謝敬銳 黃佑強 劉星程 王世玲 張江

摘要：局域網接口的安全性往往被網絡管理員所忽視，然而統(tǒng)計數(shù)字表明，大多數(shù)的信息外泄其實源自網絡內部。使用商用的802.1X認證協(xié)議可以有效提高局域網安全性，然而對于大多數(shù)企事業(yè)單位而言，購買商用的系統(tǒng)費用過高。本文提出了一種使用微軟自帶組件作為802.1X認證服務軟件的免費認證方案，該方案和商用系統(tǒng)相比，成本無疑是極其低廉的。

關鍵詞：802.1X;局域網安全;認證服務

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）17-0051-03

Absrtact： The security of LAN interface is often ignored by network administrators. However， statistics show that most of the information leakage comes from the inside of the network. Using commercial 802.1x authentication protocol can effectively improve the security of LAN， but for most enterprises and institutions， the cost of purchasing commercial system is too high. This paper presents a free authentication solution using Microsoft's own components as 802.1x authentication service software. Compared with commercial system， the cost of this solution is very low.

Key words： 802.1X; LAN security; authentication services

1 研究背景

統(tǒng)計數(shù)字表明，大多數(shù)信息安全威脅其實來自網絡內部。忽視內網安全，是很多企事業(yè)單位發(fā)生信息安全事故的主要原因。對局域網安全管控固然有一些現(xiàn)成的產品，然而動輒數(shù)十萬甚至上百萬的建設費用往往讓很多企業(yè)望而卻步，如何使用有限的預算提升局域網的安全性是網絡管理者必須關注的問題。為解決這一問題，本文提出了一種免費的局域網終端接入認證方案。該方案只需采用微軟自帶的Internet驗證服務（IAS）和支持802.1X的交換機即可實現(xiàn)對企業(yè)內網安全的有效管理和控制。

2 相關技術簡介

2.1 802.1X認證協(xié)議概論

IEEE 802.1X認證是一種基于端口的功能強大的接入認證體系，它可以在網絡端口層級上拒絕非認證用戶的接入，從而有效地防范非認證網絡及終端接入局域網。支持IEEE 802.1X協(xié)議的網絡設備，在終端通過認證之前，終端所連接的端口處于關閉狀態(tài)，僅能收發(fā)EAPoL（局域網擴展認證協(xié)議）認證包信息，不允許終端連接網絡。終端通過EAPoL經交換機向遠程認證服務器（RADIUS）發(fā)送認證請求，認證通過后，網絡設備開啟端口，終端接入網絡。

2.2 802.1X認證協(xié)議體系結構

802.1X是一種基于端口的訪問控制協(xié)議，其體系結構包括三個部分：客戶端、認證系統(tǒng)和認證服務器。

2.2.1 客戶端系統(tǒng)

802.1X的客戶端系統(tǒng)一般是指請求接入局域網的一個用戶終端，該終端通常需要安裝一個客戶端軟件，用戶通過這個軟件發(fā)起局域網入網認證過程。

2.2.2 認證系統(tǒng)

認證系統(tǒng)一般是指支持802.1X協(xié)議的網絡設備，這種類型的網絡設備每個端口都有兩個邏輯端口：不受控端口和受控端口。不受控端口在所有階段始終處于連通狀態(tài)，允許EAPOL協(xié)議幀自由通過，使得客戶端可以通過EAPOL協(xié)議發(fā)起或接受認證。受控端口只有在通過認證的情況下才打開，打開后即代表客戶端可以正常訪問局域網。

2.2.3 認證服務器

遠程認證（RADIUS）服務器根據用戶名和密碼來決定是否讓客戶端接入網絡，RADIUS服務器存儲著用戶的相關信息，例如用戶所屬的VLAN、優(yōu)先級、訪問控制列表等。用戶通過認證后，RADIUS服務器會把上述信息發(fā)送給認證系統(tǒng)，由認證系統(tǒng)分配用戶的VLAN并構建用戶的訪問控制列表，從而讓用戶接入局域網。

2.3 802.1X認證協(xié)議技術特點

2.3.1 協(xié)議實現(xiàn)簡單

802.1X認證協(xié)議為二層網絡協(xié)議，對設備的性能要求不高，可以有效降低組網成本。

2.3.2 認證和業(yè)務分離

802.1X協(xié)議的認證系統(tǒng)提出了將網絡端口邏輯劃分為“受控端口”和“不受控端口”的技術，該技術可以將業(yè)務數(shù)據流和認證數(shù)據流進行分離，從而有效地提高了認證的安全性和認證效率。

2.3.3 和其他認證方式的比較

和傳統(tǒng)的Web/Portal認證方式相比，802.1X認證協(xié)議主要有兩個好處。一是部署成本低。Web/Portal認證工作在應用層，對設備性能有較高要求;802.1X認證協(xié)議工作在數(shù)據鏈路層，組網成本低。二是安全性更好。Web/Portal是應用層認證協(xié)議，通過Web認證核實用戶身份，特點是“先入網，再認證”;802.1X是底層認證協(xié)議，特點是“先認證，再入網”，未經認證的終端連局域網都不能進入，具有更高的安全性。

