基于802.1X的校園網(wǎng)準入控制方式

    一般情況下，根據(jù)認證服務器的部署位置的不同，可以采用WEB方式、802.1X方式、PPPoE方式、PPTP認證方式等。

1、 802.1X認證方式

    802.1X是IEEE制定關于用戶接入網(wǎng)絡的認證標準，它的全稱是“基于端口的網(wǎng)絡接入控制”。802.1x協(xié)議是基于C/S的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權的用戶或設備通過接入端口(access port)訪問局域網(wǎng)（LAN）及無線網(wǎng)絡（WLAN）。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶進行認證[2]。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。其中，不受控端口始終處于雙向聯(lián)通狀態(tài)，主要用于傳輸認證信息，而受控端口的聯(lián)通或斷開是由該端口的授權狀態(tài)決定的。802.1X的體系結構如圖所示：

1.1 RADIUS協(xié)議

    RADIUS：Remote Authentication Dial In User Service（遠程用戶撥號認證系統(tǒng)），由RFC2865，RFC2866定義，是目前應用最廣泛的AAA協(xié)議。IEEE提出的802.1x標準，在認證時采用RADIUS協(xié)議。

    RADIUS是一種C/S結構的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務器，現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端[1]。RADIUS協(xié)議認證機制靈活，可以采用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協(xié)議，它進行的全部工作都是基于Attribute-Length-Value的向量進行的,因此RADIUS也支持廠商擴充廠家專有屬性。

    由于RADIUS協(xié)議簡單明確，可擴充，因此得到了廣泛應用，包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN（Virtual Private Dialup Networks，基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務）、移動電話預付費等業(yè)務。

1.2  802.1x認證特點

（1）802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網(wǎng)成本，不會增加匯聚交換機的交換壓力。純以太網(wǎng)技術內核，保持了IP網(wǎng)絡無連接特性，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余。

（2）借用了在RAS系統(tǒng)中常用的EAP（擴展認證協(xié)議），可以提供良好的擴展性和適應性，實現(xiàn)對傳統(tǒng)PPP認證架構的兼容，具有IEEE標準，和以太網(wǎng)標準同源，可以實現(xiàn)和以太網(wǎng)技術的無縫融合，幾乎所有的主流數(shù)據(jù)設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。

（3）802.1X的認證體系結構中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現(xiàn)業(yè)務與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。

（4）可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務支持；

（5）可以映射不同的用戶認證等級到不同的VLAN，可以使交換端口和WLAN具有安全的認證接入功能。

1.3  802.1x工作過程

（1）當用戶有上網(wǎng)需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序將發(fā)出請求認證的報文給交換機，開始啟動一次認證過程。 

（2）交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。 

（3）客戶端程序響應交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。

（4）交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務器進行處理。 

（5）認證服務器收到交換機轉發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。 

（6）客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務器。 

（7）認證服務器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務流通過端口訪問網(wǎng)絡。否則，反饋認證失敗的消息，并保持交換機端口的關閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許業(yè)務數(shù)據(jù)通過。

2、 PPPOE認證方式

    PPPOE：point-to-point protocol over ethernet（以太網(wǎng)的點對點協(xié)議），可以使以太網(wǎng)的主機通過一個簡單的橋接設備連到一個遠端的接入集中器上。

    PPP：Point to Point Protocol（點到點協(xié)議）。它是TCP/IP網(wǎng)絡協(xié)議集的成員之一，也可以認為PPP是對TCP/IP的一個擴展，它增加了兩組有用的功能，使得TCP/IP信息包能夠通過串行鏈路來傳輸，以適用于WAN(廣域網(wǎng)）。

    PPP是為串行通信設計的，現(xiàn)在它與以太網(wǎng)（Ethernet）相結合，成為在以太網(wǎng)絡中轉播PPP幀信息的技術,也稱PPP over Ethernet，即PPPoE協(xié)議。

