鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 电脑学堂 > 网吧技术 > >

网络知识进阶之:新方法实现802.1x认证

来源:互联网 作者:佚名 时间:2015-06-19 04:35
802.1x技术分析 802.1x为IEEE Std 802.1x-2001基于端口的访问控制协议,可以克服PPPoE方式带来的诸多问题,并避免引入宽带接入服务器所带来的巨大投资。802.1x协议限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前,80

802.1x技术分析

802.1x为IEEE Std 802.1x-2001基于端口的访问控制协议,可以克服PPPoE方式带来的诸多问题,并避免引入宽带接入服务器所带来的巨大投资。802.1x协议限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口。认证通过以后,正常的数据可以顺利地通过以太网端口。

802.1x协议体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。如图1所示。

图 1

客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL协议。Windows XP操作系统中已经包含了802.1x认证的客户端软件。

认证系统通常为支持802.1x协议的网络设备,如802.1x交换机。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)。

认证服务器通常为radius服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和radius服务器之间通过EAP协议进行通信。

二层交换机上实现802.1x认证

现在大部分厂商的接入交换机都支持802.1x协议,有的还支持本地认证,这就使抛开radius服务器,在接入交换机上进行用户认证成为可能。

下面以Quidway S3026为例,介绍利用内置radius server来实现接入交换机上的用户认证。

在S3026的出厂设置中已经配置了本地的认证服务器和域:

radius scheme system
server-type huawei
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
domain system
radius-scheme system
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain default enable system
local-server nas-ip 127.0.0.1 key huawei

网友评论
<