交換網絡安全防範系列五之802.1x-基于端口的網絡通路控制技術

IEEE802.1x是IEEE2001年6月通過的基于端口通路控制的接入管理協定标準。

IEEE802系列LAN标準是目前居于主導地位的區域網路絡标準，傳統的IEEE802協定定義的區域網路不提供接入認證，隻要使用者能接入區域網路控制裝置，如傳統的LanSwitch，使用者就可以通路區域網路中的裝置或資源，這是一個安全隐患。

IEEE802.1x是一種基于端口的網絡接入控制技術，在 LAN 裝置的實體接入級對接入裝置進行認證和控制，此處的實體接入級指的是 LanSwitch裝置的端口。連接配接在該類端口上的使用者裝置如果能通過認證，就可以通路 LAN 内的資源；如果不能通過認證，則無法通路 LAN 内的資源，相當于實體上斷開連接配接。

下面首先讓我們了解一下IEEE802.1x端口通路控制協定的體系結構。

雖然IEEE802.1x定義了基于端口的網絡接入控制協定，但是需要注意的是該協定僅适用于接入裝置與接入端口間點到點的連接配接方式，其中端口可以是實體端口，也可以是邏輯端口。典型的應用方式有：LanSwitch 的一個實體端口僅連接配接一個 End Station，這是基于實體端口的； IEEE 802.11定義的無線 LAN 接入方式是基于邏輯端口的。

IEEE802.1x的體系結構中包括三個部分：

Supplicant System，使用者接入裝置；

Authenticator System，接入控制單元；

Authentication Sever System，認證伺服器。

在使用者接入層裝置（如LanSwitch）實作 IEEE802.1x的認證系統部分，即Authenticator；IEEE802.1x的用戶端一般安裝在使用者PC中，典型的為Windows XP作業系統自帶的用戶端； IEEE802.1x的認證伺服器系統一般駐留在營運商的AAA中心。

Supplicant與Authenticator間運作IEEE802.1x定義的EAPOL協定；Authenticator 與 Authentication Sever 間同樣運作 EAP協定，EAP 幀中封裝了認證資料，将該協定承載在其他高層次協定中，如 Radius，以便穿越複雜的網絡到達認證伺服器。

Authenticator每個實體端口内部有受控端口（Controlled Port）和非受控端口（unControlled Port）等邏輯劃分。非受控端口始終處于雙向連通狀态，主要用來傳遞 EAPOL 協定幀，可保證随時接收Supplicant發出的認證EAPOL封包。受控端口隻有在認證通過的狀态下才打開，用于傳遞網絡資源和服務。

IEEE802.1x的認證過程

1.當使用者有上網需求時打開802.1X用戶端程式，輸入使用者名和密碼，發起連接配接請求。此時用戶端程式将送出請求認證的封包給交換機，啟動一次認證過程。

2.交換機在收到請求認證的資料幀後，将發出一個EAP-Request/Identitybaowe請求幀要求用戶端程式發送使用者輸入的使用者名。

3.用戶端程式響應交換機的請求，将包含使用者名資訊的一個EAP-Response/Identity送給交換機，交換機将用戶端送來的資料幀經過封包處理後生成RADIUS Access-Request封包送給認證伺服器進行處理。

4.認證伺服器收到交換機轉發上來的使用者名資訊後，将該資訊與資料庫中的使用者名表相比對，找到該使用者名對應的密碼資訊，用随機生成的一個加密字Challenge對它進行加密處理（MD5），通過接入裝置将RADIUS Access-Challenge封包發送給用戶端，其中包含有EAP-Request/MD5-Challenge。

5.用戶端收到EAP-Request/MD5-Challenge封包後，用該加密字對密碼部分進行加密處理（MD5）給交換機發送在EAP-Response/MD5-Challenge回應，交換機将Challenge，Challenged Password和使用者名一起送到RADIUS 伺服器進行認證。

6.認證伺服器将送上來的加密後的密碼資訊和其自己經過加密運算後的密碼資訊進行對比，判斷使用者是否合法，然後回應認證成功/失敗封包到接入裝置。如果認證成功，則向交換機發出打開端口的指令，允許使用者的業務流通過端口通路網絡。否則，保持交換機端口的關閉狀态，隻允許認證資訊資料通過。

<b>5.3</b><b>．</b><b>IEEE802.1x</b><b>配置</b>

IOS 全局配置指令：

aaa new-model   /*啟用aaa

aaa authentication dot1x default group radius  /*配置dot1x認證清單

dot1x system-auth-control    /全局啟用802.1x

radius-server host 192.168.0.167 auth-port 1812 key q1w2e3r4 /*認證伺服器資訊

接口配置指令：

dot1x port-control auto  /*接口啟用802.1x

    本文轉自hexianguo 51CTO部落格，原文連結：http://blog.51cto.com/xghe110/90879，如需轉載請自行聯系原作者