劉晨光,殷麗

摘要:該文在對比分析PPOE、Web Portal和802.1x等三種認(rèn)證技術(shù)的基礎(chǔ)上,介紹了802.1x在校園網(wǎng)中的應(yīng)用,闡明了它能很好地滿足用戶對網(wǎng)絡(luò)安全性、高效性和低成本的要求,為高校校園網(wǎng)用戶認(rèn)證提供了一個(gè)良好的解決方案。

關(guān)鍵詞:802.1x;認(rèn)證;校園網(wǎng)

中圖分類號:TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號:1009-3044(2009)14-3666-02

Research and Application on Campus Authentication Technology

LIU Chen-guang, YIN Li

(Information & Network Center, Xuzhou Normal University, Xuzhou 221116, China)

Abstract: In this paper, on the basis of analyzing PPOE and Web Portal and 802.1x authentication techniques, the application of 802.1x in the Campus Network is introduced, it will satisfy users of network security, efficiency and low-cost the requirements and provides a good solution for campus network user authentication.

Key words: 802.1x; authentication; campus network

1 引言

校園信息化建設(shè)是衡量一所高校建設(shè)與發(fā)展的重要指標(biāo)。隨著近年來國家對高等教育事業(yè)的重點(diǎn)扶持,我國高校的信息化建設(shè)得到了質(zhì)的飛躍,校園網(wǎng)的規(guī)模也在迅速擴(kuò)大,安全性也成為日益嚴(yán)峻的問題。諸如非法監(jiān)聽郵件的內(nèi)容和賬號密碼、盜用IP 地址、盜用MAC 地址、盜用用戶賬號密碼、私設(shè)代理服務(wù)器等問題。這對校園網(wǎng)絡(luò)管理帶來了不可預(yù)估的影響和破壞。隨著校園信息化更深入的發(fā)展,對校園網(wǎng)絡(luò)的應(yīng)用更是急劇的增加,對網(wǎng)絡(luò)的安全性和穩(wěn)定性要求越來越高,建立用戶上網(wǎng)認(rèn)證系統(tǒng)是保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行的重要方面。

2 常見的認(rèn)證技術(shù)分析

2.1 PPPOE 認(rèn)證

PPPOE是從基于ATM 的窄帶網(wǎng)引入到寬帶以太網(wǎng)的。其方式較靈活,在窄帶網(wǎng)中有較豐富的應(yīng)用經(jīng)驗(yàn), 但PPPOE并不是為寬帶以太網(wǎng)量身定做的認(rèn)證技術(shù),將其應(yīng)用于寬帶以太網(wǎng),必然會(huì)有其局限性,尤其是它的封裝方式也造成了寬帶以太網(wǎng)發(fā)展中的種種問題。

在PPPOE 認(rèn)證中,認(rèn)證系統(tǒng)必須將每個(gè)包進(jìn)行拆解才能判斷和識(shí)別用戶是否合法。這樣大量的拆包解包過程必須由一個(gè)功能強(qiáng)勁但價(jià)格昂貴的傳統(tǒng)BAS(寬帶接入服務(wù)器) 完成。對每個(gè)用戶發(fā)出的每個(gè)數(shù)據(jù)包,BAS 必須進(jìn)行拆包識(shí)別和封裝轉(zhuǎn)發(fā)。一旦并發(fā)用戶增多或者數(shù)據(jù)包增大,封裝速度必然跟不上,造成寬帶網(wǎng)絡(luò)發(fā)展的瓶頸。

2.2 Web Portal 認(rèn)證

Web Portal 認(rèn)證是基于業(yè)務(wù)類型的認(rèn)證,不需要安裝其它客戶端軟件,只需要瀏覽器就能完成,對用戶來說較為方便。但是由于Web 認(rèn)證用的是七層協(xié)議,為了達(dá)到網(wǎng)絡(luò)二層的連接而到七層作認(rèn)證,這首先不符合網(wǎng)絡(luò)邏輯。另外,Web Portal認(rèn)證是基于七層的認(rèn)證,四層以下的網(wǎng)絡(luò)問題往往檢測不到。如斷電、突發(fā)故障等異常離線情況必須在七層作檢測,因此Web Portal認(rèn)證用戶連接性差,不容易檢測到用戶離線,基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)。

