基于802.1x協議的校園網認證系統的設計與實現

2010-09-01 00:18:12趙良濤

赤峰學院學報·自然科學版 2010年8期

關鍵詞：用戶系統

趙良濤

（菏澤學院計算機與信息工程系，山東菏澤 274015）

基于802.1x協議的校園網認證系統的設計與實現

趙良濤

（菏澤學院計算機與信息工程系，山東菏澤 274015）

目前，網絡安全問題成為校園網絡建設和管理中亟待解決的突出問題.論文在分析了802.1x協議的體系結構與認證機制的基礎上，針對我校網絡建設與管理的實際，提出并設計了一種基于802.1x協議的校園網認證系統，并闡述了其實現方法.

認證；802.1x協議；EAP協議；EAPOL協議；RADIUS協議

1 引言

寬帶網絡的飛速發展，使校園網的規模不斷擴大，幾乎覆蓋了學校的全部區域.但是，規模擴大的同時，在網絡建設和管理中也不斷出現新的問題，其中用戶身份的認證是目前亟待解決的突出問題.目前國內流行的認證方式主要有三種：PPPOE認證、WEB/PORTAL認證、802.1x認證.實踐證明，相對于PPPOE、WEB/PORTAL認證，802.1x認證具有簡潔高效、容易實現、安全可靠、易于運營的特點.

280 2.1x協議的體系結構與認證機制

IEEE802.1x稱為基于端口的訪問控制協議，它能夠在利用IEEE 802 LAN的優勢基礎上提供一種對連接到局域網設備或用戶進行認證和授權的手段.通過這種方式的認證，能夠在LAN這種多點訪問環境中提供一種點對點的識別用戶的方式.

2.180 2.1x協議的體系結構

802.1 x協議的體系結構包括三個重要的部分：認證客戶端、認證系統、認證服務器.

客戶端系統一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起802.1x協議的認證過程.客戶端系統需支持EAPOL協議.

認證系統通常為支持802.1x協議的網絡設備.該設備對應于不同用戶的端口有兩個邏輯端口：受控端口和非受控端口.非受控端口始終處于雙向連通狀態，主要用來傳遞EAPOL協議幀；受控端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務，如果用戶未通過認證，則受控端口處于未認證狀態，用戶無法訪問認證系統提供的服務.

認證服務器通常為RADIUS服務器，該服務器可以存儲有關用戶的信息，比如用戶所屬的VLAN、CAR參數、優先級、用戶的訪問控制列表等等.當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續流量就將接受上述參數的監管.

2.280 2.1x協議的認證機制

基于802.1x的認證系統在客戶端和認證系統之間使用EAPOL格式封裝EAP協議傳送認證信息，認證系統與認證服務器之間通過RADIUS協議傳送認證信息.下面以EAP-MD5為例，描述802.1x的認證流程.基于EAP-MD5的802.1x認證流程如圖1.

（1）客戶端向認證系統發送一個EAPOL-Start報文，開始802.1x認證接入；

（2）認證系統向客戶端發送EAP-Request/I-dentity報文，要求客戶端將用戶名送上來；

（3）客戶端回應一個EAP-Response/Identity給認證系統的請求，其中包括用戶名；

（4）認證系統將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中，發送給認證服務器；

（5）認證服務器產生一個Challenge，通過認證系統將RADIUS Access-Challenge報文發送給客戶端，其中包含有EAP-Request/MD5-Challenge；

（6）認證系統通過EAP-Request/MD5-Challenge發送給客戶端，要求客戶端進行認證；

（7）客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回應給認證系統；

（8）認證系統將Challenge，Challenged Password和用戶名一起送到RADIUS服務器，由RADIUS服務器進行認證：

（9）RADIUS服務器根據用戶信息，做MD5算法，判斷用戶是否合法，然后回應認證成功/失敗報文到認證系統.如果成功，攜帶協商參數，以及用戶的相關業務屬性給用戶授權.如果認證失敗，則流程到此結束；

（10）如果認證通過，認證系統將端口設為授權狀態（Authorized Port），否則，保持認證系統端口的非授權狀態（Unauthorized Port）；

（11）當用戶離線或斷開網絡，客戶端發送EAPLogoff給認證系統，認證系統將端口設為非授權狀態，從而斷開網絡.

