實(shí)現(xiàn)802.1X校園網(wǎng)絡(luò)安全管理

目前大部分的學(xué)校都組建了校園網(wǎng),實(shí)現(xiàn)了信息共享,方便了信息傳遞，提高了工作效率。校園網(wǎng)開(kāi)放共享的特點(diǎn),使得分布在各臺(tái)主機(jī)中的重要信息資源處于一種高風(fēng)險(xiǎn)的狀態(tài),很容易受到來(lái)自系統(tǒng)內(nèi)部和外部的非法訪問(wèn)。采用802.1X認(rèn)證可以有效的杜絕來(lái)自?xún)?nèi)部的安全威脅。

802.1X協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，必須進(jìn)行到802.1X認(rèn)證服務(wù)器進(jìn)行連接認(rèn)證。在認(rèn)證通過(guò)之前，802.1X只允許基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議的數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)才可以順利地通過(guò)以太網(wǎng)端口。

802.1X認(rèn)證技術(shù)的核心是對(duì)端口進(jìn)行認(rèn)證，認(rèn)證通過(guò)則打開(kāi)這個(gè)端口，用戶(hù)順利接入局域網(wǎng)；認(rèn)證不通過(guò)這個(gè)端口就保持關(guān)閉狀態(tài)。

802.1X協(xié)議的認(rèn)證體系結(jié)構(gòu)主要包括：客戶(hù)端系統(tǒng)、接入端系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分。

基于802.1X認(rèn)證的優(yōu)勢(shì)在于：

1.IEEE 802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

2.借用EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性。

3.802.1X的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證分離，由Radius服務(wù)器和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶(hù)的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換，其通過(guò)認(rèn)證后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包。

4.可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持。

5.可以映射不同的用戶(hù)認(rèn)證等級(jí)到不同的VLAN。

Windows Server 2016服務(wù)器配置

部署基于EAP認(rèn)證服務(wù)器系統(tǒng)時(shí)，需要按照順序依次安裝好活動(dòng)目錄、DNS服務(wù)器、CA服務(wù)和網(wǎng)絡(luò)策略和訪問(wèn)控制服務(wù)。

1.安裝與配置域服務(wù)和DNS服務(wù)。

2.建立Radius組和用戶(hù)。

3.安裝與配置CA證書(shū)服務(wù)

（1）添加AD證書(shū)服務(wù)。

（2）角色中選擇證書(shū)頒發(fā)機(jī)構(gòu)和證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)。IIS一般默認(rèn)，或者再勾上.Net/CGI相應(yīng)部分，WCF則需要在添加功能時(shí)選擇http激活。

（3）選擇“證書(shū)頒發(fā)機(jī)構(gòu)”和“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)”選項(xiàng)。

（4）采用域的環(huán)境，且CA服務(wù)器已經(jīng)加入域，在指定CA的設(shè)置類(lèi)型中可以選擇“企業(yè)”，否則只能選擇“獨(dú)立”。在指定CA類(lèi)型中選擇“根”。

（5）在指定私鑰類(lèi)型中選擇“創(chuàng)建新的私鑰”。

（6）在指定加密選項(xiàng)中根據(jù)需要設(shè)置。

（7）在指定CA名稱(chēng)中一般采用默認(rèn)設(shè)置即可。

（8）在指定有效期中根據(jù)需要設(shè)置。

（9）在指定數(shù)據(jù)庫(kù)位置中根據(jù)需要設(shè)置。

（10）確認(rèn)無(wú)誤，單擊“配置”按鈕，將按設(shè)置進(jìn)行安裝。

4.Radius安裝與配置

（1）添加網(wǎng)絡(luò)策略和訪問(wèn)控制服務(wù)。

（2）在標(biāo)準(zhǔn)配置中選擇“用于802.1X無(wú)線或有線連接的Radius服務(wù)器”。

（3）在選擇802.1X連接類(lèi)型中選擇“安全有線（以太網(wǎng)）連接”選項(xiàng)。

圖1 思科2960G“友好名稱(chēng)”屬性配置

圖2 配置成功

（4）在“友好名稱(chēng)”中設(shè)置名稱(chēng)，“地址”中輸入校園網(wǎng)接入交換機(jī)的管理IP地址；選擇“手動(dòng)”輸入共享機(jī)密，并在共享機(jī)密和確認(rèn)共享機(jī)密中輸入“yuying”，用于Radius服務(wù)器與交換機(jī)之間的驗(yàn)證。

