802.1X认证在网络中的应用

【背景描述】某公司部门比较多，所以所拥有的计算机的数量也很庞大，如何来控制员工的上网行为呢？公司网管使用了一种叫作802.1X认证的技术来管理员工的上网行为。那么什么是802.1X认证呢？

客户端指上网计算机，它向认证系统发起请求，对其身份的合法性进行检验。用户经过 启动客户端软件发起802.lx认证。WINDOWS XP系统下自带802.1X客户端软件。对不支持802.1X协议的客户端平台也能够安装802.1X客户端软件。

认证系统就是支持认证功能的交换机。交换机与客户端间经过某些特定协议进行通信，而后将客户端提供的信息再加上一些特殊的报文发送到认证服务器那里。交换机要求客户端提供身份，接收到后将接收到报文承载在Radius格式的报文中，再发送到认证服务器，返回也是一样的； 而后交换机再根据认证结果来控制端口是否可用。

认证服务器核实用户的身份，通知交换机是否容许客户端访问LAN和交换机提供的服务，认证服务器 接受 交换机 传递过来的认证需求，认证完成后将认证结果下发给 交换机，完成对端口的管理。

802.1X认证主要有两种控制方式，一种是基于物理端口的控制方式，一种是基于用户设备的MAC地址来进行控制，下面就来分别看一下两种方式的配置过程。

【实验拓扑】

【实验设备】DES-3526 1台，路由器1台，测试PC若干，Radius服务器软件，网线若干。

【实验步骤】

首先配置交换机的IP地址

 

这样设置IP地址是为了保证服务器的IP地址和交换机的IP地址在同一网段，不需经由路由设备就能够相互通讯。交换机的IP设置是必须的，由于在认证过程当中交换机是认证代理，它必须和认证服务器及认证终端通讯，因此要想认证成功，交换机、认证服务器、认证终端的IP地址必须在同一网段。

首先使用“enable 802.1x”启用802.1x认证计费协议。获得交换机“Success.”的回应后，表示此时802.1x功能已经启用。此时能够指定须要认证的端口进行配置。

使用“config radius add 1 192.168.0.102 key 123456 auth_port 1812 acct_port 1813”将IP地址为192.168.0.3的认证服务器添加到交换机，此时交换机接收到认证请求信息以后将把认证请求发送到这台认证服务器上。

命令中的参数“1”表示的是RADIUS服务器的序号；参数“123456”是交换机和RADIUS服务器之间通讯时的共享秘钥，双方设置必须一致；“1812”和“1813”是UDP协议用的两个端口，“1812”是认证端口，“1813”是计费端口，这两个端口设置交换机和RADIUS双方也要一致。

接下来配置Radius认证服务器

选择“后付费用户”，单击“肯定”。一样建立用户名：Dlink2,密码一样为123456。这时WinRadius将提醒“您修改了重要参数，请从新启动”，关闭并从新启动WinRadius软件。

这时咱们将1台计算机链接到交换机的第一个端口上，此计算机的Windows系统支持802.1X协议，须要在本地链接设置以下：

在认证服务器上查看用户的认证过程。

认证经过，计算机能够从路由器获取到IP地址而后接入到网络。

 

若是Windows系统不支持802.1X协议，可使用802.1X认证软件，以下：

【注意事项】

802.1x认证功能主要用在无线上网和小区宽带上网，须要注意的就是交换机的IP地址必定要配置正确，保证交换机和认证服务器的正常通信。

【知识扩展】

基于端口802.1x认证技术的操做颗粒度为端口，拥有用户名和密码的合法用户经过认证接入端口以后，这个端口就始终处于打开状态，此时其它用户(合法或非法)经过该端口接入时，不需经过认证便可访问网络。 这个时候对用户接入控制是比较困难的。

本例中，管理员对整个网络实行的是基于端口的802.1x认证技术，这种认证方式配置比较简单，只须要在端口上打开认证功能便可，可是却又必定的缺陷性。某个部门是通过交换机链接到核心交换机的，这个部门只有一我的员容许上网，拥有合法的用户名（Dlink1）和密码。当用户Dlink1经过认证之后，核心交换机的端口一就始终处于打开的状态，另外两个没有上网资格的用户也能够经过这个端口来上网了，整个网络的安全程度不是很高。

基于以上缺陷，咱们来看另一种802.1X认证方案：基于MAC地址的802.1X解决方案。

和基于端口的802.1X协议不一样，基于MAC地址的802.1X协议要求每一个MAC必需要对应一个有效的用户名和密码，不然不容许接入网络。在上面的这个例子中Dlink1计算机输入了正确的用户名以及相对应的密码，能够经过核心交换机的端口1接入网络，其余两个用户虽然链接到同一台交换机上，可是因为没有用户名和密码，他们的通讯就会被核心交换机所阻止，基于MAC地址的802.1X认证使网络的安全性大大提升。

下面是在交换机上配置基于MAC的802.1X认证协议。

为了防止多个用户使用同一个帐号登录，特在认证服务器的认证方法的安全选项上勾选“拒绝具备相同用户名的并发用户接入”。

这时一个非法用户也链接到下连交换机上，可是却没法经过认证而不能接入到网络，下面是在交换机上查看到的认证状态。

 

经过配置基于MAC地址的802.1X认证，大大增长了网络的接入安全性。