3 我校實施基于802.1x協議的認證系統的需求分析

3.1 校園網存在的問題

校園網是學校和外界交流的重要平臺，也是展現學校面貌的重要舞臺.作為服務于全校教育、科研和行政管理的計算機信息網絡，校園網實現了計算機互聯、信息資源的共享.然而，隨著學校校園網的建設與發展，網絡中不斷出現新的問題.如：帶寬管理的需求問題、安全管理的需求問題、計費和運營的需求問題、網絡行為管理和訪問日志的需求問題等.

3.2 認證系統需求分析

針對我校校園網建設與管理的實際，設計的認證系統至少應實現以下功能：

系統應具有強大的處理能力和良好的安全性、可靠性、可擴展性，支持目前常用的成熟技術.

接入層網絡設備支持基于MAC地址和基于端口的802.1x認證功能；同時，支持遠程Telnet管理及遠程開關交換機端口功能；此外還要求適應大量用戶并發認證及復雜的工作環境等.

能夠實現對用戶名、IP地址、MAC地址、交換機端口、交換機IP的同時綁定或任意組合綁定.

能解決用戶私自架設代理服務器的現象.

網絡必須具備高可靠、易管理等特征.

4 基于802.1x協議的認證系統的設計與實現

4.1 基于802.1x認證系統的設計

認證系統采用基于802.1x協議的認證模型，采用模塊化、分布式設計思想，采用萬兆核心、萬兆/千兆骨干、千兆/百兆到桌面的設計理念，在核心層、匯聚層、接入層分別采用了銳捷STAR-S6808、STAR-S3550及STAR-S2126等系列產品，從網絡的安全性、穩定性、擴展性以及可管理性上都有很大的提升，有效地保證了網絡的高速運轉.認證系統結構圖如圖2所示.

圖2 認證計費系統的網絡結構

在網絡結構中，骨干設備采用雙核心雙鏈路，相互之間互為容錯備份，并在核心交換機中采用關鍵模塊冗余設計，核心和匯聚之間采用雙鏈路連接，有效解決了故障時及時切換、負載均衡、快速收斂等問題，從而保證網絡系統運行的高可靠性和穩定性.

4.2 基于802.1x認證系統的實現

4.2.1 服務器端配置

服務器系統采用中文Windows Server 2003操作系統，為保證數據存儲的安全性和可靠性，并且能做到備份與恢復，認證系統采用以下措施予以保障.

采用主備兩臺認證服務器，做到負載分擔和提高可用性.

數據存儲使用磁盤陣列，實現冗余.

設置一應用服務器，兼做管理服務器.

備份數據，可以每天備份一次，當系統中的數據丟失后，可以恢復前一天數據.

4.2.2 數據庫配置

本認證系統采用Microsoft SQL Server 2000數據庫系統對數據處理.數據庫是認證系統的核心，控制著與RADIUS Server以及后臺管理的接口.為保證數據庫數據的安全性和可靠性，采用數據庫雙機熱備，主備數據庫服務器同時運行，共享同一個磁盤陣列，當一臺數據庫服務器崩潰時，另一臺數據庫可以在很短的時間內接管系統，不中斷服務.

4.2.3 RADIUS服務器配置

對于Windows Server 2003操作系統，Internet驗證服務IAS是系統自帶的一種遠程身份驗證撥號用戶服務（RADIUS）服務器.它提供RADIUS客戶端（訪問服務器）和RADIUS服務器（該服務器為連接嘗試執行用戶身份驗證、授權和記帳）之間的RADIUS消息的路由，支持各種網絡訪問服務器，實現了用戶身份驗證、授權以及賬戶的集中管理等功能.