在傳統(tǒng)的Web Portal 認(rèn)證中,無論什么用戶都可以先獲得IP地址,再上網(wǎng)通過客戶端認(rèn)證。這種在認(rèn)證前就為用戶分配了IP地址的認(rèn)證方法造成了IP 的浪費(fèi),而且分配IP 地址的Web 認(rèn)證服務(wù)器對用戶而言是完全裸露的,一旦受攻擊癱瘓,整網(wǎng)就沒法認(rèn)證。

2.3 IEEE 802. 1x認(rèn)證

IEEE 802. 1x 又名為基于端口的訪問控制協(xié)議 ( Port Based Network Access Control Protocol) ,它源于IEEE 802. 11 無線以太網(wǎng)(EAPOW) 。該協(xié)議的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能,從而可以實(shí)現(xiàn)認(rèn)證與業(yè)務(wù)的分離,保證了網(wǎng)絡(luò)傳輸?shù)男省?02. 1x 認(rèn)證系統(tǒng)的端口分成兩個(gè)邏輯端口:受控端口和不受控端口。不受控端口只能傳送認(rèn)證的協(xié)議報(bào)文,而不管此時(shí)受控端口的狀態(tài)是已認(rèn)證狀態(tài)(Authorized) 還是未認(rèn)證狀態(tài)(Unauthorized) 。受控端口傳送業(yè)務(wù)報(bào)文。如果用戶通過認(rèn)證,則受控端口的狀態(tài)為已認(rèn)證狀態(tài),可以傳送業(yè)務(wù)報(bào)文。如果用戶未通過認(rèn)證,則受控端口的狀態(tài)為未認(rèn)證狀態(tài),不能傳送業(yè)務(wù)報(bào)文。它的認(rèn)證計(jì)費(fèi)方式就是通過認(rèn)證前后打開/ 關(guān)閉受控端口來實(shí)現(xiàn)對用戶接入的控制,從而實(shí)現(xiàn)對用戶的物理端口的認(rèn)證和控制。

3 802.1x認(rèn)證技術(shù)的應(yīng)用

目前,802. 1x 的認(rèn)證技術(shù)在校園網(wǎng)中應(yīng)用已相當(dāng)成熟。一般是在底層的接入交換機(jī)上實(shí)現(xiàn)認(rèn)證,除了包括用戶的用戶名和密碼,還包括機(jī)器的IP、MAC 地址,認(rèn)證交換機(jī)的端口、IP 等參數(shù)參與驗(yàn)證。我校采用以思科6509、星網(wǎng)銳捷網(wǎng)絡(luò)公司的RG6810、5750、3750、S2126、S1926F+ 等設(shè)備的進(jìn)行組網(wǎng),星網(wǎng)銳捷網(wǎng)絡(luò)設(shè)備提供基于以太網(wǎng)端口用戶認(rèn)證的校園網(wǎng)接入解決方案,其中S2126S、S1926F + 為支持802. 1x 協(xié)議的銳捷交換機(jī)設(shè)備,同時(shí)也都支持802. 1Q 協(xié)議。在此方案中,采用了基于MAC 地址的端口訪問控制模式,所有的認(rèn)證都是在接入層采用分布式認(rèn)證。在接入交換機(jī)( S2126S 或S1926F+ ) 上就做認(rèn)證,網(wǎng)絡(luò)安全效果最佳,既提高了認(rèn)證效率,同時(shí)也減輕了上層交換機(jī)的負(fù)擔(dān),這將降低建網(wǎng)成本、降低認(rèn)證服務(wù)器的性能要求。

