802.1X認證在網絡中的應用

【背景描述】某公司部門比較多，所以所擁有的計算機的數量也很龐大，如何來控制員工的上網行爲呢？公司網管使用了一種叫作802.1X認證的技術來管理員工的上網行爲。那麼什麼是802.1X認證呢？

客戶端指上網計算機，它向認證系統發起請求，對其身份的合法性進行檢驗。用戶經過 啓動客戶端軟件發起802.lx認證。WINDOWS XP系統下自帶802.1X客戶端軟件。對不支持802.1X協議的客戶端平臺也能夠安裝802.1X客戶端軟件。

認證系統就是支持認證功能的交換機。交換機與客戶端間經過某些特定協議進行通信，而後將客戶端提供的信息再加上一些特殊的報文發送到認證服務器那裏。交換機要求客戶端提供身份，接收到後將接收到報文承載在Radius格式的報文中，再發送到認證服務器，返回也是一樣的； 而後交換機再根據認證結果來控制端口是否可用。

認證服務器覈實用戶的身份，通知交換機是否容許客戶端訪問LAN和交換機提供的服務，認證服務器 接受 交換機 傳遞過來的認證需求，認證完成後將認證結果下發給 交換機，完成對端口的管理。

802.1X認證主要有兩種控制方式，一種是基於物理端口的控制方式，一種是基於用戶設備的MAC地址來進行控制，下面就來分別看一下兩種方式的配置過程。

【實驗拓撲】

【實驗設備】DES-3526 1臺，路由器1臺，測試PC若干，Radius服務器軟件，網線若干。

【實驗步驟】

首先配置交換機的IP地址

 

這樣設置IP地址是爲了保證服務器的IP地址和交換機的IP地址在同一網段，不需經由路由設備就能夠相互通訊。交換機的IP設置是必須的，由於在認證過程當中交換機是認證代理，它必須和認證服務器及認證終端通訊，因此要想認證成功，交換機、認證服務器、認證終端的IP地址必須在同一網段。

首先使用「enable 802.1x」啓用802.1x認證計費協議。獲得交換機「Success.」的迴應後，表示此時802.1x功能已經啓用。此時能夠指定須要認證的端口進行配置。

使用「config radius add 1 192.168.0.102 key 123456 auth_port 1812 acct_port 1813」將IP地址爲192.168.0.3的認證服務器添加到交換機，此時交換機接收到認證請求信息以後將把認證請求發送到這臺認證服務器上。

命令中的參數「1」表示的是RADIUS服務器的序號；參數「123456」是交換機和RADIUS服務器之間通訊時的共享祕鑰，雙方設置必須一致；「1812」和「1813」是UDP協議用的兩個端口，「1812」是認證端口，「1813」是計費端口，這兩個端口設置交換機和RADIUS雙方也要一致。

接下來配置Radius認證服務器

選擇「後付費用戶」，單擊「肯定」。一樣建立用戶名：Dlink2,密碼一樣爲123456。這時WinRadius將提醒「您修改了重要參數，請從新啓動」，關閉並從新啓動WinRadius軟件。

這時咱們將1臺計算機鏈接到交換機的第一個端口上，此計算機的Windows系統支持802.1X協議，須要在本地鏈接設置以下：

在認證服務器上查看用戶的認證過程。

認證經過，計算機能夠從路由器獲取到IP地址而後接入到網絡。

 

若是Windows系統不支持802.1X協議，可使用802.1X認證軟件，以下：

【注意事項】

802.1x認證功能主要用在無線上網和小區寬帶上網，須要注意的就是交換機的IP地址必定要配置正確，保證交換機和認證服務器的正常通信。

【知識擴展】

基於端口802.1x認證技術的操做顆粒度爲端口，擁有用戶名和密碼的合法用戶經過認證接入端口以後，這個端口就始終處於打開狀態，此時其它用戶(合法或非法)經過該端口接入時，不需經過認證便可訪問網絡。 這個時候對用戶接入控制是比較困難的。

本例中，管理員對整個網絡實行的是基於端口的802.1x認證技術，這種認證方式配置比較簡單，只須要在端口上打開認證功能便可，可是卻又必定的缺陷性。某個部門是通過交換機鏈接到核心交換機的，這個部門只有一我的員容許上網，擁有合法的用戶名（Dlink1）和密碼。當用戶Dlink1經過認證之後，核心交換機的端口一就始終處於打開的狀態，另外兩個沒有上網資格的用戶也能夠經過這個端口來上網了，整個網絡的安全程度不是很高。

基於以上缺陷，咱們來看另一種802.1X認證方案：基於MAC地址的802.1X解決方案。

和基於端口的802.1X協議不一樣，基於MAC地址的802.1X協議要求每一個MAC必需要對應一個有效的用戶名和密碼，不然不容許接入網絡。在上面的這個例子中Dlink1計算機輸入了正確的用戶名以及相對應的密碼，能夠經過核心交換機的端口1接入網絡，其餘兩個用戶雖然鏈接到同一臺交換機上，可是因爲沒有用戶名和密碼，他們的通訊就會被核心交換機所阻止，基於MAC地址的802.1X認證使網絡的安全性大大提升。

下面是在交換機上配置基於MAC的802.1X認證協議。

爲了防止多個用戶使用同一個帳號登錄，特在認證服務器的認證方法的安全選項上勾選「拒絕具備相同用戶名的併發用戶接入」。

這時一個非法用戶也鏈接到下連交換機上，可是卻沒法經過認證而不能接入到網絡，下面是在交換機上查看到的認證狀態。

 

經過配置基於MAC地址的802.1X認證，大大增長了網絡的接入安全性。