優(yōu)勝?gòu)倪x擇開始,我們是您最好的選擇!—— 中州期刊聯(lián)盟(新鄉(xiāng)市博翰文化傳媒有限公司)
0373-5939925
2851259250@qq.com
我要檢測(cè) 我要投稿 合法期刊查詢
您的位置:網(wǎng)站首頁 > 優(yōu)秀論文 > 正文

基于802.1X的校園網(wǎng)準(zhǔn)入控制方式

作者:蘇強(qiáng)林,劉小娜來源:《河南機(jī)電高等專科學(xué)校學(xué)報(bào)》日期:2014-11-30人氣:2773

    一般情況下,根據(jù)認(rèn)證服務(wù)器的部署位置的不同,可以采用WEB方式、802.1X方式、PPPoE方式、PPTP認(rèn)證方式等。

1、 802.1X認(rèn)證方式

    802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn),它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。802.1x協(xié)議是基于C/S的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶或設(shè)備通過接入端口(access port)訪問局域網(wǎng)(LAN)及無線網(wǎng)絡(luò)(WLAN)。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶進(jìn)行認(rèn)證[2]。在認(rèn)證通過之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口,物理端口收到的每個(gè)幀都被送到受控和不受控端口。其中,不受控端口始終處于雙向聯(lián)通狀態(tài),主要用于傳輸認(rèn)證信息,而受控端口的聯(lián)通或斷開是由該端口的授權(quán)狀態(tài)決定的。802.1X的體系結(jié)構(gòu)如圖所示:

1.1 RADIUS協(xié)議

    RADIUS:Remote Authentication Dial In User Service(遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)),由RFC2865,RFC2866定義,是目前應(yīng)用最廣泛的AAA協(xié)議。IEEE提出的802.1x標(biāo)準(zhǔn),在認(rèn)證時(shí)采用RADIUS協(xié)議。

    RADIUS是一種C/S結(jié)構(gòu)的協(xié)議,它的客戶端最初就是NAS(Net Access Server)服務(wù)器,現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端[1]。RADIUS協(xié)議認(rèn)證機(jī)制靈活,可以采用PAP、CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議,它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的,因此RADIUS也支持廠商擴(kuò)充廠家專有屬性。

    由于RADIUS協(xié)議簡(jiǎn)單明確,可擴(kuò)充,因此得到了廣泛應(yīng)用,包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN(Virtual Private Dialup Networks,基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù))、移動(dòng)電話預(yù)付費(fèi)等業(yè)務(wù)。

1.2  802.1x認(rèn)證特點(diǎn)

(1)802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本,不會(huì)增加匯聚交換機(jī)的交換壓力。純以太網(wǎng)技術(shù)內(nèi)核,保持了IP網(wǎng)絡(luò)無連接特性,不需要進(jìn)行協(xié)議間的多層封裝,去除了不必要的開銷和冗余。

(2)借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議),可以提供良好的擴(kuò)展性和適應(yīng)性,實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容,具有IEEE標(biāo)準(zhǔn),和以太網(wǎng)標(biāo)準(zhǔn)同源,可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合,幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備,包括路由器、交換機(jī)和無線AP上都提供對(duì)該協(xié)議的支持。

(3)802.1X的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能,從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制,業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換,通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。

(4)可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本,并有豐富的業(yè)務(wù)支持;

(5)可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN,可以使交換端口和WLAN具有安全的認(rèn)證接入功能。

1.3  802.1x工作過程

(1)當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序,輸入已經(jīng)申請(qǐng)、登記過的用戶名和口令,發(fā)起連接請(qǐng)求。此時(shí),客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī),開始啟動(dòng)一次認(rèn)證過程。 

(2)交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?nbsp;

(3)客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶名信息通過數(shù)據(jù)幀送給交換機(jī)。

(4)交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。 

(5)認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表相比對(duì),找到該用戶名對(duì)應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字傳送給交換機(jī),由交換機(jī)傳給客戶端程序。 

(6)客戶端程序收到由交換機(jī)傳來的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的),并通過交換機(jī)傳給認(rèn)證服務(wù)器。 

(7)認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對(duì)比,如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息,并向交換機(jī)發(fā)出打開端口的指令,允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持交換機(jī)端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

2、 PPPOE認(rèn)證方式

    PPPOE:point-to-point protocol over ethernet(以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議),可以使以太網(wǎng)的主機(jī)通過一個(gè)簡(jiǎn)單的橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上。

    PPP:Point to Point Protocol(點(diǎn)到點(diǎn)協(xié)議)。它是TCP/IP網(wǎng)絡(luò)協(xié)議集的成員之一,也可以認(rèn)為PPP是對(duì)TCP/IP的一個(gè)擴(kuò)展,它增加了兩組有用的功能,使得TCP/IP信息包能夠通過串行鏈路來傳輸,以適用于WAN(廣域網(wǎng))。

    PPP是為串行通信設(shè)計(jì)的,現(xiàn)在它與以太網(wǎng)(Ethernet)相結(jié)合,成為在以太網(wǎng)絡(luò)中轉(zhuǎn)播PPP幀信息的技術(shù),也稱PPP over Ethernet,即PPPoE協(xié)議。

    使用串行鏈路的ISP在調(diào)制解調(diào)器通信上使用PPP協(xié)議,同時(shí)PPPoE允許ISP們對(duì)用戶的登錄安全進(jìn)行控制和測(cè)量用戶流量,因此對(duì)于PPPoE協(xié)議主要由DSL提供商使用。對(duì)于校園網(wǎng)這種以太網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),一般不采用這種認(rèn)證方式,但是相對(duì)于其他的認(rèn)證方式,可以作為一個(gè)很好的補(bǔ)充。

