準入控制8021x工作原理

802.1x工作原理1實現(xiàn)功能隨著以太網(wǎng)建設(shè)規(guī)模的迅速擴大，網(wǎng)絡(luò)上原有的認證系統(tǒng)已經(jīng)不能很好的適應(yīng)用戶數(shù)量急劇增加和寬帶業(yè)務(wù)多樣性的要求，造成網(wǎng)絡(luò)終端接入管理混亂。大量被植入木馬、病毒的機器隨便接入網(wǎng)絡(luò)，給網(wǎng)絡(luò)內(nèi)部資料的保密，和終端安全的管理帶來極大考驗。在此背景下IEEE推出802.1x協(xié)議，它是目前業(yè)界最新的標準接入認證協(xié)議。802.1X的出現(xiàn)結(jié)束了非法用戶未經(jīng)授權(quán)就能隨意進入內(nèi)部網(wǎng)絡(luò)的狀況，為企業(yè)內(nèi)部安全架起一道強有力的基礎(chǔ)安全保障。2總體流程下面我們介紹802.1X協(xié)議的原理、認證過程及配置流程。2.1802.1X原理分析802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認證，只要用戶能接入局域網(wǎng)控制設(shè)備（如LANSwitch），就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。但是隨著移動辦公及駐地網(wǎng)運營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實現(xiàn)用戶級的接入控制，802.lx就是IEEE為了解決基于端口的接入控制（Port-BasedNetworkAccessContro1）而定義的一個標準。IEEE802.1X是根據(jù)用戶ID或設(shè)備，對網(wǎng)絡(luò)客戶端（或端口）進行鑒權(quán)的標準。該流程被稱為“端口級別的鑒權(quán)”。它采用RADIUS（遠程認證撥號用戶服務(wù)）方法，并將其劃分為三個不同小組：請求方、認證方和授權(quán)服務(wù)器。820.1X標準應(yīng)用于試圖連接到端口或其它設(shè)備（如CiscoCatalyst交換機或CiscoAironet系列接入點）（認證方）的終端設(shè)備和用戶（請求方）。認證和授權(quán)都通過鑒權(quán)服務(wù)器（如CiscoSecureACS）后端通信實現(xiàn)。如上所屬，整個802.1x的實現(xiàn)設(shè)計分三個部分，請求者系統(tǒng)、認證系統(tǒng)和認證服務(wù)器系統(tǒng)。以下分別介紹三者的具體內(nèi)容：請求者系統(tǒng)請求者是位于局域網(wǎng)鏈路一端的實體，由連接到該鏈路另一端的認證系統(tǒng)對其進行認證。請求者通常是支持802.1x認證的用戶終端設(shè)備，用戶通過啟動客戶端軟件發(fā)起802.lx認證，后文的認證請求者和客戶端二者表達相同含義。認證系統(tǒng)認證系統(tǒng)對連接到鏈路對端的認證請求者進行認證。認證系統(tǒng)通常為支持802.Lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LANSwitch和AP)上實現(xiàn)802.1x認證。后文的認證系統(tǒng)、認證點和接入設(shè)備三者表達相同含義。認證服務(wù)器系統(tǒng)認證服務(wù)器是為認證系統(tǒng)提供認證服務(wù)的實體，建議使用RADIUS服務(wù)器來實現(xiàn)認證服務(wù)器的認證和授權(quán)功能。請求者和認證系統(tǒng)之間運行802.1x定義的EAPO(ExtensibleAuthenticationProtocoloverLAN)協(xié)議。當(dāng)認證系統(tǒng)工作于中繼方式時，認證系統(tǒng)與認證服務(wù)器之間也運行EAP協(xié)議，EAP幀中封裝認證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達認證服務(wù)器；當(dāng)認證系統(tǒng)工作于終結(jié)方式時，認證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認證協(xié)議(如RADIUS)，傳遞用戶認證信息給認證服務(wù)器系統(tǒng)。認證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時保證接收認證請求者發(fā)出的EAPoL認證報文；受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。2.2802.1X認證流程整個802.1x的認證過程可以描述如下：客戶端向接入設(shè)備發(fā)送一個EAPoL-Start報文，開始802.1x認證接入；接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端將用戶名送上來；客戶端回應(yīng)一個EAP-Response/Identity給接入設(shè)備的請求，其中包括用戶名；接入設(shè)備將EAP-Response/Identity報文封裝到RADIUSAccess-Request報文中，發(fā)送給認證服務(wù)器；認證服務(wù)器產(chǎn)生一個Challenge，通過接入設(shè)備將RADIUSAccess-Challenge報文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進行認證；客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；接入設(shè)備將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進行認證；RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認證成功/失敗報文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認證失敗，則流程到此結(jié)束；如果