利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點(diǎn)擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點(diǎn)分析了協(xié)議的工作原理及機(jī)制，并與目前流行的寬帶認(rèn)證方式進(jìn)行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實(shí)際

02．1x協(xié)議在企業(yè)局域網(wǎng)接入中的應(yīng)用

以企業(yè)局域網(wǎng)有線以太網(wǎng)及WLAN接入為例，探討802．1x協(xié)議在企業(yè)局域網(wǎng)用戶接入中的應(yīng)用。

局域以太網(wǎng)接入中應(yīng)用802．1x協(xié)議并不復(fù)雜，只要接入所用交換機(jī)及無線AP支持802．1x協(xié)議即可，后端配置Radius 認(rèn)證服務(wù)器及DHCP服務(wù)器，以完成用戶接入認(rèn)證及IP地址分配功能。

下圖是一個基于802．1 x協(xié)議認(rèn)證接入的大樓局域網(wǎng)拓?fù)鋱D。這種方案和普通交換機(jī)接入方案在性能上是完全等效的，但是在安全性方面有普通方案無可比擬的優(yōu)點(diǎn)。

需要指出的是，用戶發(fā)出認(rèn)證報文，是使用特定的組播MAC地址，設(shè)備發(fā)送用戶的報文使用單播MAC地址，解決了認(rèn)證報文的廣播的問題，其他用戶不能偵聽到認(rèn)證過程，從而無法知道用戶的密碼、賬號，無法知道用戶的MAC地址。

認(rèn)證通過后的MAC地址與端口進(jìn)行綁定。在通信過程中，可以保證用戶使用網(wǎng)絡(luò)的路徑是唯一的。這樣，通過認(rèn)證的用戶的數(shù)據(jù)包就不會泄露，保證了用戶數(shù)據(jù)的安全性。

五、802.1認(rèn)證配置

下面就上圖的方案給出配置方法：

5.1 客戶端配置

有線客戶端：

第一次連接到交換機(jī)，沒有配置802.1X認(rèn)證的PC機(jī)會被劃入GuestVLAN 100中，在這個VLAN中，用戶只能依照網(wǎng)絡(luò)設(shè)定的策略進(jìn)行相應(yīng)的訪問行為。

管理員應(yīng)為客戶進(jìn)行以下操作：

啟用802.1X認(rèn)證：在網(wǎng)卡屬性的“認(rèn)證”夾中選中“Enable IEEE 802.1x authentication for this network”，并選擇EAP類型為：Protect EAP(PEAP)。點(diǎn)擊配置Secure Password(EAP-MSCHAP v2)，確保“Automatically use my windows logon name and password(and domain if any).”已經(jīng)選中。

配置完成之后重新連接到網(wǎng)絡(luò)，客戶端應(yīng)能順利通過認(rèn)證并被劃入指定的VLAN。

無線客戶端：

對于無線客戶端，管理員需要進(jìn)行以下的操作才能正常使用網(wǎng)絡(luò)：

設(shè)置無線連接：

啟用802.1X認(rèn)證：

5.2 網(wǎng)絡(luò)設(shè)備配置

交換機(jī)配置包括接入交換機(jī)的配置和核心交換機(jī)的配置。

接入交換機(jī)Cisco3550配置：（負(fù)責(zé)802.1X認(rèn)證和接入）

首先啟用AAA認(rèn)證模型，配置RADIUS服務(wù)器接口參數(shù)：

aaa new-model

username cisco password 0 cisco

aaa authentication login default group radius local

radius-server host 172.24.64.222 auth-port 1812 acct-port 1813 key cisco

radius-server retransmit 3

radius-server vsa send accounting

radius-server vsa send authentication

配置802.1X認(rèn)證（包括全局配置和端口配置）：

dot1x system-auth-control

aaa authentication dot1x default group radius

aaa authorization network default group radius

interface FastEthernet1/0/1

switchport mode access

no ip address

上一頁 1 2 3 4 5 6 7 下一頁

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