué)術(shù)論文編寫規(guī)則
- 盤點(diǎn)那些評(píng)職稱超管用的資源,1,3和5已經(jīng)“絕種”了
- 職稱話題| 為什么黨校更認(rèn)可省市級(jí)黨報(bào)?是否有什么說據(jù)?還有哪些機(jī)構(gòu)認(rèn)可黨報(bào)?