论文部分内容阅读
摘 要:文章从802.1x的基础知识入手,结合实际工作环境,提出针对高校学生公寓现存问题的解决办法和取得的效果。现在,越来越多的高校网络设计人员都意识到802.1x非常适合作为快速以太网的认证接入方式,其独有的认证方式,结合具体的实施策略可以收到非常好的效果。
关键词:802.1x 公寓 认证
中图分类号:TP393.1 文献标识码:A 文章编号:1673-8454(2008)21-0048-02
随着用户数的急剧增加和对业务多样性要求的提高,网络安全问题日益突出。由于传统认证方式为校园网用户数据包的处理造成了传输瓶颈,而通过增加其它网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。IEEE 802.1x协议很好地满足了用户在这些方面的需求。IEEE 802.1x通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而成为当前校园网选型的一个热点。
一、802.1x协议介绍
802.1x协议是基于Client/Server的访问控制和认证协议。基于以太网端口认证的802.1x协议有如下特点:
(1)IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。(2)借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容。(3)802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证分离。(4)可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持。(5)可以映射不同的用户认证等级到不同的VLAN。(6)可以使交换端口具有安全的认证接入功能。
二、学生公寓网络现状和特点
1.应用人群复杂,信息点相对集中
学生宿舍集合了学校各个学院的学生,对计算机和网络的了解程度千差万别,这就导致了网络维护和故障排除过程中会遇到不可想像的问题,而学生公寓网络使用中又需要对数千个到上万个节点进行管理,有的一栋楼就近1000个信息点。如何使网络能更人性化、更智能化则是公寓网络设计时需要考虑的,以达到让所有学生不需要过多操作和设置即可使用网络。
图1 集中式组网认证的公寓网络认证图
2.网络使用不规范,私设非法服务
(1)由用户PC的系统漏洞引发的病毒传播、网络攻击。曾经造成网络一度瘫痪的arp病毒就是一个最好的例子;(2)MAC地址盗用和IP地址盗用使得个别用户可以免费使用网络,合法用户的利益得不到保证;(3)用户身份的不唯一性,计费不准确,合法用户的利益得不到保证;(4)私自架设代理服务器,访问非法网站或者散布非法言论;(5)私自架设DHCP服务器或者使用非法软件;(6)私自架设服务器,传播非法信息;(7)网络流量高峰集中,使得网络负载过重,网络延迟过大,导致网络阻塞,不能保证浏览的正常进行。
3.网络安全问题日益严重
网络安全问题比较突出。由于多数学生对互联网的有关法律法规知识了解较少,网络知识淡薄,好奇心强,尤其是计算机应用较好的学生喜欢对内网和外网进行试探性攻击,加上目前网络病毒多,而学生宿舍网又是病毒感染和传播最为严重的区域,单一地推行杀毒或者防毒,要求用户来自行解决个人机器防护问题难之又难,毕竟设备不在我们掌控之中。
三、基于802.1x的集中式组网认证在学生公寓的实现
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。我们采用的是集中式组网方式,这种组网方式就是将802.1x认证系统端放到楼宇的核心设备上,也就是楼宇的主交换机Quideview 3528G,其下的所有交换机作为接入层交换机,只负责将认证报文透传给楼宇的核心交换机,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图1所示。
以汇聚3528G 接入交换机E026为例,讨论802.1x认证的相关配置,以达到网络安全运行的目的。
(1)3528G配置Radius认证策略和域
radius scheme cams_ldap//配置Radius域为cams_ldap
primary authentication 192.168.100.100 1812//配置Radius认证服务器的地址和端口
primary accounting 192.168.100.100 1813//配置计费服务器地址和端口
key authentication qwertyu//认证密匙
key accounting qwertyu//计费密匙
user-name-format with-domain//无域名格式的用户名认证
domain huawei //配置域为huawei
radius-scheme cams_ldap //应用的认证Radius为cams_ldap
domain default enable huawei//配置默认域为huawei
