基于802.1X的校園網(wǎng)準(zhǔn)入控制技術(shù)淺析*

蘇強(qiáng)林，劉小娜

（河南機(jī)電高等?？茖W(xué)校，河南 新鄉(xiāng) 453000）

1 概述

為防止非授權(quán)終端和用戶接入網(wǎng)絡(luò)，消除不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)所帶來(lái)的安全隱患，就需要采用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，有效保證只有合法的用戶經(jīng)過(guò)授權(quán)才可以接入內(nèi)部網(wǎng)絡(luò)，從而實(shí)現(xiàn)接入內(nèi)部信息網(wǎng)的終端和用戶都是合法的、安全的、可控的，對(duì)于不符合安全要求的終端，可以隔離，進(jìn)行安全修復(fù)。

2 認(rèn)證服務(wù)器的部署

要采用什么樣的服務(wù)器部署，首先要考慮具體的網(wǎng)絡(luò)拓?fù)?，根?jù)不同IP分配策略，具體的管理機(jī)制，制定不同的準(zhǔn)入方案。目前來(lái)說(shuō)，網(wǎng)絡(luò)一般采用核心、匯聚、接入三層網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示:

圖1 三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

根據(jù)認(rèn)證服務(wù)器的性能以及整個(gè)網(wǎng)絡(luò)規(guī)模，可以橋接部署和旁路部署。在服務(wù)器性能比較好、網(wǎng)絡(luò)流量不是太大的情況下，可以采用橋接的方式進(jìn)行部署，這樣所有的上網(wǎng)流量都必須經(jīng)過(guò)認(rèn)證服務(wù)器，可以很好地控制、監(jiān)控整個(gè)內(nèi)網(wǎng)情況;在網(wǎng)絡(luò)負(fù)載比較大、認(rèn)證服務(wù)器性能不是很理想的情況下，就要采用旁路部署的認(rèn)證方式，這種方式由于網(wǎng)絡(luò)數(shù)據(jù)包不需要經(jīng)過(guò)服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，就可以在一定程度上減少服務(wù)器對(duì)整個(gè)網(wǎng)絡(luò)性能的影響，但是對(duì)于數(shù)據(jù)包的控制能力就相對(duì)較差，同時(shí)對(duì)接入交換機(jī)的配置、協(xié)議有要求。具體采用什么樣的認(rèn)證方式也要根據(jù)服務(wù)器的不同部署位置來(lái)進(jìn)行規(guī)劃。

3 準(zhǔn)入控制方式

一般情況下，根據(jù)認(rèn)證服務(wù)器部署位置的不同，可以采用WEB方式、802.1X方式、PPPoE方式、PPTP認(rèn)證方式等［1］。

3.1 802.1X 認(rèn)證方式

802.1 X是IEEE制定的關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)，它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。802.1X協(xié)議是基于C/S的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶或設(shè)備通過(guò)接入端口(access port)訪問(wèn)局域網(wǎng)(LAN)及無(wú)線網(wǎng)絡(luò)(WLAN)。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1X對(duì)連接到交換機(jī)端口上的用戶進(jìn)行認(rèn)證［2］。在認(rèn)證通過(guò)之前，802.1X只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口;認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。其中，不受控端口始終處于雙向聯(lián)通狀態(tài)，主要用于傳輸認(rèn)證信息，而受控端口的聯(lián)通或斷開(kāi)是由該端口的授權(quán)狀態(tài)決定的。802.1X的體系結(jié)構(gòu)如圖所示:

圖2 802.1X體系結(jié)構(gòu)

3.1.1 RADIUS 協(xié)議

RADIUS:Remote Authentication Dial In User Service(遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng))，由RFC2865、RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。IEEE提出的802.1X標(biāo)準(zhǔn)，在認(rèn)證時(shí)采用RADIUS協(xié)議。

RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS(Net Access Server)服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端［1］。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute－Length－Value的向量進(jìn)行的，因此RADIUS也支持廠商擴(kuò)充廠家專有屬性。

