基于802.1x協(xié)議的認(rèn)證網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)

邱 亮，儲(chǔ)久良

（1.南京師范大學(xué)泰州學(xué)院 教育技術(shù)中心，江蘇 泰州 225300；2.南京理工大學(xué)泰州科技學(xué)院 現(xiàn)代教育技術(shù)中心，江蘇 泰州 225300）

高校校園網(wǎng)一般由服務(wù)器區(qū)、辦公區(qū)、教學(xué)區(qū)、宿舍區(qū)、家屬區(qū)組成，其中學(xué)生宿舍網(wǎng)絡(luò)在運(yùn)行和管理上有著它不同的特點(diǎn)與要求，為了做到對(duì)宿舍網(wǎng)絡(luò)接入用戶(hù)進(jìn)行有效地認(rèn)證和安全管理，我們對(duì)宿舍區(qū)使用了802.1x技術(shù)，它的優(yōu)點(diǎn)是認(rèn)證效率高、安全性高。計(jì)費(fèi)方面，我們選擇了H3C的Cams計(jì)費(fèi)系統(tǒng)。文中介紹了802.1x認(rèn)證環(huán)境下，H3C的交換機(jī)和Cams認(rèn)證計(jì)費(fèi)系統(tǒng)的配置與部署方案。

1 IEEE 802.1x協(xié)議介紹

IEEE 802.1x全稱(chēng)為 “基于端口的訪問(wèn)控制協(xié)議（Port based Network Access Control Protocol）”。 它提供了一種基于物理端口的網(wǎng)絡(luò)接入控制技術(shù)，通過(guò)將交換機(jī)的物理端口標(biāo)記為“受控”和“不受控”兩種邏輯端口，對(duì)接入用戶(hù)進(jìn)行訪問(wèn)控制，從而實(shí)現(xiàn)網(wǎng)絡(luò)的安全認(rèn)證。

1.1 802.1x的體系結(jié)構(gòu)

802.1 x認(rèn)證體系為典型的Client/Server結(jié)構(gòu)，包括3個(gè)組成部分：客戶(hù)端（Client）、設(shè)備端（Device）和認(rèn)證服務(wù)器（Server）。 如圖 1 所示[1]。

1）客戶(hù)端通常為一個(gè)用戶(hù)終端設(shè)備，用戶(hù)可以通過(guò)啟動(dòng)客戶(hù)端軟件發(fā)起802.1x認(rèn)證?？蛻?hù)端必須支持EAPOL（Extensible Authentication Protocol over LAN，局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議）。

2）設(shè)備端通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶(hù)端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。

3）認(rèn)證服務(wù)器用于實(shí)現(xiàn)對(duì)用戶(hù)進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)，通常為 RADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)）服務(wù)器。

圖1 802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)Fig.1 System architecture of 802.1x certification

1.2 802.1x的認(rèn)證過(guò)程

802.1 x的認(rèn)證分為如下8個(gè)步驟[2]：

1）用戶(hù)運(yùn)行802.1x客戶(hù)端程序，輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶(hù)名和密碼，發(fā)起連接請(qǐng)求，此時(shí)，客戶(hù)端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給設(shè)備端，開(kāi)始啟動(dòng)認(rèn)證過(guò)程；

2）設(shè)備端收到客戶(hù)端發(fā)來(lái)的認(rèn)證請(qǐng)求后，將向客戶(hù)端發(fā)出一個(gè)新的請(qǐng)求，要求用戶(hù)客戶(hù)端程序發(fā)送輸入的用戶(hù)名；

3）客戶(hù)端程序響應(yīng)設(shè)備端發(fā)出的請(qǐng)求，將用戶(hù)名信息發(fā)送給設(shè)備端。設(shè)備端將客戶(hù)端發(fā)送的數(shù)據(jù)經(jīng)過(guò)封包處理后（RADIUS報(bào)文）送給認(rèn)證服務(wù)器進(jìn)行處理；

4）RADIUS服務(wù)器收到設(shè)備端轉(zhuǎn)發(fā)的用戶(hù)名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶(hù)名表對(duì)比，找到該用戶(hù)名對(duì)應(yīng)的密碼信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字發(fā)送給設(shè)備端，由設(shè)備端轉(zhuǎn)發(fā)給客戶(hù)端程序；