dot1x //全局启用dot1x
dot1x authentication-method pap//配置EAP透传模式的认证方式
dot1x supp-proxy-check logoff //取消代理检测功能
(2)3528G配置DHCP功能和VLAN
在汇聚交换机3528G上需要配置两个VLAN,一个用于管理子网,和校区主交换机直连,另外一个子网用于终端用户。
vlan 1//管理子网
#
vlan 2//用户子网
port-isolate enable//启用VLAN内端口隔离
#
interface Vlan-interface1
ip address 10.0.0.10 255.255.255.0//配置管理子网地址
#
interface Vlan-interface2
ip address 192.168.101.1 255.255.255.0 //配置用户子网网关(DHCP地址池)
dhcp select interface /启用端口DHCP功能
dhcp server dns-list 192.168.100.254 //配置自动获取DNS的地址
dhcp server expired day 0 hour 3 //配置获取地址有效时间
#
(3)接入交换机配置端口隔离
在接入交换机E026上全部启用端口隔离功能,实现对底层的彻底隔离,认证报文只能通过上联指定端口进行通讯,从而彻底解决广播风暴等对同一交换机上其它用户的影响。
四、总结
配置完成的网络,在使用中可以有效阻止故障用户对其它接口用户的影响,管理上容易定位故障点,用户在认证之前不获取任何地址,需要上网时通过客户端向认证服务器发送广播认证报文请求,认证成功后获取有效地址才可以上网。
随着用户数量急剧增加和应用水平的提高,人们对网络安全性等方面的要求也更高,从而推动了802.1x技术的快速发展。现在,越来越多的高校网络设计人员都意识到802.1x非常适合作为快速以太网的认证接入方式,其独有的认证方式,结合具体的实施策略可以收到非常好的效果。
参考文献:
[1]http://blog.chinaunix.net/u/15315/showart.php?id=149924 查询于2008-07-02
[2]杨富华,彭钢,潘宏.关于802.1X认证技术在校园网应用中问题的探讨[J].中国医学教育技术,2006(6):260-262.
[3]陈跃文.802.1x 协议在校园网认证中的应用[J].电脑知识与技术,2004(14).
[4]缪元照,孟中.基于802.1x认证的校园网宿舍网络管理探讨[J].天津商学院学报,2005(5):22-25.
关键词:802.1x 公寓 认证
中图分类号:TP393.1 文献标识码:A 文章编号:1673-8454(2008)21-0048-02
随着用户数的急剧增加和对业务多样性要求的提高,网络安全问题日益突出。由于传统认证方式为校园网用户数据包的处理造成了传输瓶颈,而通过增加其它网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。IEEE 802.1x协议很好地满足了用户在这些方面的需求。IEEE 802.1x通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而成为当前校园网选型的一个热点。
一、802.1x协议介绍
802.1x协议是基于Client/Server的访问控制和认证协议。基于以太网端口认证的802.1x协议有如下特点:
(1)IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。(2)借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容。(3)802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证分离。(4)可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持。(5)可以映射不同的用户认证等级到不同的VLAN。(6)可以使交换端口具有安全的认证接入功能。
二、学生公寓网络现状和特点
1.应用人群复杂,信息点相对集中
学生宿舍集合了学校各个学院的学生,对计算机和网络的了解程度千差万别,这就导致了网络维护和故障排除过程中会遇到不可想像的问题,而学生公寓网络使用中又需要对数千个到上万个节点进行管理,有的一栋楼就近1000个信息点。如何使网络能更人性化、更智能化则是公寓网络设计时需要考虑的,以达到让所有学生不需要过多操作和设置即可使用网络。
图1 集中式组网认证的公寓网络认证图
2.网络使用不规范,私设非法服务