3基于802.1X協(xié)議的局域網入網免費認證方案

3.1網絡設計

基于802.1X協(xié)議的局域網入網認證方案網絡結構如圖1所示。認證環(huán)境由終端、交換機、RADIUS 服務器組成。交換機均選用支持802.1X認證功能的華為5700交換機;RADIUS服務器安裝Windows2003操作系統(tǒng)，并預裝Internet驗證服務組件（IAS）和活動目錄（AD）組件;終端安裝802.1X認證客戶端。

3.2認證過程

基于802.1X協(xié)議的局域網入網認證過程如圖2所示。

（1）客戶端向支持802.1X協(xié)議的交換機發(fā)送EAPOL-Start請求幀，收到交換機響應后進一步發(fā)送客戶端身份標識信息。

（2）交換機將EAPOL請求及身份標識信息發(fā)送至RADIUS認證服務器進行驗證。

（3）RADIUS服務器接收到客戶端信息后，首先根據登記的用戶信息進行認證，若認證通過，則將認證結果及用戶對應的VLAN發(fā)送至交換機。

（4）交換機若收到認證通過的結果，則將“受控端口”打開，并劃入對應VLAN，讓客戶端正常接入網絡。

3.3交換機和服務器配置

3.3.1交換機的配置

（1）劃分網絡

將圖1所示的網絡結構，劃分至三個不同的VLAN，見下表。

RADIUS服務器和交換機劃入VLAN10，終端劃入VLAN20或VLAN30。

（2） 設置核心交換機

對核心交換機的設置主要包括：建立和管理所有VLAN，設置與接入層交換機的級聯(lián)等。

（3） 設置接入層交換機

對接入層交換機的設置主要包括：開啟全局802.1X認證協(xié)議，開啟端口的802.1X認證功能、將交換機的缺省域設置為RADIUS服務器所在域、開啟端口的VLAN自動分配功能并建立和認證服務器的互聯(lián)。

3.3.2 RADIUS服務器的配置

（1）活動目錄服務的設置

正常運行IAS服務需要AD服務的支持，本例中AD服務與IAS服務裝在同一臺服務器。在AD服務器中建立名為VLAN20、VLAN30的兩個用戶組，在兩個用戶組下分別建立test20、test30兩個用戶賬號，如圖3所示。

（2）IAS服務的設置

本例使用Windows2003自帶的Internet驗證服務作為802.1X協(xié)議的認證服務軟件。為實現(xiàn)認證服務器與接入層交換機的信息交互，需要在Radius客戶端中添加交換機，地址為交換機管理接口地址（圖4）。

在“遠程訪問策略”中，新建策略VLAN20和VLAN30，設置策略屬性為“允許全時段接入”，并將策略與同名的活動目錄進行匹配。添加策略后，編輯配置文件，設置身份驗證方式為 “加密身份驗證（CHAP）”和交換機的認證方式保持一致。在“編輯撥入配置文件”的高級選項中，添加如下字段信息（圖5）：Tunnel_Medium_Type=802，Tunnel_Type=VLAN， Tunnel_Pvt_Group_ID=20。上述字段設置的含義是：客戶端通過認證后，IAS對接入層交換機發(fā)送VLAN20的信息，交換機將根據此信息將端口設置為VLAN20，從而實現(xiàn)了動態(tài)VLAN。

4結語

采用802.1X認證技術對用戶進行入網認證，對于提高內網安全性而言是一種質的提升。原因在于絕大多數(shù)企業(yè)對于局域網接口沒有做任何安全控制，多數(shù)網絡管理員往往對局域網接口給予完全的信任，殊不知絕大部分的信息外泄其實是這些接口導致的。對局域網的接口進行強制的安全認證，可以從源頭開始就對信息安全進行嚴格控制，從物理層面堵死信息外泄的渠道，從而極大地提升企事業(yè)單位的網絡安全性。目前，付費的RADIUS認證服務軟件部署成本一般在數(shù)十萬元左右，本方案所采用的RADIUS認證服務軟件、AD服務軟件均選用了Windows自帶的免費服務組件，和商用RADIUS認證軟件相比，成本無疑是極其低廉的。

參考文獻：

[1] 徐波，張勤慧.基于802.1x協(xié)議的RADIUS認證原理及分析[J].計算機與現(xiàn)代化，2012（6）：106-108.

[2] 康瑞鋒.基于802.1X與RADIUS聯(lián)動的H3C校園網配置探討[J].電腦知識與技術，2013，9（10）：2310-2313.

[3] 馬菲.基于Radius和802.1x的校園網認證計費體系研究與設計[J].電腦知識與技術，2016，12（22）：30-31.

[4] 董貞良，呂述望，王昭順.基于802.1X的內網安全管理系統(tǒng)認證模塊設計[J].計算機工程，2007，33（12）：193-195，198.

[5] 于承斌，尚年，楊慧慧，等.基于802.1x協(xié)議的認證系統(tǒng)的研究與改進[J].計算機工程，2008，34（17）：117-119.

【通聯(lián)編輯：唐一東】