【交换机】配置1X认证的场景和功能原理以及配置1X认证有什么效果？

发布时间：2013-11-16

点击量：3855

应用场景：
802.1X拥有丰富的安全控制功能，扩展属性，广泛的应用于各个行业，常见的有教育，金融，运营商，政府等行业，帮助客户实现对于终端接入的安全控制与访问授权，记账，收费运营等业务。通常需要支持802.1x功能的交换机配合radius认证&记账服务器（常见的有我司的SAM，H3C的CAMS，cisco的ACS，赛门铁克，微软的域控服务器等）。将网络的安全控制粒度精确的延伸到每个终端的接入端口上。

当客户针对自己的网络的各类终端，移动接入设备等希望能够精确的控制他们能不能接入网络使用，是否合法用户，实名上网，记录上线下线的时间，是否需要收费等这些需求的时候，就可以考虑部署802.1x认证；网络中心通过用户名&密码的方式，或者是认证前后的vlan跳转获取不同的IP地址段，从而实现认证前访问部分服务器资源，认证后才能上internet；根据合法的认证用户提供的IP+MAC信息做绑定，还能防ARP欺骗，或者是终端上面安装的认证客户端软件，下发访问策略，控制用户能访问的资源范围。

另外需要说明一点，部署802.1x认证需要强制在每个客户终端（比如PC）上面安装客户端软件（比如我司的SU），或者是采用window操作系统自带的客户端，使用者可能有抵触情绪。但是由于兼容性强，协议发展成熟度高，认证交换机（NAS）与服务器（radius）可以分开采用不同厂商的设备，不需要配套，可以大大保护客户原有的设备投资，并且目前802.1x功能已经被业界认可为一个基本的功能，各大厂商的中低端产品都全面支持802.1x，所以目前该功能还是市场上安全接入认证方面的主流技术。

典型部署拓扑

功能原理：
802.1X：IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。
802.1x的认证的最终目的就是确定一个端口是否可用。如果认证成功那么就“打开”这个端口；如果认证不成功就使这个端口保持“关闭” ；

使用802.1X认证可以实现对用户的实名认证和计费，锐捷网络特有的SAM/SMP认证方案，可以实现灵活的上网控制和计费策略。

设备的角色
IEEE802.1x 标准认证体系由恳请者、认证者、认证服务器三个角色构成，在实际应用中，三者分别对应为：工作站（Client）、设备(network access server，NAS)、Radius-Server。

恳请者（supplicant）
恳请者是最终用户所扮演的角色，一般是个人PC。它请求对网络服务的访问，并对认证者的请求报文进行应答。恳请者必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是WindowsXP 操作系统自带的IEEE802.1x 客户端支持，另外，我司也已推出符合该客户端标准的STAR Supplicant 软件。

认证者（NAS）
认证者一般为交换机等接入设备。该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间，该设备扮演着中介者的角色：从客户端要求用户名，核实从服务器端的认证信息，并且转发给客户端。因此，设备除了扮演IEEE802.1x 的认证者的角色，还扮演RADIUS Client 角色，因此我们把设备称作network access server(NAS)，它要负责把从客户端收到的回应封装到RADIUS 格式的报文并转发给RADIUS Server，同时它要把从RADIUS Server 收到的信息解释出来并转发给客户端。
扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。我们把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与设备的正常通讯。

认证服务器（Radius）
认证服务器通常为RADIUS 服务器，认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。锐捷网络科技公司实现802.1x 的设备完全兼容标准的Radius Server，如MicroSoft win2000 Server 自带的Radius Server 及Linux 下的Free Radius Server。

802.1x报文交互过程如下：

过程分解如下：
1. 客户端SU以组播方式发送一个EAP报文发起认证过程。
2. 交换机收到该报文后，发送一个EAP-Request报文响应客户端的认证请求，要求用户提供用户名信息。
3. 客户端收到EAP-Request之后响应一个EAP-Response报文，将用户名封装在EAP报文中发给交换机。
4. 交换机将客户端送来的EAP-Request报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器。
5. 认证服务器收到RADIUS Access-Request报文后进行验证，如果该用户的相关信息有效，则对该用户发起一次认证挑战（RADIUS Access-Challenge），要求用户提供密码。
6. 交换机收到这条RADIUS Access-Challenge报文后，将挑战请求用一条EAP-Challenge Request转发给客户端。
7. 客户端接到挑战请求后，将用户密码进行加密处理，封装在EAP-Challenge Response中返回给交换机。
8. 交换机将用户的EAP-Challenge Response封装为RADIUS Access-Request报文转发给认证服务器。
9. 认证服务器对用户的密码进行验证，如果验证失败，服务器将返回一条RADIUS Access-Reject报文，拒绝用户的认证请求；如果验证通过，服务器则发送一条RADIUS Access-Accept报文给交换机。
10. 交换机在接到认证服务器发来的RADIUS Access-Accept之后，解除对客户端的访问控制，同时发送一条EAP-Success报文给客户端通知其认证已经成功。
11. 交换机向认证服务器发送一条RADIUS Accounting-Request（Start）报文，申请对该用户进行记账。
12. 认证服务器接到请求后开始记账，并向交换机返回一条RADIUS Accounting-Response报文，告知记账操作已经开始。
13. 用户下线时，客户端向交换机发送一条EAPOL-Logoff报文，申请开始下线操作。
14. 交换机向认证服务器发送RADIUS Accounting-Request（Stop）请求，申请对该用户停止记账。
15. 认证服务器收到请求后停止记账，同时响应一条RADIUS Accounting-Response报文。
16. 交换机发送一条EAPOL Failure消息给客户端提示下线成功，并打开对该用户的访问控制。