利用802.1x協議實現局域網接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協議可以為企業內聯網提供一種安全的用戶管理方式。本文介紹了802．1x協議體系結構，重點分析了協議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業局域網接入中實際

。為支持基于端口的接入控制，客戶端系統需支持EAPOL（Extensible Authentication Protocol Over LAN）協議。

認證系統通常為支持IEEE 802.1x協議的網絡設備。該設備對應于不同用戶的端口（可以是物理端口，也可以是用戶設備的MAC地址、VLAN、IP等）有兩個邏輯端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始終處于雙向連通狀態，主要用來傳遞 EAPOL 協議幀，可保證客戶端始終可以發出或接受認證。受控端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用環境。如果用戶未通過認證，則受控端口處于未認證狀態，則用戶無法訪問認證系統提供的服務。認證系統的端口訪問實體通過不受控端口與客戶端端口訪問實體進行通信，二者之間運行EAPoL協議。認證系統的端口訪問實體與認證服務器之間運行EAP協議。EAP協議并不是認證系統和認證服務器通信的唯一方式，其他的通信通道也可以使用。例如，如果認證系統和認證服務器集成在一起，2個實體之間的通信就可以不采用EAP協議。

認證服務器通常為RADIUS服務器，該服務器可以存儲有關用戶的信息。例如，用戶的賬號、密碼以及用戶所屬的VLAN、CAR參數，優先級，用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續流量將接受上述參數的監管。認證服務器和RADIUS服務器之間通過EAP協議進行通信。

2．3　802．1x協議的工作機制

802．1x協議工作機制如圖3所示。由圖3可見，認證的發起可以由用戶主動發起，也可以由認證系統發起。當認證系統探測到未經過認證的用戶使用網絡，就會主動發起認證；用戶端則可以通過客戶端軟件向認證系統發送EAPoL－Start開始報文發起認證。由客戶端發送EAPoL退出報文，主動下線，退出已認證狀態的直接結果就是導致用戶下線，如果用戶要繼續上網則要再發起一個認證過程。

圖3 802.1x協議的工作機制

Fig.3 working mechanism of 802.1x protocol

為了保證用戶和認證系統之間的鏈路處于激活狀態，而不因為用戶端設備發生故障造成異常死機，認證系統可以定期發起重新認證過程，該過程對于用戶是透明的，即用戶無需再次輸入用戶名／密碼。重新認證由認證系統發起，時間從最近一次成功認證后算起。重新認證時間默認值為3600 s，而且默認重新認證是關閉的。

對于認證系統和客戶端之間通信的EAP報文，如果發生丟失，由認證系統負責進行報

上一頁 1 2 3 4 5 6 7 下一頁