基于802.1x協(xié)議的校園網(wǎng)安全體系的研究與應(yīng)用

趙釗

寶雞文理學(xué)院網(wǎng)絡(luò)管理中心 陜西 721016

0 引言

伴隨著教育信息化在高校的廣泛普及，校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，接入校園網(wǎng)的計(jì)算機(jī)臺(tái)數(shù)以幾何級(jí)規(guī)模增長(zhǎng)，并且《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要》提出要加快終端設(shè)施普及，推進(jìn)數(shù)字化校園建設(shè)，實(shí)現(xiàn)多種方式接入互聯(lián)網(wǎng)。這必定會(huì)進(jìn)一步促進(jìn)校園網(wǎng)絡(luò)的又一次快速發(fā)展，如何使如此多的聯(lián)網(wǎng)計(jì)算機(jī)安全并行之有效地接入校園網(wǎng)，這就成為亟待解決的一個(gè)問題。而且在校園網(wǎng)中，面對(duì)大部分的學(xué)生用戶，如何防止大規(guī)模病毒和木馬程序的攻擊，如何對(duì)接入校園網(wǎng)的計(jì)算機(jī)進(jìn)行收費(fèi)，都是我們不得不面對(duì)的問題。而802.1x協(xié)議能很好的解決上述的問題。

1 802.1X協(xié)議簡(jiǎn)介

IEEE802 LAN/WAN委員會(huì)為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了802.1x協(xié)議。后來，802.1x協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制應(yīng)用于以太網(wǎng)中，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。

802.1 x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制(Port Based Network Access Control)協(xié)議?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。

2 802.1x協(xié)議的認(rèn)證體系結(jié)構(gòu)

使用802.1x的系統(tǒng)為典型的Client/Server體系結(jié)構(gòu)，包括三個(gè)實(shí)體分別為：Supplicant System(客戶端)、Authenticator System(設(shè)備端)以及Authentication Server System(認(rèn)證服務(wù)器)。

（1）客戶端是位于局域網(wǎng)段一端的一個(gè)實(shí)體，由該鏈路另一端的設(shè)備端對(duì)其進(jìn)行認(rèn)證?？蛻舳艘话銥橛脩艚K端設(shè)備，用戶通過啟動(dòng)客戶端軟件發(fā)起802.1x認(rèn)證?？蛻舳塑浖仨氈С諩APOL(Extensible Authentication Protocol over LAN，局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議)。

（2）設(shè)備端是位于局域網(wǎng)段一端的另一個(gè)實(shí)體，用于對(duì)所連接的客戶端進(jìn)行認(rèn)證。設(shè)備端通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備(如交換機(jī))，它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。

（3）認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器用于實(shí)現(xiàn)用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)，通常為RADIUS服務(wù)器。該服務(wù)器可以存儲(chǔ)用戶的相關(guān)信息，例如用戶的賬號(hào)、密碼以及用戶所屬的VLAN、優(yōu)先級(jí)、用戶的訪問控制列表等。

3 802.1x的工作機(jī)制

IEEE 802.1x認(rèn)證系統(tǒng)利用EAP(Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議)，在客戶端和認(rèn)證服務(wù)器之間交換認(rèn)證信息(如圖1)。

圖1 802.1x認(rèn)證系統(tǒng)的工作機(jī)制

（1）PAE與設(shè)備端 PAE之間，EAP協(xié)議報(bào)文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。

（2）在設(shè)備端PAE與RADIUS服務(wù)器之間，EAP協(xié)議報(bào)文可以使用EAPOR(EAP over RADIUS)封裝格式，承載于RADIUS協(xié)議中；也可以由設(shè)備端PAE進(jìn)行終結(jié)，而在設(shè)備端PAE與RADIUS服務(wù)器之間傳送PAP協(xié)議報(bào)文或CHAP協(xié)議報(bào)文。

（3）當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給設(shè)備端，設(shè)備端PAE根據(jù)RADIUS服務(wù)器的指示(Accept或Reject)決定受控端口的授權(quán)/非授權(quán)狀態(tài)。

4 802.1x協(xié)議在校園網(wǎng)中的應(yīng)用

在校園網(wǎng)中，由于設(shè)備眾多，品牌和型號(hào)都存在差異，如何有效地在現(xiàn)有設(shè)備基礎(chǔ)上實(shí)現(xiàn)802.1x協(xié)議的部署，是一個(gè)需要提前進(jìn)行論證。要進(jìn)行拓?fù)浣Y(jié)構(gòu)的規(guī)劃，一般來說，802.1X的典型應(yīng)用拓?fù)浣Y(jié)構(gòu)有兩種。

4.1 帶802.1x的設(shè)備作接入設(shè)備

（1）該方案的要求

用戶支持 802.1x，即要裝有 802.1x 的客戶端軟件。接入層設(shè)備支持 IEEE 802.1x，有一臺(tái)(或多臺(tái))支持標(biāo)準(zhǔn)RADIUS 的服務(wù)器作為認(rèn)證服務(wù)器。

（2）該方案的配置要點(diǎn)

