增強(qiáng)網(wǎng)絡(luò)的安全性

摘 要：802.1x是IEEE制定的身份認(rèn)證和認(rèn)證標(biāo)準(zhǔn)，名為基于端口的網(wǎng)絡(luò)接入控制（Port-Based Network Access Control），此標(biāo)準(zhǔn)實(shí)現(xiàn)了在數(shù)據(jù)鏈路層對(duì)接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證。最初用于無(wú)線局域網(wǎng)，后用于有限局域網(wǎng)，目前已被Microsoft及Cisco等眾多廠商支持。

關(guān)鍵詞：交換機(jī)；802.1X

當(dāng)您去一些公司或公共場(chǎng)所，經(jīng)常會(huì)搜索到用于訪客免費(fèi)訪問(wèn)的Wi-Fi。在大多數(shù)情況下，提供訪客訪問(wèn)的熱點(diǎn)與公司網(wǎng)絡(luò)安全隔離，并禁止訪問(wèn)內(nèi)部數(shù)據(jù)。

說(shuō)到無(wú)線網(wǎng)絡(luò)安全，我們都知道，足夠的加密和安全訪問(wèn)控制對(duì)于阻止未經(jīng)授權(quán)的人訪問(wèn)公司網(wǎng)絡(luò)或熱點(diǎn)至關(guān)重要。IEEE 802.1X安全標(biāo)準(zhǔn)通常在這里起到了至關(guān)重要的作用，因?yàn)槠湓L問(wèn)控制機(jī)制是提高安全性的保證。正確使用和配置適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備，以確保用戶和網(wǎng)絡(luò)本身的最大安全性。

交換機(jī)在安全性方面也起著至關(guān)重要的作用。他們是任何復(fù)雜網(wǎng)絡(luò)的守門(mén)人。只有能夠在交換機(jī)上進(jìn)行身份驗(yàn)證的設(shè)備和客戶端才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。交換機(jī)通過(guò)執(zhí)行安全設(shè)置來(lái)控制對(duì)網(wǎng)絡(luò)的安全訪問(wèn)。

IEEE 802.1X標(biāo)準(zhǔn)是為了規(guī)范這些訪問(wèn)權(quán)限而開(kāi)發(fā)的。它為網(wǎng)絡(luò)上的實(shí)際認(rèn)證奠定了基礎(chǔ)。基本要求是要有一個(gè)管理型的“智能”網(wǎng)絡(luò)交換機(jī)和一個(gè)用于認(rèn)證的RADIUS服務(wù)器。

實(shí)際上，802.1X標(biāo)準(zhǔn)為系統(tǒng)管理員提供了不同認(rèn)證類(lèi)型的選擇。以下概述了四種最常見(jiàn)的交換機(jī)安全訪問(wèn)控制類(lèi)型，并簡(jiǎn)要說(shuō)明了每種交換機(jī)的工作方式，優(yōu)點(diǎn)和具體示例。

四種不同使用802.1X的方式

一、基于端口的IEEE 802.1X

此標(biāo)準(zhǔn)通過(guò)驗(yàn)證針對(duì)RADIUS服務(wù)器的證書(shū)或訪問(wèn)憑證來(lái)調(diào)整交換機(jī)端口上客戶端的身份驗(yàn)證。在一次性成功認(rèn)證之后，交換機(jī)端口保持永久開(kāi)放以供網(wǎng)絡(luò)訪問(wèn)。

其優(yōu)點(diǎn)是，成功驗(yàn)證后，端口保持永久開(kāi)放，以便進(jìn)行網(wǎng)絡(luò)訪問(wèn)。

作為示例場(chǎng)景，接入點(diǎn)連接到交換機(jī)端口，并使用證書(shū)或訪問(wèn)憑證在RADIUS服務(wù)器上進(jìn)行身份驗(yàn)證并獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限。

一旦接入點(diǎn)已經(jīng)被認(rèn)證，相應(yīng)的交換機(jī)端口被打開(kāi)，并且與其相關(guān)聯(lián)的所有WLAN設(shè)備（筆記本電腦，智能手機(jī)，平板電腦）可以自由地連接到網(wǎng)絡(luò)。

二、Single IEEE 802.1X

通過(guò)使用交換機(jī)的Single 802.1X功能，單個(gè)客戶端通過(guò)在RADIUS服務(wù)器上驗(yàn)證證書(shū)或訪問(wèn)憑證，在交換機(jī)端口進(jìn)行身份驗(yàn)證。