（5）在配置身份驗(yàn)證方法中，選擇“Microsoft：智能卡或其他證書(shū)”。

（6）指定用戶(hù)組中，添加前面在域中建立的“Radius用戶(hù)組”即可。

（7）在配置流量控制中，選擇流量控制或者是不進(jìn)行流量控制。

（8）配置完成后，檢查相關(guān)信息沒(méi)有問(wèn)題后，單擊“完成”按鈕，將按設(shè)置完成安裝與配置。

（9）配置成功后，在網(wǎng)絡(luò)策略服務(wù)器頁(yè)面，Radius客戶(hù)端中顯示完成的配置，如圖2所示。

5.雙服務(wù)器備份機(jī)制

系統(tǒng)接入與身份認(rèn)證控制系統(tǒng)對(duì)于保障用戶(hù)安全接入信息系統(tǒng)至關(guān)重要，其中某些部件發(fā)生錯(cuò)誤會(huì)引起系統(tǒng)的失效。為了保證系統(tǒng)能夠穩(wěn)定可靠的運(yùn)轉(zhuǎn)，采取雙服務(wù)器備份的機(jī)制實(shí)現(xiàn)系統(tǒng)容錯(cuò)。

交換機(jī)配置

在交換機(jī)系統(tǒng)中，除了要配置好和Radius服務(wù)器成功通信的必要參數(shù)外，重點(diǎn)是要配置好交換機(jī)的802.1X認(rèn)證功能。

1.思科交換機(jī)具體配置

（1）啟用802.1X認(rèn)證

Switch（config）#dot1x system-auth-control （全局啟用dot1x認(rèn)證）

Switch（config）#aaa new-model （全局啟用AAA訪問(wèn)控制）

Switch（config）#aaa authentication dot1x default group radius（指定AAA認(rèn)證方法為使用Radius服務(wù)器進(jìn)行認(rèn)證）

S w i t c h（c o n f i g）#interface gigabit Ethernet 0/1 （進(jìn)入接口）

Switch（config-if）#switchport mode access（指定接口類(lèi)型為access，只有在access模式下的端口才支持802.1X認(rèn)證）

Switch（config-if）#dot1x pae authenticator（以默認(rèn)參數(shù)啟用端口的802.1X認(rèn)證）

Switch（config-if）#authentiction portcontrol auto （在端口上啟用802.1X認(rèn)證，指定控制模式為自動(dòng)）

（2）配置交換機(jī)與Radius服務(wù)器之間的通信

S w i t c h（c o n f i g）#radius-server host 58.118.180.42 key yuying（指定Radius服務(wù)器的IP地址以及與Radius服務(wù)器通訊的密鑰為yuying，此密鑰為配置Radius服務(wù)器時(shí)設(shè)置的共享機(jī)密必須一致）

默認(rèn)autu-port使用UDP的1645端口，acct-port使用UDP的1646端口。

（3）802.1X認(rèn)證主機(jī)模式配置

Switch（config-if）#dot1x host-mode

multi-domain 多域認(rèn)證，允許間接連接在端口上的多個(gè)主機(jī)和一個(gè)語(yǔ)音設(shè)備在端口上被授權(quán)。

multi-host 多主機(jī)認(rèn)證，只要第一個(gè)主機(jī)通過(guò)認(rèn)證后，間接連接在該端口下的其他所有主機(jī)均將被授權(quán)。如果此接口下接交換機(jī)時(shí)需要啟用這個(gè)模式。

single-host 單主機(jī)認(rèn)證，僅允許一臺(tái)主機(jī)連接。

（4）802.1X認(rèn)證違例行為模式配置

Switch（config-if）#authentiction violation

shutdown 關(guān)閉該端口，這是默認(rèn)的違例行為模式。

restrict 端口處于受限模式，但不關(guān)閉該端口。

replace 原主機(jī)斷開(kāi)連接，新主機(jī)連接該端口是使用新主機(jī)MAC地址進(jìn)行認(rèn)證。

（5）修改靜止等待周期

認(rèn)證客戶(hù)端失敗時(shí)，交換機(jī)會(huì)在一個(gè)延時(shí)后重新對(duì)客戶(hù)端進(jìn)行認(rèn)證，這個(gè)延時(shí)時(shí)間就是quiet-period（靜止周期）值。

Switch（config-if）#dot1x timeout quietperiod

取值范圍0—65535秒，默認(rèn)值為60秒。

2.華為交換機(jī)具體配置

（1）啟用802.1X認(rèn)證

[Quidway]dot1x （開(kāi)啟全局802.1X）

默認(rèn)情況下，全局的802.1X認(rèn)證為關(guān)閉狀態(tài)。

[Q u i d w a y]d o t 1 x interface gigabitEthernet 1/0/1 （進(jìn)入接口）

默認(rèn)情況下，所有端口的802.1X認(rèn)證為關(guān)閉狀態(tài)。

[Q u i d w a y]d o t 1 x authentication-method

chap CHAP認(rèn)證，即采用客戶(hù)端與服務(wù)器端交互挑戰(zhàn)信息的方式來(lái)驗(yàn)證用戶(hù)身份。默認(rèn)802.1X認(rèn)證方式為CHAP認(rèn)證。

