實現802.1X校園網絡安全管理

目前大部分的學校都組建了校園網,實現了信息共享,方便了信息傳遞，提高了工作效率。校園網開放共享的特點,使得分布在各臺主機中的重要信息資源處于一種高風險的狀態,很容易受到來自系統內部和外部的非法訪問。采用802.1X認證可以有效的杜絕來自內部的安全威脅。

802.1X協議是基于Client/Server的訪問控制和認證協議。在獲得交換機或LAN提供的各種業務之前，必須進行到802.1X認證服務器進行連接認證。在認證通過之前，802.1X只允許基于局域網的擴展認證協議的數據通過設備連接的交換機端口；認證通過以后，正常的數據才可以順利地通過以太網端口。

802.1X認證技術的核心是對端口進行認證，認證通過則打開這個端口，用戶順利接入局域網；認證不通過這個端口就保持關閉狀態。

802.1X協議的認證體系結構主要包括：客戶端系統、接入端系統和認證服務器系統三部分。

基于802.1X認證的優勢在于：

1.IEEE 802.1X協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本。

2.借用EAP（擴展認證協議），可以提供良好的擴展性和適應性。

3.802.1X的認證體系結構中采用了“受控端口”和“非控端口”的邏輯功能，從而可以實現業務與認證分離，由Radius服務器和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換，其通過認證后的數據包是無需封裝的純數據包。

4.可以使用現有的后臺認證系統降低部署的成本，并有豐富的業務支持。

5.可以映射不同的用戶認證等級到不同的VLAN。

Windows Server 2016服務器配置

部署基于EAP認證服務器系統時，需要按照順序依次安裝好活動目錄、DNS服務器、CA服務和網絡策略和訪問控制服務。

1.安裝與配置域服務和DNS服務。

2.建立Radius組和用戶。

3.安裝與配置CA證書服務

（1）添加AD證書服務。

（2）角色中選擇證書頒發機構和證書頒發機構Web注冊。IIS一般默認，或者再勾上.Net/CGI相應部分，WCF則需要在添加功能時選擇http激活。

（3）選擇“證書頒發機構”和“證書頒發機構Web注冊”選項。

（4）采用域的環境，且CA服務器已經加入域，在指定CA的設置類型中可以選擇“企業”，否則只能選擇“獨立”。在指定CA類型中選擇“根”。

（5）在指定私鑰類型中選擇“創建新的私鑰”。

（6）在指定加密選項中根據需要設置。

（7）在指定CA名稱中一般采用默認設置即可。

（8）在指定有效期中根據需要設置。

（9）在指定數據庫位置中根據需要設置。

（10）確認無誤，單擊“配置”按鈕，將按設置進行安裝。

4.Radius安裝與配置

（1）添加網絡策略和訪問控制服務。

（2）在標準配置中選擇“用于802.1X無線或有線連接的Radius服務器”。

（3）在選擇802.1X連接類型中選擇“安全有線（以太網）連接”選項。

圖1 思科2960G“友好名稱”屬性配置

圖2 配置成功

（4）在“友好名稱”中設置名稱，“地址”中輸入校園網接入交換機的管理IP地址；選擇“手動”輸入共享機密，并在共享機密和確認共享機密中輸入“yuying”，用于Radius服務器與交換機之間的驗證。

（5）在配置身份驗證方法中，選擇“Microsoft：智能卡或其他證書”。

（6）指定用戶組中，添加前面在域中建立的“Radius用戶組”即可。

（7）在配置流量控制中，選擇流量控制或者是不進行流量控制。

（8）配置完成后，檢查相關信息沒有問題后，單擊“完成”按鈕，將按設置完成安裝與配置。

（9）配置成功后，在網絡策略服務器頁面，Radius客戶端中顯示完成的配置，如圖2所示。

5.雙服務器備份機制

系統接入與身份認證控制系統對于保障用戶安全接入信息系統至關重要，其中某些部件發生錯誤會引起系統的失效。為了保證系統能夠穩定可靠的運轉，采取雙服務器備份的機制實現系統容錯。

交換機配置

在交換機系統中，除了要配置好和Radius服務器成功通信的必要參數外，重點是要配置好交換機的802.1X認證功能。

1.思科交換機具體配置

（1）啟用802.1X認證

Switch（config）#dot1x system-auth-control （全局啟用dot1x認證）

Switch（config）#aaa new-model （全局啟用AAA訪問控制）

Switch（config）#aaa authentication dot1x default group radius（指定AAA認證方法為使用Radius服務器進行認證）

S w i t c h（c o n f i g）#interface gigabit Ethernet 0/1 （進入接口）

Switch（config-if）#switchport mode access（指定接口類型為access，只有在access模式下的端口才支持802.1X認證）