這樣做的好處是端口只能在RADIUS服務(wù)器上認(rèn)證的客戶端打開(kāi)。如果沒(méi)有適當(dāng)?shù)淖C書(shū)或訪問(wèn)憑證，此端口上的其他客戶端將被拒絕訪問(wèn)網(wǎng)絡(luò)。

如果連接到交換機(jī)端口的計(jì)算機(jī)使用證書(shū)或訪問(wèn)憑據(jù)對(duì)RADIUS服務(wù)器上的網(wǎng)絡(luò)訪問(wèn)進(jìn)行身份驗(yàn)證，則會(huì)出現(xiàn)這種情況。

計(jì)算機(jī)成功通過(guò)身份驗(yàn)證后，RADIUS服務(wù)器將定期發(fā)送密鑰以重新驗(yàn)證設(shè)備。

三、Multi IEEE 802.1X

通過(guò)一個(gè)交換機(jī)端口對(duì)多個(gè)客戶端進(jìn)行RADIUS服務(wù)器認(rèn)證。這里，作為接口的非智能客戶端可以用于單個(gè)交換機(jī)端口上的多個(gè)客戶端的RADIUS身份驗(yàn)證。

例如，如果將非管理型交換機(jī)連接到為Multi IEEE 802.1X配置的管理型交換機(jī)的交換機(jī)端口，則會(huì)出現(xiàn)這種情況。

所有連接到非管理交換機(jī)的計(jì)算機(jī)都可以通過(guò)在RADIUS服務(wù)器上使用證書(shū)或訪問(wèn)憑證來(lái)進(jìn)行網(wǎng)絡(luò)訪問(wèn)的身份驗(yàn)證。來(lái)自計(jì)算機(jī)的所有認(rèn)證請(qǐng)求都通過(guò)一個(gè)交換機(jī)端口轉(zhuǎn)發(fā)到RADIUS服務(wù)器。

計(jì)算機(jī)成功通過(guò)身份驗(yàn)證后，會(huì)從RADIUS服務(wù)器接收密鑰以重新驗(yàn)證連接的設(shè)備。這確保了只有通過(guò)此交換機(jī)端口驗(yàn)證過(guò)的設(shè)備才能訪問(wèn)網(wǎng)絡(luò)。

四、基于MAC的認(rèn)證

在交換機(jī)端口上驗(yàn)證客戶端的另一種方法是將客戶端的MAC地址發(fā)送給RADIUS服務(wù)器。

交換機(jī)端口僅對(duì)具有自己的特定MAC地址的客戶端打開(kāi)； 其他客戶端將被拒絕通過(guò)該端口訪問(wèn)網(wǎng)絡(luò)。這對(duì)于非智能設(shè)備客戶端的網(wǎng)絡(luò)認(rèn)證是一個(gè)很理想的方式。

一個(gè)例子是連接到交換機(jī)端口的打印機(jī)，打印機(jī)的MAC地址用于在RADIUS服務(wù)器上進(jìn)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證。

交換機(jī)端口是專(zhuān)門(mén)為打印機(jī)的MAC地址配置的，因此具有不同MAC地址的其他客戶端無(wú)法通過(guò)該交換機(jī)端口獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限。

無(wú)論您選擇何種方式來(lái)控制網(wǎng)絡(luò)訪問(wèn)，最終都是管理員的選擇。當(dāng)選擇交換機(jī)本身時(shí)，選擇的自由度要小得多。只有智能管理型交換機(jī)才能提供訪問(wèn)監(jiān)視和控制所需的功能，同時(shí)拒絕未經(jīng)授權(quán)的設(shè)備和人員訪問(wèn)網(wǎng)絡(luò)。雖然對(duì)于小型網(wǎng)絡(luò)來(lái)說(shuō)，非管理型交換機(jī)是一個(gè)很好的經(jīng)濟(jì)選擇，但是在復(fù)雜的公司網(wǎng)絡(luò)中，這是一個(gè)漏洞。所以仔細(xì)看看數(shù)據(jù)表和規(guī)格是一個(gè)有價(jià)值的工作。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，1999：205-218.

[2]周明天.TCPIP 網(wǎng)絡(luò)原理與技術(shù)[M].北京：清華大學(xué)出版社，1999：97-201.

[3]斯科特·埃普森（Scott Empson）.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程 路由和交換基礎(chǔ)[M].人民郵電出版社，2014-12-01.

作者簡(jiǎn)介：劉欽，男，云南昭通人，大專(zhuān)，信息中心副主任，主要從事電力通信及信息工作。