蘇強林，劉小娜

（河南機電高等?？茖W校，河南 新鄉(xiāng) 453000）

1 概述

為防止非授權(quán)終端和用戶接入網(wǎng)絡(luò)，消除不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)所帶來的安全隱患，就需要采用網(wǎng)絡(luò)準入控制技術(shù)，有效保證只有合法的用戶經(jīng)過授權(quán)才可以接入內(nèi)部網(wǎng)絡(luò)，從而實現(xiàn)接入內(nèi)部信息網(wǎng)的終端和用戶都是合法的、安全的、可控的，對于不符合安全要求的終端，可以隔離，進行安全修復。

2 認證服務(wù)器的部署

要采用什么樣的服務(wù)器部署，首先要考慮具體的網(wǎng)絡(luò)拓撲，根據(jù)不同IP分配策略，具體的管理機制，制定不同的準入方案。目前來說，網(wǎng)絡(luò)一般采用核心、匯聚、接入三層網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示:

圖1 三層網(wǎng)絡(luò)拓撲結(jié)構(gòu)

根據(jù)認證服務(wù)器的性能以及整個網(wǎng)絡(luò)規(guī)模，可以橋接部署和旁路部署。在服務(wù)器性能比較好、網(wǎng)絡(luò)流量不是太大的情況下，可以采用橋接的方式進行部署，這樣所有的上網(wǎng)流量都必須經(jīng)過認證服務(wù)器，可以很好地控制、監(jiān)控整個內(nèi)網(wǎng)情況;在網(wǎng)絡(luò)負載比較大、認證服務(wù)器性能不是很理想的情況下，就要采用旁路部署的認證方式，這種方式由于網(wǎng)絡(luò)數(shù)據(jù)包不需要經(jīng)過服務(wù)器進行轉(zhuǎn)發(fā)，就可以在一定程度上減少服務(wù)器對整個網(wǎng)絡(luò)性能的影響，但是對于數(shù)據(jù)包的控制能力就相對較差，同時對接入交換機的配置、協(xié)議有要求。具體采用什么樣的認證方式也要根據(jù)服務(wù)器的不同部署位置來進行規(guī)劃。

3 準入控制方式

一般情況下，根據(jù)認證服務(wù)器部署位置的不同，可以采用WEB方式、802.1X方式、PPPoE方式、PPTP認證方式等［1］。

3.1 802.1X 認證方式

802.1 X是IEEE制定的關(guān)于用戶接入網(wǎng)絡(luò)的認證標準，它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。802.1X協(xié)議是基于C/S的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶或設(shè)備通過接入端口(access port)訪問局域網(wǎng)(LAN)及無線網(wǎng)絡(luò)(WLAN)。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1X對連接到交換機端口上的用戶進行認證［2］。在認證通過之前，802.1X只允許EAPoL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機端口;認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。其中，不受控端口始終處于雙向聯(lián)通狀態(tài)，主要用于傳輸認證信息，而受控端口的聯(lián)通或斷開是由該端口的授權(quán)狀態(tài)決定的。802.1X的體系結(jié)構(gòu)如圖所示:

圖2 802.1X體系結(jié)構(gòu)

3.1.1 RADIUS 協(xié)議

RADIUS:Remote Authentication Dial In User Service(遠程用戶撥號認證系統(tǒng))，由RFC2865、RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。IEEE提出的802.1X標準，在認證時采用RADIUS協(xié)議。

RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS(Net Access Server)服務(wù)器，現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端［1］。RADIUS協(xié)議認證機制靈活，可以采用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協(xié)議，它進行的全部工作都是基于Attribute－Length－Value的向量進行的，因此RADIUS也支持廠商擴充廠家專有屬性。

由于RADIUS協(xié)議簡單明確、可擴充，因此得到了廣泛應(yīng)用，包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN(Virtual Private Dialup Networks，基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù))、移動電話預(yù)付費等業(yè)務(wù)。

3.1.2 802.1X 認證特點

1)802.1X協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本，不會增加匯聚交換機的交換壓力。純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余。

2)借用了在RAS系統(tǒng)中常用的EAP(擴展認證協(xié)議)，可以提供良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認證架構(gòu)的兼容，具有IEEE標準，和以太網(wǎng)標準同源，可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備(包括路由器、交換機和無線AP)上都提供對該協(xié)議的支持。