Switch（config-if）#dot1x pae authenticator（以默認參數啟用端口的802.1X認證）

Switch（config-if）#authentiction portcontrol auto （在端口上啟用802.1X認證，指定控制模式為自動）

（2）配置交換機與Radius服務器之間的通信

S w i t c h（c o n f i g）#radius-server host 58.118.180.42 key yuying（指定Radius服務器的IP地址以及與Radius服務器通訊的密鑰為yuying，此密鑰為配置Radius服務器時設置的共享機密必須一致）

默認autu-port使用UDP的1645端口，acct-port使用UDP的1646端口。

（3）802.1X認證主機模式配置

Switch（config-if）#dot1x host-mode

multi-domain 多域認證，允許間接連接在端口上的多個主機和一個語音設備在端口上被授權。

multi-host 多主機認證，只要第一個主機通過認證后，間接連接在該端口下的其他所有主機均將被授權。如果此接口下接交換機時需要啟用這個模式。

single-host 單主機認證，僅允許一臺主機連接。

（4）802.1X認證違例行為模式配置

Switch（config-if）#authentiction violation

shutdown 關閉該端口，這是默認的違例行為模式。

restrict 端口處于受限模式，但不關閉該端口。

replace 原主機斷開連接，新主機連接該端口是使用新主機MAC地址進行認證。

（5）修改靜止等待周期

認證客戶端失敗時，交換機會在一個延時后重新對客戶端進行認證，這個延時時間就是quiet-period（靜止周期）值。

Switch（config-if）#dot1x timeout quietperiod

取值范圍0—65535秒，默認值為60秒。

2.華為交換機具體配置

（1）啟用802.1X認證

[Quidway]dot1x （開啟全局802.1X）

默認情況下，全局的802.1X認證為關閉狀態。

[Q u i d w a y]d o t 1 x interface gigabitEthernet 1/0/1 （進入接口）

默認情況下，所有端口的802.1X認證為關閉狀態。

[Q u i d w a y]d o t 1 x authentication-method

chap CHAP認證，即采用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份。默認802.1X認證方式為CHAP認證。

eap EAP認證，即交換機將收到的客戶端EAP報文直接封裝到Radius報文的屬性字段中，發送給Radius服務器完成認證。

pap PAP認證，即通過用戶名和口令對用戶進行驗證。

[Quidway]dot1x portcontrol

authorized-foree 強制授權，表示受控端口始終處于授權狀態，允許用戶不經認證即可訪問網絡資源。

unauthorized-foree強制非授權，表示受控端口始終處于非授權狀態，即設備端不對通過該端口接入的客戶端提供認證服務。

（2）配置交換機與Radius服務器之間的通信

[Q u i d w a y]r a d i u s scheme radius （定 義Radius認證服務器Radius的相關屬性）

[Quidway-radiusr a d i u s]p r i m a r y authentication 58.118.180.42 （指定認證服務器的地址）

[Quidway-radiusradius]key authentication yuying （指定認證與認證服務器通訊的密鑰）

[Quidway-radiusradius]user-name-format without-domain （指定發送給Radius服務器的用戶名不攜帶域名）

（3）802.1X認證主機模式配置

[Quidway-Gigabit Ethernet 1/0/1]dot1x port-method

portbased 采用基于端口認證接入控制方式。

macbased 采用基于MAC地址認證接入控制方式。

[Quidway]dot1x maxuser （端口允許同時接入的用戶最大數）

（4）802.1X認 證 來 賓VLAN及認證失敗VLAN配置

[Quidway-GigabitEthernet 1/0/1]dot1x guest-vlan （沒 有得到認證的用戶加入到特定VLAN使它們可以訪問有限的網絡資源）

[Quidway-GigabitEthernet 1/0/1]dot1x auth-fail vlan （認證失敗情況下可以訪問某一特定VLAN中的資源）

（5）設置交換機向客戶端發送認證請求的最大次數

[Quidway]dot1x retry（取值范圍1—10次，默認值為2次）

Windows 10客戶端中配置

1.在Windows 10系統中配置這種身份驗證功能時，需要運行“Wired Autocnfig” 以 及“WLAN Autoconfig”服務。

2.打開“以太網絡屬性”對話框，點選“身份驗證”選項卡，確保選項頁面中的“啟用 IEEE 802.1X身份驗證”被選中，同時將網絡身份驗證方法設置為“Microsoft：受保護的 EAP（PEAP）”，單擊“確定”按鈕。

配置成功后，客戶端在日后連接到交換機時，不會立即接入校園網，而是處于連接受限狀態。用鼠標單擊系統通知欄處的連接提示后，將會出現一個身份認證對話框，只有在輸入正確的用戶名、密碼后，通過了安全認證后，才能成功接入校園網，這時整個網絡的安全性就能夠得到有效保證了。

結語

基于802 .1X的校園網認證，網絡更安全，更易管理。但仍有許多問題有待進一步解決，針對于這些限制我們采取了一些有針對性的實施措施，有些得到了很好地解決，有些效果不是很好，同時在使用中又出現了新的問題。要想很好的使用802.1X的校園網認證，需要技術、管理多重手段，同時也需要網管人員有高度的責任感和良好的敬業精神。