與Radius Server 相連的口及上聯(lián)口，配置成非受控口，以便設(shè)備能正常地與服務(wù)器進(jìn)行通訊，以及使已認(rèn)證用戶能通過上聯(lián)口訪問網(wǎng)絡(luò)資源，與用戶連接的端口要設(shè)置為受控口，以實(shí)現(xiàn)對(duì)接入用戶的控制，用戶必須通過認(rèn)證才能訪問網(wǎng)絡(luò)資源。

（3）該方案的特點(diǎn)

每臺(tái)支持 802.1x 的設(shè)備所負(fù)責(zé)的客戶端少，認(rèn)證速度快。各臺(tái)設(shè)備之間相互獨(dú)立，設(shè)備的重啟等操作不會(huì)影響到其它設(shè)備所連接的用戶。用戶的管理集中于 Radius Server上，管理員不必考慮用戶連接在哪臺(tái)設(shè)備上，便于管理員的管理管理員可以通過網(wǎng)絡(luò)管理接入層的設(shè)備。

4.2 帶802.1x的設(shè)備作為匯接層設(shè)備

（1）該方案的要求

用戶支持 802.1x，即要裝有 802.1x 的客戶端軟件。接入層設(shè)備支持要能透?jìng)鱅EEE 802.1x 幀(EAPOL)，匯接層設(shè)備支持 802.1x(扮演認(rèn)證者角色)。有一臺(tái)(或多臺(tái))支持標(biāo)準(zhǔn)RADIUS 的服務(wù)器作為認(rèn)證服務(wù)器

（2）該方案的配置要點(diǎn)

與Radius Server 相連的口及上聯(lián)口，配置成非受控口，以便設(shè)備能正常地與服務(wù)器進(jìn)行通訊，以及使已認(rèn)證用戶能通過上聯(lián)口訪問網(wǎng)絡(luò)資源與接入層設(shè)備連接的端口要設(shè)置為受控口，以實(shí)現(xiàn)對(duì)接入用戶的控制，用戶必須通過認(rèn)證才能訪問網(wǎng)絡(luò)資源。

（3）該方案的特點(diǎn)

由于是匯接層設(shè)備，網(wǎng)絡(luò)規(guī)模大，下接用戶數(shù)多，對(duì)設(shè)備的要求高，若該層設(shè)備發(fā)生故障，將導(dǎo)致大量用戶不能正常訪問網(wǎng)絡(luò)。用戶的管理集中于Radius Server 上，管理員無需考慮用戶連接在哪臺(tái)設(shè)備上，便于管理員的管理接入層設(shè)備可以使用較廉價(jià)的非網(wǎng)管型設(shè)備(只要支持 EAPOL幀透?jìng)?，管理員不能通過網(wǎng)絡(luò)直接管理接入層設(shè)備。

根據(jù)上述描述，再結(jié)合我校設(shè)備的具體情況，最終我們選擇了帶802.1x的設(shè)備作接入層這一拓?fù)浣Y(jié)構(gòu)，拓?fù)浣Y(jié)構(gòu)如圖2。

圖2 校園網(wǎng)802.1x部署拓?fù)浣Y(jié)構(gòu)

根據(jù)圖2所示，所有的接入交換機(jī)凡是接到學(xué)生宿舍的主機(jī)上的端口都被設(shè)為受控端口，而上級(jí)聯(lián)到匯聚交換機(jī)3760上的端口為非受控端口，在核心機(jī)房架設(shè)radius服務(wù)器，用于認(rèn)證。這樣校園網(wǎng)中的基于802.1x協(xié)議的網(wǎng)絡(luò)安全體系結(jié)構(gòu)就建立起來了。在接入交換機(jī)要對(duì)交換機(jī)進(jìn)行配置，配置如下:

在每個(gè)受控端口下要進(jìn)行配置：

這樣，只要計(jì)算機(jī)接入校園網(wǎng)絡(luò)，那么就必須通過客戶端進(jìn)行認(rèn)證并計(jì)費(fèi)。所以就避免了一些不合要求的用戶接入校園網(wǎng)，對(duì)校園網(wǎng)帶來負(fù)面影響。

5 結(jié)論

校園網(wǎng)本來就是上網(wǎng)用戶管理比較困難的網(wǎng)絡(luò)，如何實(shí)現(xiàn)開放并有層次的對(duì)不同用戶實(shí)現(xiàn)不同策略的管理，一直是校園網(wǎng)絡(luò)的一個(gè)難題，802.1x協(xié)議比較好的解決了這個(gè)問題，但經(jīng)過近幾年對(duì)802.1x的部署與使用，感覺在工作量上沒有顯著地降低，另外比如802.1x協(xié)議對(duì)于更改主機(jī)MAC地址的行為并沒有實(shí)質(zhì)性的防范，所以我們要對(duì)802.1x協(xié)議進(jìn)行二次開發(fā)，從而實(shí)現(xiàn)校園網(wǎng)的和諧、有序、暢通。

[1]國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃[M].北京人民出版社.2010.

[2]趙釗.一種基于交換機(jī)配置的網(wǎng)絡(luò)優(yōu)化方案及應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009.

[3]楊飚.對(duì)802.1x技術(shù)應(yīng)用的深入思考[J].教育信息化.2005.