引言：無論管理維護(hù)多大規(guī)模的網(wǎng)絡(luò)，安全性始終是網(wǎng)管員非常重視的一個問題。在支持IEEE 802.1x協(xié)議的局域網(wǎng)環(huán)境中，善于利用該協(xié)議的身份認(rèn)證功能，加強(qiáng)對各式用戶網(wǎng)絡(luò)接入的安全認(rèn)證，實現(xiàn)安全防護(hù)提前部署，從而擁抱防護(hù)效果更好的網(wǎng)絡(luò)安全。

無論管理維護(hù)多大規(guī)模的網(wǎng)絡(luò)，安全性始終是網(wǎng)管員非常重視的一個問題。而提到安全話題，不少人會下意識地想到殺毒軟件、防火墻，有了這些專業(yè)工具的保護(hù)，網(wǎng)絡(luò)安全或許可以得到某種程度上的保障。但是，安全工具的能力畢竟有限，常常用于網(wǎng)絡(luò)終端系統(tǒng)較多，而對整個網(wǎng)絡(luò)的安全防護(hù)作用有限。其實，在支持IEEE 802.1x協(xié)議的局域網(wǎng)環(huán)境中，善于利用該協(xié)議的身份認(rèn)證功能，加強(qiáng)對各式用戶網(wǎng)絡(luò)接入的安全認(rèn)證，實現(xiàn)安全防護(hù)提前部署，從而擁抱防護(hù)效果更好的網(wǎng)絡(luò)安全。

在服務(wù)器中配置

IEEE 802.1x協(xié)議實際上是一種網(wǎng)絡(luò)接入控制協(xié)議，它是基于端口的二層通信協(xié)議，不需要到達(dá)三層，對網(wǎng)絡(luò)設(shè)備的整體性能要求不高，能夠適當(dāng)降低建網(wǎng)成本。既然作為網(wǎng)絡(luò)接入認(rèn)證的控制協(xié)議，IEEE 802.1x協(xié)議具有完備的用戶認(rèn)證、管理功能，除了規(guī)定基于端口的安全控制協(xié)議外，還規(guī)定接入設(shè)備和接入端口間點到點這一種連接方式。它所規(guī)定的端口，既可以是物理端口，也可以是邏輯端口，物理端口都是交換機(jī)下連接終端用戶的交換端口，邏輯端口可以是802.11協(xié)議規(guī)定的無線LAN接入端口。

802.1x協(xié)議系統(tǒng)是典型的客戶端/服務(wù)端體系結(jié)構(gòu)，該系統(tǒng)主要包括認(rèn)證服務(wù)器系統(tǒng)、認(rèn)證系統(tǒng)、接入系統(tǒng)這三個實體，局域網(wǎng)接入控制設(shè)備需要支持認(rèn)證系統(tǒng)，用戶設(shè)備需要支持接入系統(tǒng)；整個系統(tǒng)通過可控端口和不可控端口的邏輯功能，實現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由Radius服務(wù)器和以太網(wǎng)交換機(jī)利用不可控的邏輯端口共同完成對用戶的認(rèn)證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進(jìn)行交換。

很明顯，要想使用802.1x認(rèn)證，必須先要部署好認(rèn)證服務(wù)器系統(tǒng)。以Windows 2003服務(wù)器系統(tǒng)為例，要在其中部署基于EAP認(rèn)證方法的認(rèn)證服務(wù)器系統(tǒng)時，必須先要按照順序依次安裝好活動目錄、DNS服務(wù)器和CA服務(wù)，畢竟基于EAP的遠(yuǎn)程認(rèn)證一定要使用AD用戶和密碼。為了便于有效管理，應(yīng)該先在局域網(wǎng)域中添加Radius服務(wù)器和終端計算機(jī)，同時添加合法用戶賬號，確保它能被計算機(jī)和用戶的802.1x協(xié)議使用，也就是說允許終端用戶通過該賬號進(jìn)行網(wǎng)絡(luò)接入。此外，在局域網(wǎng)域中最好創(chuàng)建一個全局安全組，并將之前的接入用戶賬號和終端計算機(jī)全部添加到這個組中。

Radius服務(wù)器作為成員服務(wù)器，首先要先登錄到局域網(wǎng)特定域中，之后安裝好IAS系統(tǒng)組件，才能在活動目錄中進(jìn)行認(rèn)證和授權(quán)配置操作。在對接入802.1x交換機(jī)的客戶端進(jìn)行EAP認(rèn)證時，必須要用到證書，在手工申請證書時，可以先進(jìn)入計算機(jī)證書管理單元，展開控制臺樹中的個人文件夾，逐一點選“所有任務(wù)”、“申請新證書”、“下一步”、“計算機(jī)”、“下一步”按鈕，輸入合適的證書名稱，最后單擊“完成”按鈕，結(jié)束證書申請操作。接著將接入802.1x交換機(jī)添加為Radius客戶端，正常來說，添加標(biāo)準(zhǔn)的Radius客戶端就行了。最后生成與802.1x協(xié)議相關(guān)的遠(yuǎn)程訪問策略，同時在策略屬性值中，將身份認(rèn)證方法設(shè)置為EAP類型，將Windows組設(shè)置為先前創(chuàng)建的全局安全組。

