返回
基于ieee 802.1x网络准入控制系统设计和实现

基于ieee 802.1x网络准入控制系统设计和实现

ID:6073495

大小:28.00 KB

页数:6页

时间:2018-01-02

基于ieee 802.1x网络准入控制系统设计和实现_第1页
基于ieee 802.1x网络准入控制系统设计和实现_第2页
基于ieee 802.1x网络准入控制系统设计和实现_第3页
基于ieee 802.1x网络准入控制系统设计和实现_第4页
基于ieee 802.1x网络准入控制系统设计和实现_第5页
资源描述:

《基于ieee 802.1x网络准入控制系统设计和实现》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于IEEE802.1x网络准入控制系统设计和实现  【摘要】为确保本地网络资源的安全,可在网络边界处部署防火墙、安全认证网关等设备,但局域网内用户可未经授权访问关键的IT资源,占用宝贵的网络资源甚至发起攻击。为解决这个问题,本文设计了一种基于IEEE802.1x的网络准入控制系统,深入分析了802.1x协议及网络准入控制系统体系结构,通过将802.1x与RADIUS认证服务器结合构建了一个高效、可靠的内部网络802.1x/EAP接入方案,并在网络环境下进行了实验。【关键词】认证;准入;安全1802.1x协议802

2、.1x协议是一种数据链路层身份验证协议,发送认证协议数据包对连接到交换机端口上的用户/设备进行身份认证,认证通过后才允许正常的数据通过交换机端口,控制着对内部网络接入点的访问。使用802.1X协议的优势有几点。(1)实现简单:802.1x可以借助CISCORADIUS服务器实现身份认证功能,在小规模网络环境下也可采用本地认证的方式,网络综合造价成本低。(2)安全可靠:802.1x身份认证方式可结合MAC地址、端口、VLAN等绑定技术并封装用户名/密码,安全性较高。6(3)行业标准:802.1X协议是IEEE标准技术

3、,微软WindowsXP、Linux等客户端操作系统和Cisco、华为、H3C等网络设备IOS都提供了对该协议的支持。2网络准入控制系统体系结构基于802.1x的网络准入控制系统能够对局域网内的计算机进行控制。如图1所示,802.1x用户身份认证系统有四个组件。(1)客户端系统客户端使用客户端软件向接入端发起802.lx认证请求。在客户端和接入端之间使用EAPOL格式封装EAP协议数据传送认证信息,包括EAP-MD5、PEAP和EAP-TLS三种认证方式。(2)接入端系统接入端对客户端进行认证。接入端设备包括可控端

4、口和不可控端口,只有在通过802.1X认证后业务数据才允许通过可控端口,而不可控端口则不受限制,允许所有的协议数据和业务数据通过。(3)认证服务器系统认证服务器为接入端提供认证服务,使用RADIUS协议双向传送认证信息。(4)安全基础设施安全基础设施包括认证机构CA、注册机构RA、LDAP存储库等组件,用于提供对其他系统中的实体可信授权验证服务。3网络准入控制系统部署(1)客户端系统6客户端通常是支持802.1x认证的用户设备,如个人计算机。客户端启动客户端软件向接入端发起802.lx认证请求,合法用户通过认证后可

5、访问本地网络资源。对未安装规定安全客户端软件的,可设置为持续弹出对话框提示安装。在WindowsXP操作系统中802.1x设置方法为:打开网络连接属性,在“身份验证”选项卡中勾选“启用IEEE802.1X身份验证”,选择EAP类型(有MD5-质询、受保护的EAP(PEAP)、智能卡或其他证书三种类型)。若网络连接属性里没有“身份验证”选项卡,则需在操作系统中开启WiredAutoConfig服务。传统802.1x使用MD5-Challenge认证,在接入网络时只输用户名和口令,为增强安全性可选择采用数字证书的PEA

6、P和EAP-TLS方式。(2)接入端系统接入端通常为支持802.lx协议的交换机等网络设备。在Cisco交换机上基本配置方式如下:(config)#aaanew-model//启动AAA。(config)#radius-serverhostXX.XX.XX.XXkey//配置RADIUS服务器地址及密钥。(config)#aaaauthenticationdot1xdefaultgroupradius//配置802.1x默认认证方法为RADIUS。(config)#dot1xsystem-auth-control6

7、//在交换机上全局启用802.1x认证。(config)#intfa0/1(config-if)#switchportmodeaccess(config-if)#dot1xport-controlauto//设置接口的802.1x状态。(config-if)#dot1xhost-modemulti-host//通过Hub等方式在交换机端口下连接多台PC时需要配置这个命令,默认只支持对一台PC认证[1]。(3)认证服务器系统认证服务器采用RADIUS认证方式,这就要求所有参与认证的网络设备配置RADIUS认证方式。值

8、得注意的是,为支持802.1x,ACS服务器版本号至少在V3.0以上。在CISCOACS服务器上配置如下:1)在InterfaceConfiguration的RADIUS(IETF)中勾选[064]Tunnel-Type,[065]Tunnel-Medium-Type,[081]Tunnel-Private-Group-ID,如图3所示。2)进入GroupS

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。