    使用串行鏈路的ISP在調制解調器通信上使用PPP協(xié)議，同時PPPoE允許ISP們對用戶的登錄安全進行控制和測量用戶流量，因此對于PPPoE協(xié)議主要由DSL提供商使用。對于校園網(wǎng)這種以太網(wǎng)網(wǎng)絡拓撲結構，一般不采用這種認證方式，但是相對于其他的認證方式，可以作為一個很好的補充。

3、 PPTF認證方式

    PPTP：點對點隧道協(xié)議(PPTP: Point to Point Tunneling Protocol），是一種支持多協(xié)議虛擬專用網(wǎng)絡的網(wǎng)絡技術，它工作在第二層。通過該協(xié)議，遠程用戶能夠通過 Microsoft Windows 系列操作系統(tǒng)以及其它裝有點對點協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡，并能撥號連入本地 ISP，通過 Internet 安全鏈接到內部網(wǎng)絡。

    該協(xié)議是在PPP協(xié)議的基礎上開發(fā)的一種新的增強型安全協(xié)議，支持多協(xié)議虛擬專用網(wǎng)（VPN），可以通過密碼身份驗證協(xié)議（PAP）、可擴展身份驗證協(xié)議（EAP）等方法增強安全性?？梢允惯h程用戶通過撥入ISP、通過直接連接Internet或其他網(wǎng)絡安全地訪問企業(yè)網(wǎng)。

4、 WEB認證方式

    WEB認證接入方式采用重定向技術，客戶端無需安裝任何軟件，用戶只需打開瀏覽器，輸入任意網(wǎng)址就會彈出認證界面，引導用戶輸入用戶名密碼進行認證，合法用戶認證通過后可以正常訪問網(wǎng)絡，非法用戶的網(wǎng)絡訪問被拒絕。

    WEB認證接入技術組網(wǎng)方式靈活，客戶維護成本低，適應各種網(wǎng)絡環(huán)境，可以實現(xiàn)用戶名、IP 地址和Mac 地址的綁定，方便運營維護。

5、 小結

    目前高校網(wǎng)絡認證方式主要為WEB認證方式、802.1X認證方式。使用WEB認證方式可以方便部署，不需要更改交換機配置，隨時部署隨時生效，用戶不需要安裝客戶端。而存在的問題主要是不能對局域網(wǎng)絡準入進行很好的控制，由于內網(wǎng)用戶數(shù)據(jù)包在接入內部，僅訪問內部服務器和局域網(wǎng)用戶時，數(shù)據(jù)包不需要經(jīng)過認證服務器，那么數(shù)據(jù)包在整個局域網(wǎng)內部是合法的，校內的所有公共服務器資源，局域網(wǎng)內共享資源都是可達的，這樣造成局域網(wǎng)內部上網(wǎng)用戶混亂，會出現(xiàn)IP地址沖突、病毒攻擊等上網(wǎng)中斷，導致正常用戶無法正常上網(wǎng)。802.1X認證方式需要對交換機進行配置，所有交換機需要配置AAA認證，使交換機可以和認證服務器進行數(shù)據(jù)交換，整個校園網(wǎng)部署過程比較繁瑣，當服務器因IP地址進行變動或更換地理位置時，就需要對整個校園網(wǎng)接入交換機進行重新配置。但是這樣的優(yōu)點是，可以保證每一個上網(wǎng)用戶都是合法的，即使在校園網(wǎng)內部也同樣需要認證。對兩種認證方式的特點比較，就會得到如表1所示內容。

    兩種認證方式都可以部署在橋接的方式，所以橋接的方式下可以實現(xiàn)混合認證，根據(jù)不同用戶類型，制定不同的準入方案，但是旁路的方式只能使用802.1X的認證方式。由于信息化的高速發(fā)展，帶寬的不斷增加，上網(wǎng)人數(shù)激增，導致在主干線路上的數(shù)據(jù)流量十分龐大，對于串入主干上的設備就要求其安全、穩(wěn)定、高效。通常我們在主干上有防火墻、路由器、核心交換、流控等設備，每個串入一臺設備都會對網(wǎng)絡或多或少的影響，所以盡量還是要使用旁路部署。