在交換機(jī)中配置

在交換機(jī)后臺系統(tǒng)中，除了要配置好和Radius服務(wù)器成功通信的必要參數(shù)外，重點要配置好交換機(jī)的802.1x認(rèn)證功能。

圖1 系統(tǒng)全局模式設(shè)置

以H3C Quidway系列交換機(jī)來說，首先要開啟交換機(jī)的全局和端口802.1x認(rèn)證功能，默認(rèn)狀態(tài)下，交換機(jī)沒有開啟全局或端口的802.1x認(rèn)證功能。在進(jìn)行該操作時，只要先以超級用戶身份登錄交換機(jī)后臺系統(tǒng)，執(zhí)行“system”命令，切換到如圖1所示的系統(tǒng)全局模式，在該模式下使用“dot1x”命令，就能成功開啟全局的802.1x認(rèn)證功能。要想開啟指定交換端口上的認(rèn)證功能時，只要在全局模式下通過“interface”命令，進(jìn)入指定交換端口視圖，在目標(biāo)端口視圖模式下輸入“dot1x”命令并回車即可。

例如，要啟用以太交換端口e0/6口的802.1x認(rèn)證功能時，只要在交換機(jī)后臺系統(tǒng)全局視圖下，依次執(zhí)行“interface e0/6”、“dot1x”命令即可，也可以在系統(tǒng)全局視圖下直接執(zhí)行“dot1x interface e0/6”命令，啟用特定交換端口的安全認(rèn)證功能。

在默認(rèn)狀態(tài)下，H3C Quidway系列交換機(jī)會將802.1x協(xié)議的認(rèn)證方法配置為CHAP認(rèn)證，該認(rèn)證方法是使用密文格式發(fā)送CHAP認(rèn)證信息，其認(rèn)證過程比較復(fù)雜，且使用三次握手機(jī)制，另外它還需要RADIUS服務(wù)器支持CHAP認(rèn)證。而PAP認(rèn)證方法則使用二次握手機(jī)制，它雖然需要RADIUS服務(wù)器支持PAP認(rèn)證，但是它使用明文格式發(fā)送用戶名和密碼，認(rèn)證過程很簡單。

正常情況下，建議大家選用EAP認(rèn)證方法，該方法屬于遠(yuǎn)程認(rèn)證，將認(rèn)證信息以EAP數(shù)據(jù)報文的形式發(fā)送給RADIUS服務(wù)器，這個認(rèn)證過程也需要RADIUS服務(wù)器支持EAP認(rèn)證。要將802.1x協(xié)議的認(rèn)證方法配置為EAP認(rèn)證時，只要進(jìn)入交換機(jī)全局系統(tǒng)視圖模式，在該模式下輸入“dotx1 authenticationmethod eap”命令即可，日后要想將交換機(jī)的認(rèn)證方法還原到默認(rèn)狀態(tài)時，只需要簡單地輸入“undo dotx1 authentication-method eap”字符串命令即可。

除了要配置認(rèn)證方法外，802.1x協(xié)議還需要指定合適類型的端口接入認(rèn)證方式，如果要提高認(rèn)證安全性，建議選用基于MAC地址的認(rèn)證接入方式，因為該方式對一個端口下掛的所有用戶來說，他們當(dāng)中的每一個用戶都要通過認(rèn)證，才能正常上網(wǎng)訪問。如果對安全性要求不高，可以選用基于交換端口的接入認(rèn)證方式，該方式對一個端口下掛的所有用戶來說，他們當(dāng)中只要有一個用戶通過認(rèn)證，其他人就都能正常上網(wǎng)了。

在默認(rèn)狀態(tài)下，802.1x協(xié)議會選用“macbased”這種基于MAC地址的安全認(rèn)證方式。當(dāng)想將每個交換端口的認(rèn)證接入方式都設(shè)置為相同類型時，只要在交換機(jī)系統(tǒng)全局視圖模式下，輸 入“dot1x port-method portbased”或“dot1x portmethod macbased”字符串命令即可。要為特定交換端口配置認(rèn)證接入方式時，必須先使用“interface”命令進(jìn)入指定端口視圖模式，再執(zhí) 行“dot1x port-method portbased”或“dot1x portmethod macbased”命令才行。

