下载后可任意编辑北信源桌面终端标准化管理系统基于 802.1x 协议的准入控制方案一、802.1x 协议认证描述 802.1x 协议是基于 Client/Server 的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问 LAN/MAN。在获得交换机或 LAN 提供的各种业务之前,802.1x 对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x 只允许 EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。 网络访问技术的核心部分是 PAE(端口访问实体)。在访问控制流程中,端口访问实体包含 3 部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。 二、802.1x 认证特点 基于以太网端口认证的 802.1x 协议有如下特点:IEEE802.1x 协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在 RAS 系统中常用的 EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统 PPP 认证架构的兼容;802.1x 的认证体系结构中采纳了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由 RADIUS 和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的支持;可以映射不同的用户认证等级到不同的 VLAN;可以使交换端口和无线 LAN 具有安全的认证接入功能。三、802.1x 应用环境及其配置a. 一台安装 IAS 或者 ACS 的 RADIUS 认证服务器;b. 一台安装 VRVEDP 服务器;下载后可任意编辑c.一个应用可网管交换机的网络环境;1.RADIUS 认证服务器配置如下:进入添加/删除程序中的添加/删除 Windows 组件,选择网络服务中的 Internet验证服务2.安装 IAS 后,进入 IAS 配置界面下载后可任意编辑3.右键点击 RADIUS 客户端,选择新建 RADIUS 客户端。客户端地址为验证交换机的管理地址,点击下一步。 4.选择 RADIUS Standard,共享机密为交换机中所配置的 key。点击完成。注:1、验证交换机可以填写多个,比如:有 100 个支持 802.1X 协议的接入层交换机,就需要执行 100 次步骤 3 与步骤 4 ...