eap EAP認(rèn)證，即交換機(jī)將收到的客戶(hù)端EAP報(bào)文直接封裝到Radius報(bào)文的屬性字段中，發(fā)送給Radius服務(wù)器完成認(rèn)證。

pap PAP認(rèn)證，即通過(guò)用戶(hù)名和口令對(duì)用戶(hù)進(jìn)行驗(yàn)證。

[Quidway]dot1x portcontrol

authorized-foree 強(qiáng)制授權(quán)，表示受控端口始終處于授權(quán)狀態(tài)，允許用戶(hù)不經(jīng)認(rèn)證即可訪問(wèn)網(wǎng)絡(luò)資源。

unauthorized-foree強(qiáng)制非授權(quán)，表示受控端口始終處于非授權(quán)狀態(tài)，即設(shè)備端不對(duì)通過(guò)該端口接入的客戶(hù)端提供認(rèn)證服務(wù)。

（2）配置交換機(jī)與Radius服務(wù)器之間的通信

[Q u i d w a y]r a d i u s scheme radius （定 義Radius認(rèn)證服務(wù)器Radius的相關(guān)屬性）

[Quidway-radiusr a d i u s]p r i m a r y authentication 58.118.180.42 （指定認(rèn)證服務(wù)器的地址）

[Quidway-radiusradius]key authentication yuying （指定認(rèn)證與認(rèn)證服務(wù)器通訊的密鑰）

[Quidway-radiusradius]user-name-format without-domain （指定發(fā)送給Radius服務(wù)器的用戶(hù)名不攜帶域名）

（3）802.1X認(rèn)證主機(jī)模式配置

[Quidway-Gigabit Ethernet 1/0/1]dot1x port-method

portbased 采用基于端口認(rèn)證接入控制方式。

macbased 采用基于MAC地址認(rèn)證接入控制方式。

[Quidway]dot1x maxuser （端口允許同時(shí)接入的用戶(hù)最大數(shù)）

（4）802.1X認(rèn) 證 來(lái) 賓VLAN及認(rèn)證失敗VLAN配置

[Quidway-GigabitEthernet 1/0/1]dot1x guest-vlan （沒(méi) 有得到認(rèn)證的用戶(hù)加入到特定VLAN使它們可以訪問(wèn)有限的網(wǎng)絡(luò)資源）

[Quidway-GigabitEthernet 1/0/1]dot1x auth-fail vlan （認(rèn)證失敗情況下可以訪問(wèn)某一特定VLAN中的資源）

（5）設(shè)置交換機(jī)向客戶(hù)端發(fā)送認(rèn)證請(qǐng)求的最大次數(shù)

[Quidway]dot1x retry（取值范圍1—10次，默認(rèn)值為2次）

Windows 10客戶(hù)端中配置

1.在Windows 10系統(tǒng)中配置這種身份驗(yàn)證功能時(shí)，需要運(yùn)行“Wired Autocnfig” 以 及“WLAN Autoconfig”服務(wù)。

2.打開(kāi)“以太網(wǎng)絡(luò)屬性”對(duì)話框，點(diǎn)選“身份驗(yàn)證”選項(xiàng)卡，確保選項(xiàng)頁(yè)面中的“啟用 IEEE 802.1X身份驗(yàn)證”被選中，同時(shí)將網(wǎng)絡(luò)身份驗(yàn)證方法設(shè)置為“Microsoft：受保護(hù)的 EAP（PEAP）”，單擊“確定”按鈕。

配置成功后，客戶(hù)端在日后連接到交換機(jī)時(shí)，不會(huì)立即接入校園網(wǎng)，而是處于連接受限狀態(tài)。用鼠標(biāo)單擊系統(tǒng)通知欄處的連接提示后，將會(huì)出現(xiàn)一個(gè)身份認(rèn)證對(duì)話框，只有在輸入正確的用戶(hù)名、密碼后，通過(guò)了安全認(rèn)證后，才能成功接入校園網(wǎng)，這時(shí)整個(gè)網(wǎng)絡(luò)的安全性就能夠得到有效保證了。

結(jié)語(yǔ)

基于802 .1X的校園網(wǎng)認(rèn)證，網(wǎng)絡(luò)更安全，更易管理。但仍有許多問(wèn)題有待進(jìn)一步解決，針對(duì)于這些限制我們采取了一些有針對(duì)性的實(shí)施措施，有些得到了很好地解決，有些效果不是很好，同時(shí)在使用中又出現(xiàn)了新的問(wèn)題。要想很好的使用802.1X的校園網(wǎng)認(rèn)證，需要技術(shù)、管理多重手段，同時(shí)也需要網(wǎng)管人員有高度的責(zé)任感和良好的敬業(yè)精神。