5）客戶(hù)端程序收到由設(shè)備端傳來(lái)的加密字后，用該加密字對(duì)密碼部分進(jìn)行加密處理 （此種加密算法通常是不可逆的），并通過(guò)設(shè)備端傳給認(rèn)證服務(wù)器；

6）RADIUS服務(wù)器將收到的已加密的密碼信息和本地經(jīng)過(guò)加密運(yùn)算后的密碼信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶(hù)為合法用戶(hù)，反饋認(rèn)證通過(guò)的消息；

7）設(shè)備端收到認(rèn)證通過(guò)消息后將端口改為授權(quán)狀態(tài)，允許用戶(hù)通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。在此期間，設(shè)備端會(huì)向客戶(hù)端定期發(fā)送握手報(bào)文，對(duì)用戶(hù)的在線情況進(jìn)行監(jiān)測(cè)。缺省情況下，兩次握手請(qǐng)求報(bào)文都得不到客戶(hù)端應(yīng)答，設(shè)備端就會(huì)讓用戶(hù)下線，防止用戶(hù)因?yàn)楫惓Ｔ蛳戮€而設(shè)備無(wú)法感知；

8）客戶(hù)端也可以發(fā)送請(qǐng)求給設(shè)備端，主動(dòng)要求下線。設(shè)備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)。

2 802.1x協(xié)議的組網(wǎng)設(shè)計(jì)

按照不同的組網(wǎng)方式，802.1x認(rèn)證可以采用集中式組網(wǎng)、分布式組網(wǎng)兩種形式。二者的區(qū)別在于認(rèn)證系統(tǒng)實(shí)現(xiàn)的位置不同。其中802.1x分布式組網(wǎng)是把802.1x認(rèn)證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個(gè)交換機(jī)設(shè)備上，這些交換機(jī)作為接入層邊緣設(shè)備。認(rèn)證報(bào)文送給邊緣設(shè)備，進(jìn)行802.1x認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于，它采用中/高端設(shè)備與低端設(shè)備認(rèn)證相結(jié)合的方式，可滿(mǎn)足復(fù)雜網(wǎng)絡(luò)環(huán)境的認(rèn)證。認(rèn)證任務(wù)分配到眾多的設(shè)備上，減輕了中心設(shè)備的負(fù)荷[3]。一般高校宿舍網(wǎng)絡(luò)都采用分布式組網(wǎng)方式。如圖2所示。

圖2 802.1x分布式組網(wǎng)圖Fig.2 Diagram of 802.1x distributed network

2.1 相關(guān)設(shè)備的配置

1）設(shè)備端以H3C E352交換機(jī)為例，E352作為接入層交換機(jī)使用。具體配置如下：

2）認(rèn)證服務(wù)器以H3C-Cams認(rèn)證計(jì)費(fèi)系統(tǒng)為例。將所有參與802.1x認(rèn)證的接入交換機(jī)添加到Cams系統(tǒng)的接入設(shè)備選項(xiàng)中，并指定此交換機(jī)的密鑰、端口、協(xié)議類(lèi)型等信息與接入交換機(jī)上Radius的配置信息一致。如圖3所示。

圖3 Cams系統(tǒng)接入設(shè)備配置圖Fig.3 Access device configuration diagram of cams

3）DHCP服務(wù)的建立有兩種方式：第一種，可以采用架設(shè)DHCP服務(wù)器，在匯聚交換機(jī)上設(shè)置DHCP中繼的方法實(shí)現(xiàn)自動(dòng)獲取IP功能；第二種如果匯聚交換機(jī)支持建立DHCP服務(wù)，并且在性能滿(mǎn)足的情況下，可以直接在匯聚交換機(jī)上啟用DHCP服務(wù)來(lái)實(shí)現(xiàn)。筆者建議使用第二種方式，因?yàn)槠涔?jié)省資源且管理方便。另外在接入層交換機(jī)上啟用DHCPSnooping和ARP檢測(cè)功能，可以有效防范ARP病毒的攻擊。

2.2 快速部署功能的實(shí)現(xiàn)

根據(jù)以上配置已基本實(shí)現(xiàn)802.1x的認(rèn)證過(guò)程，用戶(hù)使用客戶(hù)端軟件發(fā)出認(rèn)證請(qǐng)求，如果賬號(hào)信息通過(guò)認(rèn)證服務(wù)器的認(rèn)證，即可訪問(wèn)互聯(lián)網(wǎng)資源。但用戶(hù)在802.1x認(rèn)證成功之前（包括認(rèn)證失?。┤绾畏奖愕叵螺d客戶(hù)端軟件，如何及時(shí)地了解最新的校園網(wǎng)絡(luò)服務(wù)信息，就需要利用快速部署功能來(lái)實(shí)現(xiàn)。