3.1 網(wǎng)絡(luò)配置

為了提高網(wǎng)絡(luò)的安全性,利用802. 1x 的基于二層的認(rèn)證方式,采用靜態(tài)IP地址分配,只有用戶認(rèn)證通過后,才能夠上網(wǎng);同時(shí)也為了提高網(wǎng)絡(luò)性能和管理的方便,把整個(gè)認(rèn)證網(wǎng)絡(luò)分成多個(gè)VLAN :1) 認(rèn)證子網(wǎng),包括認(rèn)證服務(wù)器記賬服務(wù)器;2) 一個(gè)互聯(lián)子網(wǎng),用于與核心交換機(jī)互聯(lián),使用校園網(wǎng)內(nèi)部網(wǎng)絡(luò)私有IP ;3) 一個(gè)網(wǎng)絡(luò)設(shè)備管理VLAN ,即所有用于認(rèn)證服務(wù)的交換機(jī)所組成的子網(wǎng), 使用校園網(wǎng)內(nèi)部網(wǎng)絡(luò)私有IP;4) 用戶子網(wǎng),使用教育網(wǎng)所分配的公網(wǎng)IP。同時(shí)在核心交換機(jī)上建立相應(yīng)的ACL ,禁用病毒常用的端口上的TCP 應(yīng)用,防止病毒在內(nèi)網(wǎng)上的傳播。

3.2 方案特點(diǎn)

1) 解決了用戶賬號和密碼被盜的問題。由于采用用戶賬號與MAC 地址、端口、交換機(jī)地址和VLAN ID 進(jìn)行綁定,所以一個(gè)賬號只能在指定位置的計(jì)算機(jī)上使用,即使知道別人的賬號和密碼也不能在別的計(jì)算機(jī)上使用。2) 對ARP欺騙有很好的隔離作用。由于S2126系列的交換機(jī)具有防ARP欺騙網(wǎng)關(guān)的功能,因此很好了阻止了中毒計(jì)算機(jī)在網(wǎng)上傳播病毒。3) 核心設(shè)備提供端口反查和自動(dòng)準(zhǔn)確關(guān)閉端口等功能,阻止病毒在內(nèi)網(wǎng)的泛濫。同時(shí)根據(jù)銳捷計(jì)費(fèi)系統(tǒng),能夠定位潛藏在內(nèi)網(wǎng)的病毒散播者。如通過在核心設(shè)備上強(qiáng)行禁用端口135 和4444 的TCP應(yīng)用,可防止Internet 上的沖擊波病毒對內(nèi)網(wǎng)的攻擊。

4 結(jié)束語

傳統(tǒng)的以太網(wǎng)具有開放的特性,任何用戶只要連接到交換機(jī)上,就可以通過交換機(jī)進(jìn)入任何網(wǎng)絡(luò)服務(wù),缺乏一種有效的用戶的身份認(rèn)證手段。802.1x認(rèn)證協(xié)議的引入,解決了傳統(tǒng)以太網(wǎng)存在的這一缺陷,校園網(wǎng)便不再是一道敞開的門,也解決了用戶身份認(rèn)證和應(yīng)用終端的安全性問題,增強(qiáng)了網(wǎng)絡(luò)安全性。

參考文獻(xiàn):

[1] 銳捷公司.網(wǎng)絡(luò)互聯(lián)與實(shí)現(xiàn)[M].北京:北京希望電子出版社,2005.

[2] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2001.

[3] 王竹林.校園網(wǎng)組建與管理[M].北京:清華大學(xué)出版社,2002.

[4] 彭偉.使用802.1x實(shí)現(xiàn)校園網(wǎng)認(rèn)證[J].計(jì)算機(jī)應(yīng)用,2003(3).

[5] 馬建峰.無線局域網(wǎng)安全[M].北京:機(jī)械工業(yè)出版社,2005.