配置使用IAS服務的過程非常簡單，配置步驟如下：

(1)安裝IAS

(2)配置IAS服務器識別RADIUS客戶端

(3)在IAS服務器上創建授權客戶的遠程訪問策略

(4)配置RADIUS客戶端使用此IAS服務器

4.2.4 接入控制交換機配置

接入設備NAS（網絡接入服務器）的配置主要包括兩個方面：一是針對802.lx協議的配置，一是針對RADIUS協議的配置.因為這兩種協議都是國際標準，所以只要是具有這兩種標準的技術的交換機，那么它們的配置基本上是一樣的.下面以銳捷RG-3550交換機為例進行AAA配置.

S3550-48#configure terminal

S3550-48(config)#interface vlan 1

S3550-48(config-if)#ip 192.168.10.2255.255. 255.0

S3550-48(config-if)#radius-server host 192.168.10.11//設置主Radius server IP地址//

S3550-48(config-if)#radius-server host 192.168.10.12 backup//設置備Radius server IP地址//

S3550-48(config-if)#radius-server auth-port 1812//設置認證UDP端口為1812//

S3550-48(config-if)#radius-server key test//設置共享口令test//

S3550-48(config-if)#aaa authentication dot1x default group radius//配置到RADIUS進行AAA認證//

S3550-48(config-if)#dot1x interface ethernet 0/2//開啟0/2端口的802.1x特性//

S3550-48(config-if)#aaa authentication dot1x //打開802.1x認證功能//

S3550-48(config-if)#dot1x port-control auto S3550-48(config-if)#dot1x port-control-mode mac-based//設置基于MAC的802.1x認證方式//

S3550-48(config-if)#dot1x timeout quiet-period 10//設置再次認證時間，避免交換機收到惡意攻擊//

S3550-48(config-if)#dot1x timeout tx-period 3//設置報文重傳時間間隔，默認30秒//

S3550-48(config-if)#dot1x timeout supp-timeout 3//設置與客戶端認證交互的超時時間，默認30秒//

S3550-48(config-if)#dot1x max-req 3//設置報文重傳次數，默認2次//

S3550-48(config-if)#dot1x re-authentication //設置打開重認證功能//

S3550-48(config-if)#dot1x timeout re-authperiod 1000//設置重認證時間間隔即認證周期，默認3600秒//

S3550-48(config-if)#dot1x reauth-max 3//設置重認證最大次數，默認3次//

S3550-48(config-if)#end

5 結束語

本文所設計的認證系統是基于802.1x協議的認證系統，是目前多種認證系統中較為流行認證系統，具有良好的理論前提和可實施性，可以有效地解決目前網絡中存在的IP地址盜用和私架代理服務器的問題.但802.1x協議本身存在的缺陷導致了系統存在著一些不完善的地方，這將是下一步工作的重點.

〔1〕范曉寧,劉偉科,林澤東.基于802.1x的校園網認證計費系統的設計與實現[J].計算機安全,2007 (11)：5-7.

〔2〕馮雯,鄭炳倫,吳江.基于802.1x的校園網身份認證系統的設計與實施[J].四川大學學報(自然科學版),2006(6).

〔3〕李興國.基于802.1x的寬帶網認證計費系統設計與實現 [D],四川成都:成都電子科技大學, 2004:13

〔4〕彭偉.使用802.1x實現校園網認證[J],計算機應用,2003,23(3):85-87.

〔5〕胡琴芬.IEEE 802.1x客戶端在校園網認證計費系統中的研究與實現 [D].北京郵電大學,2005: 13-15.

〔6〕何江.基于802.1x的校園網認證系統研究與實現[D].山西太原:太原理工大學,2003:13-17.

TP393.18

1673-260X（2010）08-0034-03