基于802.1x協議的認證網絡的設計與實現

邱 亮，儲久良

（1.南京師范大學泰州學院 教育技術中心，江蘇 泰州 225300；2.南京理工大學泰州科技學院 現代教育技術中心，江蘇 泰州 225300）

高校校園網一般由服務器區、辦公區、教學區、宿舍區、家屬區組成，其中學生宿舍網絡在運行和管理上有著它不同的特點與要求，為了做到對宿舍網絡接入用戶進行有效地認證和安全管理，我們對宿舍區使用了802.1x技術，它的優點是認證效率高、安全性高。計費方面，我們選擇了H3C的Cams計費系統。文中介紹了802.1x認證環境下，H3C的交換機和Cams認證計費系統的配置與部署方案。

1 IEEE 802.1x協議介紹

IEEE 802.1x全稱為 “基于端口的訪問控制協議（Port based Network Access Control Protocol）”。 它提供了一種基于物理端口的網絡接入控制技術，通過將交換機的物理端口標記為“受控”和“不受控”兩種邏輯端口，對接入用戶進行訪問控制，從而實現網絡的安全認證。

1.1 802.1x的體系結構

802.1 x認證體系為典型的Client/Server結構，包括3個組成部分：客戶端（Client）、設備端（Device）和認證服務器（Server）。 如圖 1 所示[1]。

1）客戶端通常為一個用戶終端設備，用戶可以通過啟動客戶端軟件發起802.1x認證。客戶端必須支持EAPOL（Extensible Authentication Protocol over LAN，局域網上的可擴展認證協議）。

2）設備端通常為支持802.1X協議的網絡設備，它為客戶端提供接入局域網的端口，該端口可以是物理端口，也可以是邏輯端口。

3）認證服務器用于實現對用戶進行認證、授權和計費，通常為 RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）服務器。

圖1 802.1x認證系統的體系結構Fig.1 System architecture of 802.1x certification

1.2 802.1x的認證過程

802.1 x的認證分為如下8個步驟[2]：

1）用戶運行802.1x客戶端程序，輸入已經申請、登記過的用戶名和密碼，發起連接請求，此時，客戶端程序將發出請求認證的報文給設備端，開始啟動認證過程；

2）設備端收到客戶端發來的認證請求后，將向客戶端發出一個新的請求，要求用戶客戶端程序發送輸入的用戶名；

3）客戶端程序響應設備端發出的請求，將用戶名信息發送給設備端。設備端將客戶端發送的數據經過封包處理后（RADIUS報文）送給認證服務器進行處理；

4）RADIUS服務器收到設備端轉發的用戶名信息后，將該信息與數據庫中的用戶名表對比，找到該用戶名對應的密碼信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字發送給設備端，由設備端轉發給客戶端程序；

5）客戶端程序收到由設備端傳來的加密字后，用該加密字對密碼部分進行加密處理 （此種加密算法通常是不可逆的），并通過設備端傳給認證服務器；

6）RADIUS服務器將收到的已加密的密碼信息和本地經過加密運算后的密碼信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息；

7）設備端收到認證通過消息后將端口改為授權狀態，允許用戶通過端口訪問網絡。在此期間，設備端會向客戶端定期發送握手報文，對用戶的在線情況進行監測。缺省情況下，兩次握手請求報文都得不到客戶端應答，設備端就會讓用戶下線，防止用戶因為異常原因下線而設備無法感知；

8）客戶端也可以發送請求給設備端，主動要求下線。設備端把端口狀態從授權狀態改變成未授權狀態。

2 802.1x協議的組網設計

按照不同的組網方式，802.1x認證可以采用集中式組網、分布式組網兩種形式。二者的區別在于認證系統實現的位置不同。其中802.1x分布式組網是把802.1x認證系統端放在網絡位置較低的多個交換機設備上，這些交換機作為接入層邊緣設備。認證報文送給邊緣設備，進行802.1x認證處理。這種組網方式的優點在于，它采用中/高端設備與低端設備認證相結合的方式，可滿足復雜網絡環境的認證。認證任務分配到眾多的設備上，減輕了中心設備的負荷[3]。一般高校宿舍網絡都采用分布式組網方式。如圖2所示。

圖2 802.1x分布式組網圖Fig.2 Diagram of 802.1x distributed network

2.1 相關設備的配置

1）設備端以H3C E352交換機為例，E352作為接入層交換機使用。具體配置如下：

2）認證服務器以H3C-Cams認證計費系統為例。將所有參與802.1x認證的接入交換機添加到Cams系統的接入設備選項中，并指定此交換機的密鑰、端口、協議類型等信息與接入交換機上Radius的配置信息一致。如圖3所示。

圖3 Cams系統接入設備配置圖Fig.3 Access device configuration diagram of cams

3）DHCP服務的建立有兩種方式：第一種，可以采用架設DHCP服務器，在匯聚交換機上設置DHCP中繼的方法實現自動獲取IP功能；第二種如果匯聚交換機支持建立DHCP服務，并且在性能滿足的情況下，可以直接在匯聚交換機上啟用DHCP服務來實現。筆者建議使用第二種方式，因為其節省資源且管理方便。另外在接入層交換機上啟用DHCPSnooping和ARP檢測功能，可以有效防范ARP病毒的攻擊。

2.2 快速部署功能的實現

根據以上配置已基本實現802.1x的認證過程，用戶使用客戶端軟件發出認證請求，如果賬號信息通過認證服務器的認證，即可訪問互聯網資源。但用戶在802.1x認證成功之前（包括認證失敗）如何方便地下載客戶端軟件，如何及時地了解最新的校園網絡服務信息，就需要利用快速部署功能來實現。

