基于802.1x協議的校園網安全體系的研究與應用

趙釗

寶雞文理學院網絡管理中心 陜西 721016

0 引言

伴隨著教育信息化在高校的廣泛普及，校園網絡規模不斷擴大，接入校園網的計算機臺數以幾何級規模增長，并且《國家中長期教育改革和發展規劃綱要》提出要加快終端設施普及，推進數字化校園建設，實現多種方式接入互聯網。這必定會進一步促進校園網絡的又一次快速發展，如何使如此多的聯網計算機安全并行之有效地接入校園網，這就成為亟待解決的一個問題。而且在校園網中，面對大部分的學生用戶，如何防止大規模病毒和木馬程序的攻擊，如何對接入校園網的計算機進行收費，都是我們不得不面對的問題。而802.1x協議能很好的解決上述的問題。

1 802.1X協議簡介

IEEE802 LAN/WAN委員會為解決無線局域網網絡安全問題，提出了802.1x協議。后來，802.1x協議作為局域網端口的一個普通接入控制機制應用于以太網中，主要解決以太網內認證和安全方面的問題。

802.1 x協議是一種基于端口的網絡接入控制(Port Based Network Access Control)協議。“基于端口的網絡接入控制”是指在局域網接入設備的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認證，就可以訪問局域網中的資源；如果不能通過認證，則無法訪問局域網中的資源。

2 802.1x協議的認證體系結構

使用802.1x的系統為典型的Client/Server體系結構，包括三個實體分別為：Supplicant System(客戶端)、Authenticator System(設備端)以及Authentication Server System(認證服務器)。

（1）客戶端是位于局域網段一端的一個實體，由該鏈路另一端的設備端對其進行認證。客戶端一般為用戶終端設備，用戶通過啟動客戶端軟件發起802.1x認證。客戶端軟件必須支持EAPOL(Extensible Authentication Protocol over LAN，局域網上的可擴展認證協議)。

（2）設備端是位于局域網段一端的另一個實體，用于對所連接的客戶端進行認證。設備端通常為支持802.1x協議的網絡設備(如交換機)，它為客戶端提供接入局域網的端口，該端口可以是物理端口，也可以是邏輯端口。

（3）認證服務器是為設備端提供認證服務的實體。認證服務器用于實現用戶的認證、授權和計費，通常為RADIUS服務器。該服務器可以存儲用戶的相關信息，例如用戶的賬號、密碼以及用戶所屬的VLAN、優先級、用戶的訪問控制列表等。

3 802.1x的工作機制

IEEE 802.1x認證系統利用EAP(Extensible Authentication Protocol，可擴展認證協議)，在客戶端和認證服務器之間交換認證信息(如圖1)。

圖1 802.1x認證系統的工作機制

（1）PAE與設備端 PAE之間，EAP協議報文使用EAPOL封裝格式，直接承載于LAN環境中。

（2）在設備端PAE與RADIUS服務器之間，EAP協議報文可以使用EAPOR(EAP over RADIUS)封裝格式，承載于RADIUS協議中；也可以由設備端PAE進行終結，而在設備端PAE與RADIUS服務器之間傳送PAP協議報文或CHAP協議報文。

（3）當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給設備端，設備端PAE根據RADIUS服務器的指示(Accept或Reject)決定受控端口的授權/非授權狀態。

4 802.1x協議在校園網中的應用

在校園網中，由于設備眾多，品牌和型號都存在差異，如何有效地在現有設備基礎上實現802.1x協議的部署，是一個需要提前進行論證。要進行拓撲結構的規劃，一般來說，802.1X的典型應用拓撲結構有兩種。

4.1 帶802.1x的設備作接入設備

（1）該方案的要求

用戶支持 802.1x，即要裝有 802.1x 的客戶端軟件。接入層設備支持 IEEE 802.1x，有一臺(或多臺)支持標準RADIUS 的服務器作為認證服務器。

（2）該方案的配置要點

與Radius Server 相連的口及上聯口，配置成非受控口，以便設備能正常地與服務器進行通訊，以及使已認證用戶能通過上聯口訪問網絡資源，與用戶連接的端口要設置為受控口，以實現對接入用戶的控制，用戶必須通過認證才能訪問網絡資源。

（3）該方案的特點

每臺支持 802.1x 的設備所負責的客戶端少，認證速度快。各臺設備之間相互獨立，設備的重啟等操作不會影響到其它設備所連接的用戶。用戶的管理集中于 Radius Server上，管理員不必考慮用戶連接在哪臺設備上，便于管理員的管理管理員可以通過網絡管理接入層的設備。

4.2 帶802.1x的設備作為匯接層設備

（1）該方案的要求

用戶支持 802.1x，即要裝有 802.1x 的客戶端軟件。接入層設備支持要能透傳IEEE 802.1x 幀(EAPOL)，匯接層設備支持 802.1x(扮演認證者角色)。有一臺(或多臺)支持標準RADIUS 的服務器作為認證服務器

（2）該方案的配置要點

與Radius Server 相連的口及上聯口，配置成非受控口，以便設備能正常地與服務器進行通訊，以及使已認證用戶能通過上聯口訪問網絡資源與接入層設備連接的端口要設置為受控口，以實現對接入用戶的控制，用戶必須通過認證才能訪問網絡資源。

（3）該方案的特點

由于是匯接層設備，網絡規模大，下接用戶數多，對設備的要求高，若該層設備發生故障，將導致大量用戶不能正常訪問網絡。用戶的管理集中于Radius Server 上，管理員無需考慮用戶連接在哪臺設備上，便于管理員的管理接入層設備可以使用較廉價的非網管型設備(只要支持 EAPOL幀透傳)，管理員不能通過網絡直接管理接入層設備。

根據上述描述，再結合我校設備的具體情況，最終我們選擇了帶802.1x的設備作接入層這一拓撲結構，拓撲結構如圖2。

圖2 校園網802.1x部署拓撲結構

根據圖2所示，所有的接入交換機凡是接到學生宿舍的主機上的端口都被設為受控端口，而上級聯到匯聚交換機3760上的端口為非受控端口，在核心機房架設radius服務器，用于認證。這樣校園網中的基于802.1x協議的網絡安全體系結構就建立起來了。在接入交換機要對交換機進行配置，配置如下:

在每個受控端口下要進行配置：

這樣，只要計算機接入校園網絡，那么就必須通過客戶端進行認證并計費。所以就避免了一些不合要求的用戶接入校園網，對校園網帶來負面影響。

5 結論

校園網本來就是上網用戶管理比較困難的網絡，如何實現開放并有層次的對不同用戶實現不同策略的管理，一直是校園網絡的一個難題，802.1x協議比較好的解決了這個問題，但經過近幾年對802.1x的部署與使用，感覺在工作量上沒有顯著地降低，另外比如802.1x協議對于更改主機MAC地址的行為并沒有實質性的防范，所以我們要對802.1x協議進行二次開發，從而實現校園網的和諧、有序、暢通。

[1]國家中長期教育改革和發展規劃[M].北京人民出版社.2010.

[2]趙釗.一種基于交換機配置的網絡優化方案及應用[J].網絡安全技術與應用.2009.

[3]楊飚.對802.1x技術應用的深入思考[J].教育信息化.2005.