由于RADIUS協(xié)議簡(jiǎn)單明確、可擴(kuò)充，因此得到了廣泛應(yīng)用，包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN(Virtual Private Dialup Networks，基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù))、移動(dòng)電話預(yù)付費(fèi)等業(yè)務(wù)。

3.1.2 802.1X 認(rèn)證特點(diǎn)

1)802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本，不會(huì)增加匯聚交換機(jī)的交換壓力。純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無(wú)連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開(kāi)銷和冗余。

2)借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議)，可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容，具有IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無(wú)縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備(包括路由器、交換機(jī)和無(wú)線AP)上都提供對(duì)該協(xié)議的支持。

3)802.1X的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換，通過(guò)認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包。

4)可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持。

5)可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN，可以使交換端口和WLAN具有安全的認(rèn)證接入功能。

3.1.3 802.1X 工作過(guò)程

1)當(dāng)用戶有上網(wǎng)需求時(shí)打開(kāi)802.1X客戶端程序，輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶名和口令，發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開(kāi)始啟動(dòng)一次認(rèn)證過(guò)程。

2)交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻?lái)。

3)客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過(guò)數(shù)據(jù)幀送給交換機(jī)。

4)交換機(jī)將客戶端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。

5)認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給交換機(jī)，由交換機(jī)傳給客戶端程序。

6)客戶端程序收到由交換機(jī)傳來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的)，并通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。

7)認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過(guò)的消息，并向交換機(jī)發(fā)出打開(kāi)端口的指令，允許用戶的業(yè)務(wù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。

簡(jiǎn)單的數(shù)據(jù)包流程圖如圖所示:

圖3 802.1X認(rèn)證數(shù)據(jù)包簡(jiǎn)單流程

3.2 PPPOE 認(rèn)證方式

PPPOE:Point－to－Point Protocol over Ethernet(以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議)，可以使以太網(wǎng)的主機(jī)通過(guò)一個(gè)簡(jiǎn)單的橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上。

PPP:Point to Point Protocol(點(diǎn)到點(diǎn)協(xié)議)。它是TCP/IP網(wǎng)絡(luò)協(xié)議集的成員之一，也可以認(rèn)為PPP是對(duì)TCP/IP的一個(gè)擴(kuò)展，它增加了兩組有用的功能，使得TCP/IP信息包能夠通過(guò)串行鏈路來(lái)傳輸，以適用于WAN(廣域網(wǎng))。

PPP是為串行通信設(shè)計(jì)的，現(xiàn)在它與以太網(wǎng)(Ethernet)相結(jié)合，成為在以太網(wǎng)絡(luò)中轉(zhuǎn)播PPP幀信息的技術(shù)，也稱PPP over Ethernet，即PPPoE協(xié)議。

使用串行鏈路的ISP在調(diào)制解調(diào)器通信上使用PPP協(xié)議，同時(shí)PPPoE允許ISP們對(duì)用戶的登錄安全進(jìn)行控制和測(cè)量用戶流量，因此PPPoE協(xié)議主要由DSL提供商使用。對(duì)于校園網(wǎng)這種以太網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，一般不采用這種認(rèn)證方式，但是相對(duì)于其他的認(rèn)證方式，可以作為一個(gè)很好的補(bǔ)充。

3.3 PPTP 認(rèn)證方式

PPTP:點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP:Point to Point Tunneling Protocol)，是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù)，它工作在第二層。通過(guò)該協(xié)議，遠(yuǎn)程用戶能夠通過(guò)Microsoft Windows系列操作系統(tǒng)以及其他裝有點(diǎn)對(duì)點(diǎn)協(xié)議的系統(tǒng)安全訪問(wèn)公司網(wǎng)絡(luò)，并能撥號(hào)連入本地ISP，通過(guò)Internet安全鏈接到內(nèi)部網(wǎng)絡(luò)。該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開(kāi)發(fā)的一種新的增強(qiáng)型安全協(xié)議，支持多協(xié)議虛擬專用網(wǎng)(VPN)，可以通過(guò)密碼身份驗(yàn)證協(xié)議(PAP)、可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)等方法增強(qiáng)安全性?？梢允惯h(yuǎn)程用戶通過(guò)撥入ISP、直接連接Internet或其他網(wǎng)絡(luò)安全地訪問(wèn)企業(yè)網(wǎng)。

