利用802.1x協(xié)議實現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點分析了協(xié)議的工作原理及機制，并與目前流行的寬帶認(rèn)證方式進(jìn)行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實際

文的重傳。在設(shè)定重傳的時間時，考慮網(wǎng)絡(luò)的實際環(huán)境，通常會認(rèn)為認(rèn)證系統(tǒng)和客戶端之間報文丟失的概率比較低以及傳送延遲短，因此一般通過一個超時計數(shù)器來設(shè)定，默認(rèn)重傳時間為30 s。

對于有些報文的丟失重傳比較特殊，如EAPoL－Start報文的丟失，由客戶端負(fù)責(zé)重傳；而對于EAP失敗和EAP成功報文，由于客戶端無法識別，認(rèn)證系統(tǒng)不會重傳。由于對用戶身份合法性的認(rèn)證最終由認(rèn)證服務(wù)器執(zhí)行，認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器之間的報文丟失重傳也很重要。另外，對于用戶的認(rèn)證，在執(zhí)行802．1x認(rèn)證時，只有認(rèn)證通過后，才有DHCP發(fā)起和IP分配的過程。由于客戶終端配置了DHCP自動獲取，則可能在未啟動802．1x客戶端之前，就發(fā)起了DHCP的請求，而此時認(rèn)證系統(tǒng)處于禁止通行狀態(tài)，這樣認(rèn)證系統(tǒng)會丟掉初始化的DHCP幀，同時會觸發(fā)認(rèn)證系統(tǒng)發(fā)起對用戶的認(rèn)證。

由于DHCP請求超時過程為64 s，所以如果802．1x認(rèn)證過程能在這64 s內(nèi)完成，則DHCP請求不會超時，能順利完成地址請求；如果終端軟件支持認(rèn)證后再執(zhí)行一次DHCP，就不用考慮64 s的超時限制。

2．4　802．1x協(xié)議的認(rèn)證過程

802．1x協(xié)議認(rèn)證過程是用戶與服務(wù)器交互的過程，其認(rèn)證步驟如下。

（1）用戶開機后，通過802．1x客戶端軟件發(fā)起請求，查詢網(wǎng)絡(luò)上能處理EAPoL數(shù)據(jù)包的設(shè)備。如果某臺驗證設(shè)備能處理EAPoL數(shù)據(jù)包，就會向客戶端發(fā)送響應(yīng)包，并要求用戶提供合法的身份標(biāo)識，如用戶名及其密碼。

（2）客戶端收到驗證設(shè)備的響應(yīng)后，提供身份標(biāo)識給驗證設(shè)備。由于此時客戶端還未經(jīng)過驗證，因此認(rèn)證流只能從驗證設(shè)備的未受控的邏輯端口經(jīng)過。驗證設(shè)備通過EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證。

（3）如果認(rèn)證通過，則認(rèn)證系統(tǒng)的受控邏輯端口打開。

（4）客戶端軟件發(fā)起DHCP請求，經(jīng)認(rèn)證設(shè)備轉(zhuǎn)發(fā)到DHCPServer。

（5）DHCPServer為用戶分配IP地址。

（6）DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng)，認(rèn)證系統(tǒng)記錄用戶的相關(guān)信息，如MAC，IP地址等信息，并建立動態(tài)的ACL訪問列表，以限制用戶的權(quán)限。

（7）如果用戶退出網(wǎng)絡(luò)，可以通過客戶端軟件發(fā)起退出過程，認(rèn)證設(shè)備檢測到該數(shù)據(jù)包后，會通知認(rèn)證服務(wù)器刪除用戶的相關(guān)信息（如物理地址和IP地址），受控邏輯端口關(guān)閉；用戶進(jìn)入再認(rèn)證狀態(tài)。

（8）驗證設(shè)備通過定期的檢測保證鏈路的激活。如果用戶異常死機，則驗證設(shè)備在發(fā)起多次檢測后，自動認(rèn)為用戶已經(jīng)下線。

三、802.1x協(xié)議技術(shù)特點

3.1 協(xié)議實現(xiàn)簡單

802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對設(shè)備的

上一頁 1 2 3 4 5 6 7 下一頁

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