(1)由用户PC的系统漏洞引发的病毒传播、网络攻击。曾经造成网络一度瘫痪的arp病毒就是一个最好的例子;(2)MAC地址盗用和IP地址盗用使得个别用户可以免费使用网络,合法用户的利益得不到保证;(3)用户身份的不唯一性,计费不准确,合法用户的利益得不到保证;(4)私自架设代理服务器,访问非法网站或者散布非法言论;(5)私自架设DHCP服务器或者使用非法软件;(6)私自架设服务器,传播非法信息;(7)网络流量高峰集中,使得网络负载过重,网络延迟过大,导致网络阻塞,不能保证浏览的正常进行。
3.网络安全问题日益严重
网络安全问题比较突出。由于多数学生对互联网的有关法律法规知识了解较少,网络知识淡薄,好奇心强,尤其是计算机应用较好的学生喜欢对内网和外网进行试探性攻击,加上目前网络病毒多,而学生宿舍网又是病毒感染和传播最为严重的区域,单一地推行杀毒或者防毒,要求用户来自行解决个人机器防护问题难之又难,毕竟设备不在我们掌控之中。
三、基于802.1x的集中式组网认证在学生公寓的实现
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。我们采用的是集中式组网方式,这种组网方式就是将802.1x认证系统端放到楼宇的核心设备上,也就是楼宇的主交换机Quideview 3528G,其下的所有交换机作为接入层交换机,只负责将认证报文透传给楼宇的核心交换机,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图1所示。
以汇聚3528G 接入交换机E026为例,讨论802.1x认证的相关配置,以达到网络安全运行的目的。
(1)3528G配置Radius认证策略和域
radius scheme cams_ldap//配置Radius域为cams_ldap
primary authentication 192.168.100.100 1812//配置Radius认证服务器的地址和端口
primary accounting 192.168.100.100 1813//配置计费服务器地址和端口
key authentication qwertyu//认证密匙
key accounting qwertyu//计费密匙
user-name-format with-domain//无域名格式的用户名认证
domain huawei //配置域为huawei
radius-scheme cams_ldap //应用的认证Radius为cams_ldap
domain default enable huawei//配置默认域为huawei
dot1x //全局启用dot1x
dot1x authentication-method pap//配置EAP透传模式的认证方式
dot1x supp-proxy-check logoff //取消代理检测功能
(2)3528G配置DHCP功能和VLAN
在汇聚交换机3528G上需要配置两个VLAN,一个用于管理子网,和校区主交换机直连,另外一个子网用于终端用户。
vlan 1//管理子网
#
vlan 2//用户子网
port-isolate enable//启用VLAN内端口隔离
#
interface Vlan-interface1
ip address 10.0.0.10 255.255.255.0//配置管理子网地址
#
interface Vlan-interface2
ip address 192.168.101.1 255.255.255.0 //配置用户子网网关(DHCP地址池)
dhcp select interface /启用端口DHCP功能
dhcp server dns-list 192.168.100.254 //配置自动获取DNS的地址
dhcp server expired day 0 hour 3 //配置获取地址有效时间
#
(3)接入交换机配置端口隔离
在接入交换机E026上全部启用端口隔离功能,实现对底层的彻底隔离,认证报文只能通过上联指定端口进行通讯,从而彻底解决广播风暴等对同一交换机上其它用户的影响。
四、总结
配置完成的网络,在使用中可以有效阻止故障用户对其它接口用户的影响,管理上容易定位故障点,用户在认证之前不获取任何地址,需要上网时通过客户端向认证服务器发送广播认证报文请求,认证成功后获取有效地址才可以上网。
随着用户数量急剧增加和应用水平的提高,人们对网络安全性等方面的要求也更高,从而推动了802.1x技术的快速发展。现在,越来越多的高校网络设计人员都意识到802.1x非常适合作为快速以太网的认证接入方式,其独有的认证方式,结合具体的实施策略可以收到非常好的效果。
参考文献:
[1]http://blog.chinaunix.net/u/15315/showart.php?id=149924 查询于2008-07-02
[2]杨富华,彭钢,潘宏.关于802.1X认证技术在校园网应用中问题的探讨[J].中国医学教育技术,2006(6):260-262.
[3]陈跃文.802.1x 协议在校园网认证中的应用[J].电脑知识与技术,2004(14).
[4]缪元照,孟中.基于802.1x认证的校园网宿舍网络管理探讨[J].天津商学院学报,2005(5):22-25.