3.4 WEB 認(rèn)證方式

WEB認(rèn)證接入方式采用重定向技術(shù)，客戶端無(wú)需安裝任何軟件，只需打開(kāi)瀏覽器，輸入任意網(wǎng)址就會(huì)彈出認(rèn)證界面，引導(dǎo)用戶輸入用戶名及密碼進(jìn)行認(rèn)證，合法用戶認(rèn)證通過(guò)后可以正常訪問(wèn)網(wǎng)絡(luò)，非法用戶的網(wǎng)絡(luò)訪問(wèn)被拒絕。

WEB認(rèn)證接入技術(shù)組網(wǎng)方式靈活，客戶維護(hù)成本低，適應(yīng)各種網(wǎng)絡(luò)環(huán)境，可以實(shí)現(xiàn)用戶名、IP地址和Mac地址的綁定，方便運(yùn)營(yíng)維護(hù)。

3.5 小結(jié)

目前高校網(wǎng)絡(luò)認(rèn)證方式主要為WEB認(rèn)證方式、802.1X認(rèn)證方式。使用WEB認(rèn)證方式可以方便部署，不需要更改交換機(jī)配置，隨時(shí)部署隨時(shí)生效，用戶不需要安裝客戶端。而存在的問(wèn)題主要是不能對(duì)局域網(wǎng)絡(luò)準(zhǔn)入進(jìn)行很好的控制，由于內(nèi)網(wǎng)用戶在接入內(nèi)部，僅訪問(wèn)內(nèi)部服務(wù)器和局域網(wǎng)用戶時(shí)，不需要經(jīng)過(guò)認(rèn)證服務(wù)器，那么數(shù)據(jù)包在整個(gè)局域網(wǎng)內(nèi)部是合法的，校內(nèi)的所有公共服務(wù)器資源、局域網(wǎng)內(nèi)共享資源都是可達(dá)的，這樣造成局域網(wǎng)內(nèi)部上網(wǎng)用戶混亂，會(huì)出現(xiàn)IP地址沖突、病毒攻擊等上網(wǎng)中斷，導(dǎo)致用戶無(wú)法正常上網(wǎng)。802.1X認(rèn)證方式需要對(duì)交換機(jī)進(jìn)行配置，所有交換機(jī)需要配置AAA認(rèn)證，使交換機(jī)可以和認(rèn)證服務(wù)器進(jìn)行數(shù)據(jù)交換，整個(gè)校園網(wǎng)部署過(guò)程比較繁瑣，當(dāng)服務(wù)器因IP地址進(jìn)行變動(dòng)或更換地理位置時(shí)，就需要對(duì)整個(gè)校園網(wǎng)接入交換機(jī)進(jìn)行重新配置。但是這樣的優(yōu)點(diǎn)是，可以保證每一個(gè)上網(wǎng)用戶都是合法的，即使在校園網(wǎng)內(nèi)部也同樣需要認(rèn)證。對(duì)兩種認(rèn)證方式的特點(diǎn)進(jìn)行比較，就會(huì)得到如表1所示內(nèi)容。

?