快速部署可以實(shí)現(xiàn)如下功能[4]：

1）終端用戶(hù)在未成功認(rèn)證之前只能訪問(wèn)一個(gè)特定的IP地址段。該IP地址段中可以配置一個(gè)或多個(gè)特定服務(wù)器，用于提供客戶(hù)端的下載升級(jí)或者動(dòng)態(tài)地址分配等服務(wù)。

2）終端用戶(hù)在未成功認(rèn)證之前，如果使用IE瀏覽器訪問(wèn)網(wǎng)絡(luò)時(shí)，設(shè)備會(huì)將用戶(hù)訪問(wèn)的URL強(qiáng)制重定向到管理員預(yù)先配置好的服務(wù)頁(yè)面，用戶(hù)可以通過(guò)該服務(wù)頁(yè)面進(jìn)行客戶(hù)端的下載、安裝工作。通常情況下，高校宿舍網(wǎng)絡(luò)一般將服務(wù)頁(yè)面設(shè)置為用戶(hù)自助服務(wù)頁(yè)面，通過(guò)此頁(yè)面用戶(hù)不但可以下載最新客戶(hù)端，也可以實(shí)現(xiàn)用戶(hù)預(yù)注冊(cè)、認(rèn)證計(jì)費(fèi)信息查詢(xún)、找回密碼、修改MAC地址等功能。此功能幫助IT人員省時(shí)省力省心，提高了工作效率。

快速部署功能的交換機(jī)配置如下：

2.3 性能優(yōu)化及安全配置

1）當(dāng)網(wǎng)絡(luò)接入設(shè)備性能不佳或認(rèn)證并發(fā)用戶(hù)過(guò)多時(shí)，接入交換機(jī)與客戶(hù)端偶爾會(huì)失去聯(lián)系，導(dǎo)致用戶(hù)意外掉線。默認(rèn)情況下接入交換機(jī)和在線用戶(hù)兩次握手請(qǐng)求失敗后，即認(rèn)定用戶(hù)已下線[5]。此情況我們可以通過(guò)增加接入交換機(jī)與用戶(hù)客戶(hù)端之間握手報(bào)文發(fā)送的周期和次數(shù)，以保證用戶(hù)網(wǎng)絡(luò)的穩(wěn)定性。詳見(jiàn)交換機(jī)配置。

2）為防止用戶(hù)使用代理服務(wù)器連接網(wǎng)絡(luò)，可以在接入交換機(jī)上配置代理檢測(cè)功能，當(dāng)檢測(cè)到用戶(hù)使用代理服務(wù)器時(shí)，強(qiáng)制用戶(hù)下線或URL跳轉(zhuǎn)。為防止非法的802.1x客戶(hù)端連接，可以設(shè)置客戶(hù)端軟件版本檢測(cè)功能，配合Cams認(rèn)證系統(tǒng)的檢查功能，限制版本不正確的客戶(hù)端連接認(rèn)證服務(wù)器。為防止用戶(hù)使用破解客戶(hù)端跳過(guò)認(rèn)證，可以設(shè)置對(duì)握手報(bào)文進(jìn)行加密，配合Cams認(rèn)證系統(tǒng)的防客戶(hù)端破解功能，限制破解客戶(hù)端連接。如圖4、圖5所示。

圖4 認(rèn)證客戶(hù)端配置圖Fig.4 Certification client configuration

圖5 客戶(hù)端防破解配置圖Fig.5 Anti-crack for client configuration

交換機(jī)配置如下：

2.4 認(rèn)證計(jì)費(fèi)系統(tǒng)的相關(guān)配置

1）客戶(hù)端版本升級(jí)與定制功能，通過(guò)H3C iNode管理中心定制802.1x客戶(hù)端軟件，可以根據(jù)網(wǎng)絡(luò)環(huán)境自定義客戶(hù)端的功能模塊、配置選項(xiàng)、安裝方式等，并創(chuàng)建自定義安裝包或升級(jí)包。安裝包可以做到用戶(hù)即裝即用，無(wú)需再做任何配置。升級(jí)包可以添加到Cams的客戶(hù)端升級(jí)管理列表中，當(dāng)用戶(hù)完成認(rèn)證后，系統(tǒng)將對(duì)低與升級(jí)版本的客戶(hù)端進(jìn)行自動(dòng)升級(jí)操作[6]。如圖6、圖7所示。

