利用802.1X、动态VLAN和radius技术组网测试方案VIP专享

利用802.1X、动态 VLAN 和 radius 技术组网测试方案 一、 组网测试背景 IEEE 802.1X 标准认证协议和动态 VLAN 的引入，在以太网交换机端口实现对用户认证、授权，，以其实现技术简单、灵活成为企业局域网的首选。利用 802.1X和 RADIUS 认证服务器的授权控制，根据用户不同动态分配交换机端口 VLAN 属性实现较灵活的控制，实现了一定范围内的移动办公需求。整套 方案应用成熟，易于实现，给企业局域网安全管理提供了一种有效的解决途径。 二、组网测试技术简介 1、IEEE 802.1X 认证协议 它 是基于 C/S 结构面向端口的访问控制认证协议。交换机端口有几种状态Block、Listen、Learn 和 Forward，如果端口不配置认证，PC 配 置相应的地址即可访问网络。通过对端口 802.1X 的配置，端口处于受控状态 Authen 和UNAuthen，在未认证状态下，端口仅收发EAPoL 等认 证包信息，不允许访问网络，如果未配置 VLAN，端口处于那个VLAN 都未知；在认证通过后，根据用户在服务器上的配置，端口分配相应特性，才可以访问网 络。这正是我们所需要的特性。 802.1X 体系有三部分构成，客户机、网络设备和认证服务器。 客户机：实现 EAPoL 的请求和应答 ，目 前 Win2000SP4、WIN XP 、WIN2003 均 内置了认证客户端软 件 ，WIN98SE、Linux 需要相应客户端软 件 的支 持 ，可选用第三方的 802.1X 认证软 件 。 网络设备：认证存 取 点 ，可以选取 支 持 802.1X 认证的无 线 AP 和二层 以上的交换机。应注 意 支 持 的兼 容 性，对 802.1x 和 RFC RADIUS 支 持 良 好 。尽 管许多 厂 商 都宣 称 支 持 802.1X，存 在很 多 兼 容 性问题 ，往 往 引起 工 程 实施 中 的难 度 。 认证服务器：实现客户端身 份 认证，并 下发RADIUS 的属性。应选用对 IETF 支 持良 好 的服务器，常 用的有 CISCO ACS3.1-3.3，华 为的 CAMS 以及 win2003 自 带 的IAS 服务。 总 之 ，在工 程 实施 中 ，应选用对 802.1X、RFC RADIUS 支 持 兼 容 好 ，注 意 各 应用系统 的软 件 版 本 ，如 Windows、交换机 IOS 和 RADIUS 的版 本 ，这是工 程 成功 的很 重 要的部分。 2、动态 VLAN 是 指 根据交换机的某 个设定，将 端口划 分到 一个VLAN 中 。划 分 VLAN 的条 件 有很 多 ，根据 MAC 地址（...