3、 PPTF認(rèn)證方式

    PPTP:點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP: Point to Point Tunneling Protocol),是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),它工作在第二層。通過該協(xié)議,遠(yuǎn)程用戶能夠通過 Microsoft Windows 系列操作系統(tǒng)以及其它裝有點(diǎn)對(duì)點(diǎn)協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡(luò),并能撥號(hào)連入本地 ISP,通過 Internet 安全鏈接到內(nèi)部網(wǎng)絡(luò)。

    該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開發(fā)的一種新的增強(qiáng)型安全協(xié)議,支持多協(xié)議虛擬專用網(wǎng)(VPN),可以通過密碼身份驗(yàn)證協(xié)議(PAP)、可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)等方法增強(qiáng)安全性??梢允惯h(yuǎn)程用戶通過撥入ISP、通過直接連接Internet或其他網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。

4、 WEB認(rèn)證方式

    WEB認(rèn)證接入方式采用重定向技術(shù),客戶端無需安裝任何軟件,用戶只需打開瀏覽器,輸入任意網(wǎng)址就會(huì)彈出認(rèn)證界面,引導(dǎo)用戶輸入用戶名密碼進(jìn)行認(rèn)證,合法用戶認(rèn)證通過后可以正常訪問網(wǎng)絡(luò),非法用戶的網(wǎng)絡(luò)訪問被拒絕。

    WEB認(rèn)證接入技術(shù)組網(wǎng)方式靈活,客戶維護(hù)成本低,適應(yīng)各種網(wǎng)絡(luò)環(huán)境,可以實(shí)現(xiàn)用戶名、IP 地址和Mac 地址的綁定,方便運(yùn)營(yíng)維護(hù)。

5、 小結(jié)

    目前高校網(wǎng)絡(luò)認(rèn)證方式主要為WEB認(rèn)證方式、802.1X認(rèn)證方式。使用WEB認(rèn)證方式可以方便部署,不需要更改交換機(jī)配置,隨時(shí)部署隨時(shí)生效,用戶不需要安裝客戶端。而存在的問題主要是不能對(duì)局域網(wǎng)絡(luò)準(zhǔn)入進(jìn)行很好的控制,由于內(nèi)網(wǎng)用戶數(shù)據(jù)包在接入內(nèi)部,僅訪問內(nèi)部服務(wù)器和局域網(wǎng)用戶時(shí),數(shù)據(jù)包不需要經(jīng)過認(rèn)證服務(wù)器,那么數(shù)據(jù)包在整個(gè)局域網(wǎng)內(nèi)部是合法的,校內(nèi)的所有公共服務(wù)器資源,局域網(wǎng)內(nèi)共享資源都是可達(dá)的,這樣造成局域網(wǎng)內(nèi)部上網(wǎng)用戶混亂,會(huì)出現(xiàn)IP地址沖突、病毒攻擊等上網(wǎng)中斷,導(dǎo)致正常用戶無法正常上網(wǎng)。802.1X認(rèn)證方式需要對(duì)交換機(jī)進(jìn)行配置,所有交換機(jī)需要配置AAA認(rèn)證,使交換機(jī)可以和認(rèn)證服務(wù)器進(jìn)行數(shù)據(jù)交換,整個(gè)校園網(wǎng)部署過程比較繁瑣,當(dāng)服務(wù)器因IP地址進(jìn)行變動(dòng)或更換地理位置時(shí),就需要對(duì)整個(gè)校園網(wǎng)接入交換機(jī)進(jìn)行重新配置。但是這樣的優(yōu)點(diǎn)是,可以保證每一個(gè)上網(wǎng)用戶都是合法的,即使在校園網(wǎng)內(nèi)部也同樣需要認(rèn)證。對(duì)兩種認(rèn)證方式的特點(diǎn)比較,就會(huì)得到如表1所示內(nèi)容。

    兩種認(rèn)證方式都可以部署在橋接的方式,所以橋接的方式下可以實(shí)現(xiàn)混合認(rèn)證,根據(jù)不同用戶類型,制定不同的準(zhǔn)入方案,但是旁路的方式只能使用802.1X的認(rèn)證方式。由于信息化的高速發(fā)展,帶寬的不斷增加,上網(wǎng)人數(shù)激增,導(dǎo)致在主干線路上的數(shù)據(jù)流量十分龐大,對(duì)于串入主干上的設(shè)備就要求其安全、穩(wěn)定、高效。通常我們?cè)谥鞲缮嫌蟹阑饓Α⒙酚善鳌⒑诵慕粨Q、流控等設(shè)備,每個(gè)串入一臺(tái)設(shè)備都會(huì)對(duì)網(wǎng)絡(luò)或多或少的影響,所以盡量還是要使用旁路部署。

網(wǎng)絡(luò)客服QQ: 沈編輯

投訴建議:0373-5939925????投訴建議QQ:

招聘合作:2851259250@qq.com (如您是期刊主編、文章高手,可通過郵件合作)

地址:河南省新鄉(xiāng)市金穗大道東段266號(hào)中州期刊聯(lián)盟 ICP備案號(hào):豫ICP備2020036848

【免責(zé)聲明】:中州期刊聯(lián)盟所提供的信息資源如有侵權(quán)、違規(guī),請(qǐng)及時(shí)告知。

版權(quán)所有:中州期刊聯(lián)盟(新鄉(xiāng)市博翰文化傳媒有限公司)

關(guān)注”中州期刊聯(lián)盟”公眾號(hào)
了解論文寫作全系列課程

核心期刊為何難發(fā)?

論文發(fā)表總嫌貴?

職院?jiǎn)挝话l(fā)核心?

掃描關(guān)注公眾號(hào)

論文發(fā)表不再有疑惑

論文寫作全系列課程

掃碼了解更多

輕松寫核心期刊論文

在線留言