圖6 iNode客戶(hù)端管理中心圖Fig.6 Management center diagram of iNode client

圖7 Cams客戶(hù)端升級(jí)管理配置圖Fig.7 Client upgrade management configuration of Cams

2）802.1x認(rèn)證通常采用綁定賬號(hào)和客戶(hù)機(jī)MAC地址的方法來(lái)限制多臺(tái)客戶(hù)機(jī)使用同一賬號(hào)的情況，Cams系統(tǒng)在用戶(hù)第一次成功認(rèn)證后會(huì)自動(dòng)學(xué)習(xí)用戶(hù)的MAC地址，但當(dāng)用戶(hù)更換或維修電腦后，就需要重新綁定MAC地址信息才能通過(guò)認(rèn)證，這時(shí)可以通過(guò)Cams的自助服務(wù)平臺(tái)修改MAC地址的綁定信息，并且系統(tǒng)可以設(shè)置限定用戶(hù)一年之內(nèi)可以自助修改的次數(shù)，此功能幫助IT人員減少了大量的工作量。如圖8所示。

圖8 自助修改MAC綁定信息頁(yè)面圖Fig.8 Self-help modify MAC binding information page

3）為方便用戶(hù)自助修改MAC地址綁定信息，筆者利用Delphi開(kāi)發(fā)了一款小軟件，可以查看當(dāng)前網(wǎng)絡(luò)適配器的信息，可以檢測(cè)有線網(wǎng)卡的配置是否符合校園網(wǎng)的接入條件，可以修復(fù)常見(jiàn)的網(wǎng)絡(luò)配置錯(cuò)誤，使宿舍網(wǎng)絡(luò)用戶(hù)更加輕松的接入校園網(wǎng)絡(luò)。作為自助操作的輔助工具，不僅為用戶(hù)提供了方便，也為IT管理人員節(jié)省了大量的工作量。如圖9所示。

圖9 自助操作輔助工具截圖Fig.9 Self-service operation tools screenshot

3 結(jié)束語(yǔ)

802.1 x協(xié)議有效地解決了傳統(tǒng)PPPOE和Portal協(xié)議存在的安全性問(wèn)題，同時(shí)實(shí)現(xiàn)了對(duì)用戶(hù)的計(jì)費(fèi)、監(jiān)控等擴(kuò)展功能。校園網(wǎng)用戶(hù)可以根據(jù)客戶(hù)端提示進(jìn)行故障排除等操作，管理員也可以通過(guò)認(rèn)證管理平臺(tái)對(duì)用戶(hù)進(jìn)行統(tǒng)一管理。在校園網(wǎng)的建設(shè)和維護(hù)方面都降低了大量成本。目前，在認(rèn)證計(jì)費(fèi)和客戶(hù)端配置方面還有很多需要完善的地方，這將是下一步工作的重點(diǎn)。

[1]IEEE Std 802.1x，.IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control[EB/OL].（2004）.[2011-09-02]http://www.docin.com/p-115043645.htm l.

[2]H3C公司.802.1x技術(shù)介紹 [EB/OL]. （2010-12-20）http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200812/624138_30003_0.htm#_Toc227664914.

[3]基于802.1x認(rèn)證技術(shù)的應(yīng)用分析[EB/OL].（2011-08-27）http://wenku.baidu.com/view/b969f04ce518964bcf847c88.htm l.

[4]范曉寧，劉偉科，林澤東.基于802.1x的校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2007:5-6.FAN Xiao-ning，LIU Wei-ke，LIN Ze-dong.The design and realization of campus network authentication charging system based on 802.1x[J].Computer Security，2007（7）:5-6.

[5]H3C公司.安全配置指導(dǎo)[EB/OL].[2011-09-12].http://www.h3c.com.cn/Service/Document_Center/IP_Network_Product/Switches/S5120/S5120-EI/Configure/Operation_Manual/H3C_S5120-EI_CG-Release_2208-6W100/08/201101/707065_30005_0.htm.

[6]H3C公司.Cams認(rèn)證計(jì)費(fèi)系統(tǒng)用戶(hù)手冊(cè)[EB/OL].（2009-12）[2011-09-01].http://kms.h3c.com/kms/respository133680，html.