3)802.1X的認證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。

4)可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持。

5)可以映射不同的用戶認證等級到不同的VLAN，可以使交換端口和WLAN具有安全的認證接入功能。

3.1.3 802.1X 工作過程

1)當用戶有上網(wǎng)需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。

2)交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

3)客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。

4)交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務(wù)器進行處理。

5)認證服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。

6)客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的)，并通過交換機傳給認證服務(wù)器。

7)認證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

簡單的數(shù)據(jù)包流程圖如圖所示:

圖3 802.1X認證數(shù)據(jù)包簡單流程

3.2 PPPOE 認證方式

PPPOE:Point－to－Point Protocol over Ethernet(以太網(wǎng)的點對點協(xié)議)，可以使以太網(wǎng)的主機通過一個簡單的橋接設(shè)備連到一個遠端的接入集中器上。

PPP:Point to Point Protocol(點到點協(xié)議)。它是TCP/IP網(wǎng)絡(luò)協(xié)議集的成員之一，也可以認為PPP是對TCP/IP的一個擴展，它增加了兩組有用的功能，使得TCP/IP信息包能夠通過串行鏈路來傳輸，以適用于WAN(廣域網(wǎng))。

PPP是為串行通信設(shè)計的，現(xiàn)在它與以太網(wǎng)(Ethernet)相結(jié)合，成為在以太網(wǎng)絡(luò)中轉(zhuǎn)播PPP幀信息的技術(shù)，也稱PPP over Ethernet，即PPPoE協(xié)議。

使用串行鏈路的ISP在調(diào)制解調(diào)器通信上使用PPP協(xié)議，同時PPPoE允許ISP們對用戶的登錄安全進行控制和測量用戶流量，因此PPPoE協(xié)議主要由DSL提供商使用。對于校園網(wǎng)這種以太網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，一般不采用這種認證方式，但是相對于其他的認證方式，可以作為一個很好的補充。

3.3 PPTP 認證方式

PPTP:點對點隧道協(xié)議(PPTP:Point to Point Tunneling Protocol)，是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù)，它工作在第二層。通過該協(xié)議，遠程用戶能夠通過Microsoft Windows系列操作系統(tǒng)以及其他裝有點對點協(xié)議的系統(tǒng)安全訪問公司網(wǎng)絡(luò)，并能撥號連入本地ISP，通過Internet安全鏈接到內(nèi)部網(wǎng)絡(luò)。該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開發(fā)的一種新的增強型安全協(xié)議，支持多協(xié)議虛擬專用網(wǎng)(VPN)，可以通過密碼身份驗證協(xié)議(PAP)、可擴展身份驗證協(xié)議(EAP)等方法增強安全性。可以使遠程用戶通過撥入ISP、直接連接Internet或其他網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。

3.4 WEB 認證方式

WEB認證接入方式采用重定向技術(shù)，客戶端無需安裝任何軟件，只需打開瀏覽器，輸入任意網(wǎng)址就會彈出認證界面，引導用戶輸入用戶名及密碼進行認證，合法用戶認證通過后可以正常訪問網(wǎng)絡(luò)，非法用戶的網(wǎng)絡(luò)訪問被拒絕。

WEB認證接入技術(shù)組網(wǎng)方式靈活，客戶維護成本低，適應(yīng)各種網(wǎng)絡(luò)環(huán)境，可以實現(xiàn)用戶名、IP地址和Mac地址的綁定，方便運營維護。

3.5 小結(jié)

