基于802.1X的校園網準入控制方式

    一般情況下，根據認證服務器的部署位置的不同，可以采用WEB方式、802.1X方式、PPPoE方式、PPTP認證方式等。

1、 802.1X認證方式

    802.1X是IEEE制定關于用戶接入網絡的認證標準，它的全稱是“基于端口的網絡接入控制”。802.1x協議是基于C/S的訪問控制和認證協議。它可以限制未經授權的用戶或設備通過接入端口(access port)訪問局域網（LAN）及無線網絡（WLAN）。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶進行認證[2]。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。以太網的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。其中，不受控端口始終處于雙向聯通狀態，主要用于傳輸認證信息，而受控端口的聯通或斷開是由該端口的授權狀態決定的。802.1X的體系結構如圖所示：

1.1 RADIUS協議

    RADIUS：Remote Authentication Dial In User Service（遠程用戶撥號認證系統），由RFC2865，RFC2866定義，是目前應用最廣泛的AAA協議。IEEE提出的802.1x標準，在認證時采用RADIUS協議。

    RADIUS是一種C/S結構的協議，它的客戶端最初就是NAS（Net Access Server）服務器，現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端[1]。RADIUS協議認證機制靈活，可以采用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議，它進行的全部工作都是基于Attribute-Length-Value的向量進行的,因此RADIUS也支持廠商擴充廠家專有屬性。

    由于RADIUS協議簡單明確，可擴充，因此得到了廣泛應用，包括普通電話上網、ADSL上網、小區寬帶上網、IP電話、VPDN（Virtual Private Dialup Networks，基于撥號用戶的虛擬專用撥號網業務）、移動電話預付費等業務。

1.2  802.1x認證特點

（1）802.1x協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本，不會增加匯聚交換機的交換壓力。純以太網技術內核，保持了IP網絡無連接特性，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余。

（2）借用了在RAS系統中常用的EAP（擴展認證協議），可以提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容，具有IEEE標準，和以太網標準同源，可以實現和以太網技術的無縫融合，幾乎所有的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協議的支持。

（3）802.1X的認證體系結構中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現業務與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數據包是無需封裝的純數據包。

（4）可以使用現有的后臺認證系統降低部署的成本，并有豐富的業務支持；

（5）可以映射不同的用戶認證等級到不同的VLAN，可以使交換端口和WLAN具有安全的認證接入功能。

1.3  802.1x工作過程

（1）當用戶有上網需求時打開802.1X客戶端程序，輸入已經申請、登記過的用戶名和口令，發起連接請求。此時，客戶端程序將發出請求認證的報文給交換機，開始啟動一次認證過程。 

（2）交換機收到請求認證的數據幀后，將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。 

（3）客戶端程序響應交換機發出的請求，將用戶名信息通過數據幀送給交換機。

（4）交換機將客戶端送上來的數據幀經過封包處理后送給認證服務器進行處理。 

（5）認證服務器收到交換機轉發上來的用戶名信息后，將該信息與數據庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。 

（6）客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務器。 

（7）認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發出打開端口的指令，允許用戶的業務流通過端口訪問網絡。否則，反饋認證失敗的消息，并保持交換機端口的關閉狀態，只允許認證信息數據通過而不允許業務數據通過。

2、 PPPOE認證方式

    PPPOE：point-to-point protocol over ethernet（以太網的點對點協議），可以使以太網的主機通過一個簡單的橋接設備連到一個遠端的接入集中器上。

    PPP：Point to Point Protocol（點到點協議）。它是TCP/IP網絡協議集的成員之一，也可以認為PPP是對TCP/IP的一個擴展，它增加了兩組有用的功能，使得TCP/IP信息包能夠通過串行鏈路來傳輸，以適用于WAN(廣域網）。

    PPP是為串行通信設計的，現在它與以太網（Ethernet）相結合，成為在以太網絡中轉播PPP幀信息的技術,也稱PPP over Ethernet，即PPPoE協議。

    使用串行鏈路的ISP在調制解調器通信上使用PPP協議，同時PPPoE允許ISP們對用戶的登錄安全進行控制和測量用戶流量，因此對于PPPoE協議主要由DSL提供商使用。對于校園網這種以太網網絡拓撲結構，一般不采用這種認證方式，但是相對于其他的認證方式，可以作為一個很好的補充。

3、 PPTF認證方式

    PPTP：點對點隧道協議(PPTP: Point to Point Tunneling Protocol），是一種支持多協議虛擬專用網絡的網絡技術，它工作在第二層。通過該協議，遠程用戶能夠通過 Microsoft Windows 系列操作系統以及其它裝有點對點協議的系統安全訪問公司網絡，并能撥號連入本地 ISP，通過 Internet 安全鏈接到內部網絡。

    該協議是在PPP協議的基礎上開發的一種新的增強型安全協議，支持多協議虛擬專用網（VPN），可以通過密碼身份驗證協議（PAP）、可擴展身份驗證協議（EAP）等方法增強安全性。可以使遠程用戶通過撥入ISP、通過直接連接Internet或其他網絡安全地訪問企業網。

4、 WEB認證方式

    WEB認證接入方式采用重定向技術，客戶端無需安裝任何軟件，用戶只需打開瀏覽器，輸入任意網址就會彈出認證界面，引導用戶輸入用戶名密碼進行認證，合法用戶認證通過后可以正常訪問網絡，非法用戶的網絡訪問被拒絕。

    WEB認證接入技術組網方式靈活，客戶維護成本低，適應各種網絡環境，可以實現用戶名、IP 地址和Mac 地址的綁定，方便運營維護。

5、 小結

    目前高校網絡認證方式主要為WEB認證方式、802.1X認證方式。使用WEB認證方式可以方便部署，不需要更改交換機配置，隨時部署隨時生效，用戶不需要安裝客戶端。而存在的問題主要是不能對局域網絡準入進行很好的控制，由于內網用戶數據包在接入內部，僅訪問內部服務器和局域網用戶時，數據包不需要經過認證服務器，那么數據包在整個局域網內部是合法的，校內的所有公共服務器資源，局域網內共享資源都是可達的，這樣造成局域網內部上網用戶混亂，會出現IP地址沖突、病毒攻擊等上網中斷，導致正常用戶無法正常上網。802.1X認證方式需要對交換機進行配置，所有交換機需要配置AAA認證，使交換機可以和認證服務器進行數據交換，整個校園網部署過程比較繁瑣，當服務器因IP地址進行變動或更換地理位置時，就需要對整個校園網接入交換機進行重新配置。但是這樣的優點是，可以保證每一個上網用戶都是合法的，即使在校園網內部也同樣需要認證。對兩種認證方式的特點比較，就會得到如表1所示內容。

    兩種認證方式都可以部署在橋接的方式，所以橋接的方式下可以實現混合認證，根據不同用戶類型，制定不同的準入方案，但是旁路的方式只能使用802.1X的認證方式。由于信息化的高速發展，帶寬的不斷增加，上網人數激增，導致在主干線路上的數據流量十分龐大，對于串入主干上的設備就要求其安全、穩定、高效。通常我們在主干上有防火墻、路由器、核心交換、流控等設備，每個串入一臺設備都會對網絡或多或少的影響，所以盡量還是要使用旁路部署。