802.1X认证在网络中的应用
【背景描述】某公司部门比较多,因此所拥有的计算机的数量也很庞大,如何来控制员工的上网行为呢?公司网管使用了一种叫做802.1X认证的技术来管理员工的上网行为。那么什么是802.1X认证呢?
客户端指上网计算机,它向认证系统发起请求,对其身份的合法性进行检验。用户通过 启动客户端软件发起802.lx认证。WINDOWS XP系统下自带802.1X客户端软件。对不支持802.1X协议的客户端平台也可以安装802.1X客户端软件。
认证系统就是支持认证功能的交换机。交换机与客户端间通过某些特定协议进行通讯,然后将客户端提供的信息再加上一些特殊的报文发送到认证服务器那里。交换机要求客户端提供身份,接收到后将接收到报文承载在Radius格式的报文中,再发送到认证服务器,返回也是同样的; 然后交换机再根据认证结果来控制端口是否可用。
认证服务器核实用户的身份,通知交换机是否允许客户端访问LAN和交换机提供的服务,认证服务器 接受 交换机 传递过来的认证需求,认证完成后将认证结果下发给 交换机,完成对端口的管理。
802.1X认证主要有两种控制方式,一种是基于物理端口的控制方式,一种是基于用户设备的MAC地址来进行控制,下面就来分别看一下两种方式的配置过程。
【实验拓扑】
【实验设备】DES-3526 1台,路由器1台,测试PC若干,Radius服务器软件,网线若干。
【实验步骤】
首先配置交换机的IP地址
这样设置IP地址是为了保证服务器的IP地址和交换机的IP地址在同一网段,不需经由路由设备就可以相互通信。交换机的IP设置是必须的,因为在认证过程中交换机是认证代理,它必须和认证服务器及认证终端通信,所以要想认证成功,交换机、认证服务器、认证终端的IP地址必须在同一网段。
首先使用“enable 802.1x”启用802.1x认证计费协议。得到交换机“Success.”的回应后,表示此时802.1x功能已经启用。此时可以指定需要认证的端口进行配置。
使用“config radius add 1 192.168.0.102 key 123456 auth_port 1812 acct_port 1813”将IP地址为192.168.0.3的认证服务器添加到交换机,此时交换机接收到认证请求信息之后将把认证请求发送到这台认证服务器上。
命令中的参数“1”表示的是RADIUS服务器的序号;参数“123456”是交换机和RADIUS服务器之间通信时的共享秘钥,双方设置必须一致;“1812”和“1813”是UDP协议用的两个端口,“1812”是认证端口,“1813”是计费端口,这两个端口设置交换机和RADIUS双方也要一致。
接下来配置Radius认证服务器
选择“后付费用户”,单击“确定”。同样创建用户名:Dlink2,密码同样为123456。这时WinRadius将提醒“您修改了重要参数,请重新启动”,关闭并重新启动WinRadius软件。
这时我们将1台计算机连接到交换机的第一个端口上,此计算机的Windows系统支持802.1X协议,需要在本地连接设置如下:
在认证服务器上查看用户的认证过程。
认证通过,计算机可以从路由器获取到IP地址然后接入到网络。
如果Windows系统不支持802.1X协议,可以使用802.1X认证软件,如下:
【注意事项】
802.1x认证功能主要用在无线上网和小区宽带上网,需要注意的就是交换机的IP地址一定要配置正确,保证交换机和认证服务器的正常通讯。
【知识扩展】
基于端口802.1x认证技术的操作颗粒度为端口,拥有用户名和密码的合法用户通过认证接入端口之后,这个端口就始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需通过认证即可访问网络。 这个时候对用户接入控制是比较困难的。
本例中,管理员对整个网络实行的是基于端口的802.1x认证技术,这种认证方式配置比较简单,只需要在端口上打开认证功能即可,但是却又一定的缺陷性。某个部门是经过交换机连接到核心交换机的,这个部门只有一个人员允许上网,拥有合法的用户名(Dlink1)和密码。当用户Dlink1通过认证以后,核心交换机的端口一就始终处于打开的状态,另外两个没有上网资格的用户也可以通过这个端口来上网了,整个网络的安全程度不是很高。
基于以上缺陷,我们来看另外一种802.1X认证方案:基于MAC地址的802.1X解决方案。
和基于端口的802.1X协议不同,基于MAC地址的802.1X协议要求每个MAC必须要对应一个有效的用户名和密码,否则不允许接入网络。在上面的这个例子中Dlink1计算机输入了正确的用户名以及相对应的密码,可以通过核心交换机的端口1接入网络,其他两个用户虽然连接到同一台交换机上,但是由于没有用户名和密码,他们的通信就会被核心交换机所阻止,基于MAC地址的802.1X认证使网络的安全性大大提高。
下面是在交换机上配置基于MAC的802.1X认证协议。
为了防止多个用户使用同一个账号登陆,特在认证服务器的认证方法的安全选项上勾选“拒绝具有相同用户名的并发用户接入”。
这时一个非法用户也连接到下连交换机上,但是却无法通过认证而不能接入到网络,下面是在交换机上查看到的认证状态。
通过配置基于MAC地址的802.1X认证,大大增加了网络的接入安全性。