快速部署可以實現如下功能[4]：

1）終端用戶在未成功認證之前只能訪問一個特定的IP地址段。該IP地址段中可以配置一個或多個特定服務器，用于提供客戶端的下載升級或者動態地址分配等服務。

2）終端用戶在未成功認證之前，如果使用IE瀏覽器訪問網絡時，設備會將用戶訪問的URL強制重定向到管理員預先配置好的服務頁面，用戶可以通過該服務頁面進行客戶端的下載、安裝工作。通常情況下，高校宿舍網絡一般將服務頁面設置為用戶自助服務頁面，通過此頁面用戶不但可以下載最新客戶端，也可以實現用戶預注冊、認證計費信息查詢、找回密碼、修改MAC地址等功能。此功能幫助IT人員省時省力省心，提高了工作效率。

快速部署功能的交換機配置如下：

2.3 性能優化及安全配置

1）當網絡接入設備性能不佳或認證并發用戶過多時，接入交換機與客戶端偶爾會失去聯系，導致用戶意外掉線。默認情況下接入交換機和在線用戶兩次握手請求失敗后，即認定用戶已下線[5]。此情況我們可以通過增加接入交換機與用戶客戶端之間握手報文發送的周期和次數，以保證用戶網絡的穩定性。詳見交換機配置。

2）為防止用戶使用代理服務器連接網絡，可以在接入交換機上配置代理檢測功能，當檢測到用戶使用代理服務器時，強制用戶下線或URL跳轉。為防止非法的802.1x客戶端連接，可以設置客戶端軟件版本檢測功能，配合Cams認證系統的檢查功能，限制版本不正確的客戶端連接認證服務器。為防止用戶使用破解客戶端跳過認證，可以設置對握手報文進行加密，配合Cams認證系統的防客戶端破解功能，限制破解客戶端連接。如圖4、圖5所示。

圖4 認證客戶端配置圖Fig.4 Certification client configuration

圖5 客戶端防破解配置圖Fig.5 Anti-crack for client configuration

交換機配置如下：

2.4 認證計費系統的相關配置

1）客戶端版本升級與定制功能，通過H3C iNode管理中心定制802.1x客戶端軟件，可以根據網絡環境自定義客戶端的功能模塊、配置選項、安裝方式等，并創建自定義安裝包或升級包。安裝包可以做到用戶即裝即用，無需再做任何配置。升級包可以添加到Cams的客戶端升級管理列表中，當用戶完成認證后，系統將對低與升級版本的客戶端進行自動升級操作[6]。如圖6、圖7所示。

圖6 iNode客戶端管理中心圖Fig.6 Management center diagram of iNode client

圖7 Cams客戶端升級管理配置圖Fig.7 Client upgrade management configuration of Cams

2）802.1x認證通常采用綁定賬號和客戶機MAC地址的方法來限制多臺客戶機使用同一賬號的情況，Cams系統在用戶第一次成功認證后會自動學習用戶的MAC地址，但當用戶更換或維修電腦后，就需要重新綁定MAC地址信息才能通過認證，這時可以通過Cams的自助服務平臺修改MAC地址的綁定信息，并且系統可以設置限定用戶一年之內可以自助修改的次數，此功能幫助IT人員減少了大量的工作量。如圖8所示。

圖8 自助修改MAC綁定信息頁面圖Fig.8 Self-help modify MAC binding information page

3）為方便用戶自助修改MAC地址綁定信息，筆者利用Delphi開發了一款小軟件，可以查看當前網絡適配器的信息，可以檢測有線網卡的配置是否符合校園網的接入條件，可以修復常見的網絡配置錯誤，使宿舍網絡用戶更加輕松的接入校園網絡。作為自助操作的輔助工具，不僅為用戶提供了方便，也為IT管理人員節省了大量的工作量。如圖9所示。

圖9 自助操作輔助工具截圖Fig.9 Self-service operation tools screenshot

3 結束語

802.1 x協議有效地解決了傳統PPPOE和Portal協議存在的安全性問題，同時實現了對用戶的計費、監控等擴展功能。校園網用戶可以根據客戶端提示進行故障排除等操作，管理員也可以通過認證管理平臺對用戶進行統一管理。在校園網的建設和維護方面都降低了大量成本。目前，在認證計費和客戶端配置方面還有很多需要完善的地方，這將是下一步工作的重點。

[1]IEEE Std 802.1x，.IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control[EB/OL].（2004）.[2011-09-02]http://www.docin.com/p-115043645.htm l.

[2]H3C公司.802.1x技術介紹 [EB/OL]. （2010-12-20）http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200812/624138_30003_0.htm#_Toc227664914.

[3]基于802.1x認證技術的應用分析[EB/OL].（2011-08-27）http://wenku.baidu.com/view/b969f04ce518964bcf847c88.htm l.

[4]范曉寧，劉偉科，林澤東.基于802.1x的校園網認證計費系統的設計與實現[J].計算機安全，2007:5-6.FAN Xiao-ning，LIU Wei-ke，LIN Ze-dong.The design and realization of campus network authentication charging system based on 802.1x[J].Computer Security，2007（7）:5-6.

[5]H3C公司.安全配置指導[EB/OL].[2011-09-12].http://www.h3c.com.cn/Service/Document_Center/IP_Network_Product/Switches/S5120/S5120-EI/Configure/Operation_Manual/H3C_S5120-EI_CG-Release_2208-6W100/08/201101/707065_30005_0.htm.

[6]H3C公司.Cams認證計費系統用戶手冊[EB/OL].（2009-12）[2011-09-01].http://kms.h3c.com/kms/respository133680，html.