兩種認(rèn)證方式都可以部署在橋接的方式，所以在橋接的方式下可以實(shí)現(xiàn)混合認(rèn)證，根據(jù)不同用戶類型，制定不同的準(zhǔn)入方案，但是旁路的方式只能使用802.1X的認(rèn)證方式。由于信息化的高速發(fā)展，帶寬的不斷增加，上網(wǎng)人數(shù)激增，導(dǎo)致在主干線路上的數(shù)據(jù)流量十分龐大，對(duì)于串入主干上的設(shè)備就要求其安全、穩(wěn)定、高效。通常我們?cè)谥鞲缮嫌蟹阑饓?、路由器、核心交換、流控等設(shè)備，每串入一臺(tái)設(shè)備都會(huì)對(duì)網(wǎng)絡(luò)有或多或少的影響，所以還是要盡量使用旁路部署。

4 具體案例

河南機(jī)電高等專科學(xué)校，校園網(wǎng)從1999年開(kāi)始建設(shè)，經(jīng)歷了設(shè)備新購(gòu)、舊設(shè)備升級(jí)等階段，目前校內(nèi)有華為、3COM、銳捷、邁普等網(wǎng)絡(luò)交換設(shè)備。所以對(duì)于準(zhǔn)入策略的選用就不能局限于廠家特有的認(rèn)證服務(wù)器，那么學(xué)校采用的是第三方城市熱點(diǎn)的認(rèn)證服務(wù)器。由于學(xué)校流量較大，所以采用旁路部署加802.1X的認(rèn)證方式。采用三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、學(xué)生用戶名與固定IP地址進(jìn)行綁定、教師自由IP等策略，規(guī)范用戶上網(wǎng)行為。

在使用802.1X準(zhǔn)入策略以來(lái)，對(duì)每個(gè)用戶都可控、可查，減少了ARP欺騙、網(wǎng)絡(luò)攻擊等問(wèn)題，杜絕IP地址沖突，很大程度上減少了工作量，規(guī)范了上網(wǎng)行為。那么存在的問(wèn)題是，第三方軟件雖然對(duì)各個(gè)廠家的交換設(shè)備都可以認(rèn)證，但是對(duì)于交換機(jī)的控制、用戶在線檢測(cè)、時(shí)長(zhǎng)判斷、流量控制等就不是很好，各個(gè)生產(chǎn)廠家對(duì)802.1X協(xié)議會(huì)有不同的擴(kuò)展和限定，交換機(jī)在配置過(guò)程中要停掉其特有的一些功能。另外由于本校采用的是固定分配IP地址的策略，由于原始版本沒(méi)有此功能，需要后期定制，與銳捷SAM認(rèn)證軟件相比就有明顯差距，沒(méi)有普遍性的定制會(huì)導(dǎo)致認(rèn)證軟件在使用過(guò)程中出現(xiàn)各種問(wèn)題。

802.1 X協(xié)議雖然經(jīng)歷11版的改良，但尚未標(biāo)準(zhǔn)化，對(duì)交換機(jī)的配置使用過(guò)程中，針對(duì)不同交換機(jī)生產(chǎn)廠家，各生產(chǎn)廠商都除了標(biāo)準(zhǔn)的協(xié)議外，會(huì)增加一些額外的私有協(xié)議，需要考慮交換機(jī)配置的兼容問(wèn)題。目前國(guó)內(nèi)高校中有超過(guò)700所高校采用了802.1X技術(shù)進(jìn)行準(zhǔn)入認(rèn)證，很大程度上是緣于這種技術(shù)可以很好地做到“入網(wǎng)即認(rèn)證”，在用戶接入的入口進(jìn)行精細(xì)的控制。包括各種元素的綁定、防止破解、防止代理、漫游控制等，做到徹底杜絕非法用戶進(jìn)入。在未來(lái)，802.1X協(xié)議以其廣泛的應(yīng)用，一定會(huì)標(biāo)準(zhǔn)化，不再存在兼容性問(wèn)題，那么網(wǎng)絡(luò)的準(zhǔn)入策略也將更加完善。

［1］黃永鋒，王濱，許曉東.RADIUS 在802.1X 中的應(yīng)用［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2006，(5):798 －801.

［2］彭偉.使用802.1X 實(shí)現(xiàn)校園網(wǎng)認(rèn)證［J］.計(jì)算機(jī)應(yīng)用，2003，(3):85－87.