利用802.1X、动态 VLAN 和 radius 技术组网测试方案 一、 组网测试背景 IEEE 802.1X 标准认证协议和动态 VLAN 的引入,在以太网交换机端口实现对用户认证、授权,,以其实现技术简单、灵活成为企业局域网的首选。利用 802.1X和 RADIUS 认证服务器的授权控制,根据用户不同动态分配交换机端口 VLAN 属性实现较灵活的控制,实现了一定范围内的移动办公需求。整套 方案应用成熟,易于实现,给企业局域网安全管理提供了一种有效的解决途径。 二、组网测试技术简介 1、IEEE 802.1X 认证协议 它 是基于 C/S 结构面向端口的访问控制认证协议。交换机端口有几种状态Block、Listen、Learn 和 Forward,如果端口不配置认证,PC 配 置相应的地址即可访问网络。通过对端口 802.1X 的配置,端口处于受控状态 Authen 和UNAuthen,在未认证状态下,端口仅收发EAPoL 等认 证包信息,不允许访问网络,如果未配置 VLAN,端口处于那个VLAN 都未知;在认证通过后,根据用户在服务器上的配置,端口分配相应特性,才可以访问网 络。这正是我们所需要的特性。 802.1X 体系有三部分构成,客户机、网络设备和认证服务器。 客户机:实现 EAPoL 的请求和应答 ,目 前 Win2000SP4、WIN XP 、WIN2003 均 内置了认证客户端软 件 ,WIN98SE、Linux 需要相应客户端软 件 的支 持 ,可选用第三方的 802.1X 认证软 件 。 网络设备:认证存 取 点 ,可以选取 支 持 802.1X 认证的无 线 AP 和二层 以上的交换机。应注 意 支 持 的兼 容 性,对 802.1x 和 RFC RADIUS 支 持 良 好 。尽 管许多 厂 商 都宣 称 支 持 802.1X,存 在很 多 兼 容 性问题 ,往 往 引起 工 程 实施 中 的难 度 。 认证服务器:实现客户端身 份 认证,并 下发RADIUS 的属性。应选用对 IETF 支 持良 好 的服务器,常 用的有 CISCO ACS3.1-3.3,华 为的 CAMS 以及 win2003 自 带 的IAS 服务。 总 之 ,在工 程 实施 中 ,应选用对 802.1X、RFC RADIUS 支 持 兼 容 好 ,注 意 各 应用系统 的软 件 版 本 ,如 Windows、交换机 IOS 和 RADIUS 的版 本 ,这是工 程 成功 的很 重 要的部分。 2、动态 VLAN 是 指 根据交换机的某 个设定,将 端口划 分到 一个VLAN 中 。划 分 VLAN 的条 件 有很 多 ,根据 MAC 地址(...