由于802.1x協(xié)議的認(rèn)證操作需要RADIUS服務(wù)器的支持，因此需要在交換機(jī)后臺系統(tǒng)，添加好RADIUS的認(rèn)證方案和局域網(wǎng)特定域。在交換機(jī)后臺系統(tǒng)全局視圖下，首先使用“radius scheme aaa”命令，創(chuàng)建好RADIUS服務(wù)器“aaa”，在 RADIUS服務(wù)器視圖模式下，通過“primary authentication xx.xx.xx.xx”命令，將主認(rèn)證服務(wù)器IP地址設(shè)置為Radius服務(wù)器的真實IP地址，接著執(zhí) 行“user-name-format without-domain”命令，要求系統(tǒng)從用戶名中剔除用戶域名后再將之傳輸給Radius服務(wù)器，最后使用“quit”命令退出RADIUS服務(wù)器配置模式狀態(tài)。下面依次執(zhí) 行“domain bbb.com”、“authentication lan-access radius-scheme aaa”、“domain default enable bbb.com”命令，添加局域網(wǎng)控制域“bbb.com”，同時將特定域的RADIUS認(rèn)證方案指定為“aaa”。

為了確保用戶的網(wǎng)絡(luò)接入的穩(wěn)定性，802.1x協(xié)議允許管理員控制特定交換端口上的用戶接入數(shù)量，H3C Quidway系列交換機(jī)默認(rèn)最多允許接入2048個用戶。但在交換機(jī)性能有限的情況下，允許接入的用戶數(shù)量太多，將會拖累整個網(wǎng)絡(luò)的傳輸性能，所以網(wǎng)絡(luò)管理員應(yīng)該根據(jù)交換機(jī)的實際性能，合理配置好用戶接入數(shù)量這個參數(shù)。

例如，如果想將交換機(jī)所有端口最大接入用戶量指定為“500”時，只要先進(jìn)入交換機(jī)后臺系統(tǒng)的全局視圖模式中，在該模式下輸入“dot1x max-user 500”字符串命令即可。要想將e0/6這個特定端口的最大接入用戶量指定為“500”時，必須先在系統(tǒng)全局視圖模式下，使 用“interface e0/6”命令，進(jìn)入特定交換端口視圖模式，然后輸入“dot1x max-user 500”命令即可，另外也可以在全局視圖狀態(tài)下，直接輸入“dot1x max-user 500 interface e0/6”命令，如圖2所示。

在終端機(jī)中配置

要想確保終端機(jī)能夠安全接入單位局域網(wǎng)，還需要對終端系統(tǒng)自帶的802.1x 身份驗證功能進(jìn)行合適配置。在Windows 8系統(tǒng)中配置這種身份驗證功能時，首先登錄進(jìn)入系統(tǒng)Metro界面，點擊“桌面”磁貼，打開系統(tǒng)桌面，右擊其中的“計算機(jī)”圖標(biāo)，從彈出的快捷菜單中執(zhí)行“管理”命令，然后展開“計算機(jī)管理”窗口。將鼠標(biāo)依次定位到該窗口左側(cè)區(qū)域中的“計算機(jī)管理（本地）”、“服務(wù)和應(yīng)用程序”以及“服務(wù)”節(jié)點上，從指定節(jié)點下面找到“Wired Autocnfig” 以 及“WLAN Autoconfig”等服務(wù)選項，看看它們有沒有被啟用運(yùn)行，如果發(fā)現(xiàn)它們還沒有被啟動時，必須立即將它們重新啟動運(yùn)行起來。

圖2 特定交換端口視圖模式設(shè)置

圖3 本地連接屬性

之后退出計算機(jī)管理窗口，用鼠標(biāo)右鍵單擊系統(tǒng)桌面通知欄處的網(wǎng)絡(luò)連接圖標(biāo)，從右鍵菜單中選擇“打開網(wǎng)絡(luò)共享中心”命令，切換到“網(wǎng)絡(luò)共享中心管理”窗口，單擊“更改適配器設(shè)置”按鈕，彈出“網(wǎng)絡(luò)連接列表”界面。在與局域網(wǎng)相連的網(wǎng)絡(luò)連接圖標(biāo)上單擊鼠標(biāo)右鍵，單擊右鍵菜單中的“屬性”命令，打開“特定網(wǎng)絡(luò)連接屬性”對話框，點選“身份驗證”選項卡，檢查如圖3所示的選項頁面中的“啟用IEEE 802.1x”有沒有被選中，要是發(fā)現(xiàn)其還沒有被選中時，必須重新選中它，同時將網(wǎng)絡(luò)身份驗證方法設(shè)置為“Microsoft：受保護(hù)的EAP”，然后單擊“確定”按鈕保存設(shè)置操作即可。

經(jīng)過上述配置后，終端機(jī)在日后連接到交換機(jī)時，不會立即接入單位局域網(wǎng)，而是處于連接受限狀態(tài)。用鼠標(biāo)單擊系統(tǒng)通知欄處的連接提示后，將會出現(xiàn)一個身份認(rèn)證對話框，只有在輸入正確的用戶名、密碼以及域名后，稍微等一會兒，等通過了安全認(rèn)證后，才能成功接入單位的局域網(wǎng)，這時整個網(wǎng)絡(luò)的安全性就能夠得到有效保證了。