目前高校網(wǎng)絡(luò)認證方式主要為WEB認證方式、802.1X認證方式。使用WEB認證方式可以方便部署，不需要更改交換機配置，隨時部署隨時生效，用戶不需要安裝客戶端。而存在的問題主要是不能對局域網(wǎng)絡(luò)準入進行很好的控制，由于內(nèi)網(wǎng)用戶在接入內(nèi)部，僅訪問內(nèi)部服務(wù)器和局域網(wǎng)用戶時，不需要經(jīng)過認證服務(wù)器，那么數(shù)據(jù)包在整個局域網(wǎng)內(nèi)部是合法的，校內(nèi)的所有公共服務(wù)器資源、局域網(wǎng)內(nèi)共享資源都是可達的，這樣造成局域網(wǎng)內(nèi)部上網(wǎng)用戶混亂，會出現(xiàn)IP地址沖突、病毒攻擊等上網(wǎng)中斷，導致用戶無法正常上網(wǎng)。802.1X認證方式需要對交換機進行配置，所有交換機需要配置AAA認證，使交換機可以和認證服務(wù)器進行數(shù)據(jù)交換，整個校園網(wǎng)部署過程比較繁瑣，當服務(wù)器因IP地址進行變動或更換地理位置時，就需要對整個校園網(wǎng)接入交換機進行重新配置。但是這樣的優(yōu)點是，可以保證每一個上網(wǎng)用戶都是合法的，即使在校園網(wǎng)內(nèi)部也同樣需要認證。對兩種認證方式的特點進行比較，就會得到如表1所示內(nèi)容。

?

兩種認證方式都可以部署在橋接的方式，所以在橋接的方式下可以實現(xiàn)混合認證，根據(jù)不同用戶類型，制定不同的準入方案，但是旁路的方式只能使用802.1X的認證方式。由于信息化的高速發(fā)展，帶寬的不斷增加，上網(wǎng)人數(shù)激增，導致在主干線路上的數(shù)據(jù)流量十分龐大，對于串入主干上的設(shè)備就要求其安全、穩(wěn)定、高效。通常我們在主干上有防火墻、路由器、核心交換、流控等設(shè)備，每串入一臺設(shè)備都會對網(wǎng)絡(luò)有或多或少的影響，所以還是要盡量使用旁路部署。

4 具體案例

河南機電高等專科學校，校園網(wǎng)從1999年開始建設(shè)，經(jīng)歷了設(shè)備新購、舊設(shè)備升級等階段，目前校內(nèi)有華為、3COM、銳捷、邁普等網(wǎng)絡(luò)交換設(shè)備。所以對于準入策略的選用就不能局限于廠家特有的認證服務(wù)器，那么學校采用的是第三方城市熱點的認證服務(wù)器。由于學校流量較大，所以采用旁路部署加802.1X的認證方式。采用三層網(wǎng)絡(luò)拓撲結(jié)構(gòu)、學生用戶名與固定IP地址進行綁定、教師自由IP等策略，規(guī)范用戶上網(wǎng)行為。

在使用802.1X準入策略以來，對每個用戶都可控、可查，減少了ARP欺騙、網(wǎng)絡(luò)攻擊等問題，杜絕IP地址沖突，很大程度上減少了工作量，規(guī)范了上網(wǎng)行為。那么存在的問題是，第三方軟件雖然對各個廠家的交換設(shè)備都可以認證，但是對于交換機的控制、用戶在線檢測、時長判斷、流量控制等就不是很好，各個生產(chǎn)廠家對802.1X協(xié)議會有不同的擴展和限定，交換機在配置過程中要停掉其特有的一些功能。另外由于本校采用的是固定分配IP地址的策略，由于原始版本沒有此功能，需要后期定制，與銳捷SAM認證軟件相比就有明顯差距，沒有普遍性的定制會導致認證軟件在使用過程中出現(xiàn)各種問題。

802.1 X協(xié)議雖然經(jīng)歷11版的改良，但尚未標準化，對交換機的配置使用過程中，針對不同交換機生產(chǎn)廠家，各生產(chǎn)廠商都除了標準的協(xié)議外，會增加一些額外的私有協(xié)議，需要考慮交換機配置的兼容問題。目前國內(nèi)高校中有超過700所高校采用了802.1X技術(shù)進行準入認證，很大程度上是緣于這種技術(shù)可以很好地做到“入網(wǎng)即認證”，在用戶接入的入口進行精細的控制。包括各種元素的綁定、防止破解、防止代理、漫游控制等，做到徹底杜絕非法用戶進入。在未來，802.1X協(xié)議以其廣泛的應(yīng)用，一定會標準化，不再存在兼容性問題，那么網(wǎng)絡(luò)的準入策略也將更加完善。

［1］黃永鋒，王濱，許曉東.RADIUS 在802.1X 中的應(yīng)用［J］.計算機工程與設(shè)計，2006，(5):798 －801.

［2］彭偉.使用802.1X 實現(xiàn)校園網(wǎng)認證［J］.計算機應(yīng)用，2003，(3):85－87.