摘 要：802.1x是IEEE制定的身份認證和認證標準，名為基于端口的網(wǎng)絡(luò)接入控制（Port-Based Network Access Control），此標準實現(xiàn)了在數(shù)據(jù)鏈路層對接入網(wǎng)絡(luò)的用戶進行身份認證。最初用于無線局域網(wǎng)，后用于有限局域網(wǎng)，目前已被Microsoft及Cisco等眾多廠商支持。

關(guān)鍵詞：交換機；802.1X

當您去一些公司或公共場所，經(jīng)常會搜索到用于訪客免費訪問的Wi-Fi。在大多數(shù)情況下，提供訪客訪問的熱點與公司網(wǎng)絡(luò)安全隔離，并禁止訪問內(nèi)部數(shù)據(jù)。

說到無線網(wǎng)絡(luò)安全，我們都知道，足夠的加密和安全訪問控制對于阻止未經(jīng)授權(quán)的人訪問公司網(wǎng)絡(luò)或熱點至關(guān)重要。IEEE 802.1X安全標準通常在這里起到了至關(guān)重要的作用，因為其訪問控制機制是提高安全性的保證。正確使用和配置適當?shù)木W(wǎng)絡(luò)設(shè)備，以確保用戶和網(wǎng)絡(luò)本身的最大安全性。

交換機在安全性方面也起著至關(guān)重要的作用。他們是任何復(fù)雜網(wǎng)絡(luò)的守門人。只有能夠在交換機上進行身份驗證的設(shè)備和客戶端才能訪問內(nèi)部網(wǎng)絡(luò)。交換機通過執(zhí)行安全設(shè)置來控制對網(wǎng)絡(luò)的安全訪問。

IEEE 802.1X標準是為了規(guī)范這些訪問權(quán)限而開發(fā)的。它為網(wǎng)絡(luò)上的實際認證奠定了基礎(chǔ)。基本要求是要有一個管理型的“智能”網(wǎng)絡(luò)交換機和一個用于認證的RADIUS服務(wù)器。

實際上，802.1X標準為系統(tǒng)管理員提供了不同認證類型的選擇。以下概述了四種最常見的交換機安全訪問控制類型，并簡要說明了每種交換機的工作方式，優(yōu)點和具體示例。

四種不同使用802.1X的方式

一、基于端口的IEEE 802.1X

此標準通過驗證針對RADIUS服務(wù)器的證書或訪問憑證來調(diào)整交換機端口上客戶端的身份驗證。在一次性成功認證之后，交換機端口保持永久開放以供網(wǎng)絡(luò)訪問。

其優(yōu)點是，成功驗證后，端口保持永久開放，以便進行網(wǎng)絡(luò)訪問。

作為示例場景，接入點連接到交換機端口，并使用證書或訪問憑證在RADIUS服務(wù)器上進行身份驗證并獲得網(wǎng)絡(luò)訪問權(quán)限。

一旦接入點已經(jīng)被認證，相應(yīng)的交換機端口被打開，并且與其相關(guān)聯(lián)的所有WLAN設(shè)備（筆記本電腦，智能手機，平板電腦）可以自由地連接到網(wǎng)絡(luò)。

二、Single IEEE 802.1X

通過使用交換機的Single 802.1X功能，單個客戶端通過在RADIUS服務(wù)器上驗證證書或訪問憑證，在交換機端口進行身份驗證。

這樣做的好處是端口只能在RADIUS服務(wù)器上認證的客戶端打開。如果沒有適當?shù)淖C書或訪問憑證，此端口上的其他客戶端將被拒絕訪問網(wǎng)絡(luò)。

如果連接到交換機端口的計算機使用證書或訪問憑據(jù)對RADIUS服務(wù)器上的網(wǎng)絡(luò)訪問進行身份驗證，則會出現(xiàn)這種情況。

計算機成功通過身份驗證后，RADIUS服務(wù)器將定期發(fā)送密鑰以重新驗證設(shè)備。

三、Multi IEEE 802.1X

通過一個交換機端口對多個客戶端進行RADIUS服務(wù)器認證。這里，作為接口的非智能客戶端可以用于單個交換機端口上的多個客戶端的RADIUS身份驗證。

例如，如果將非管理型交換機連接到為Multi IEEE 802.1X配置的管理型交換機的交換機端口，則會出現(xiàn)這種情況。

所有連接到非管理交換機的計算機都可以通過在RADIUS服務(wù)器上使用證書或訪問憑證來進行網(wǎng)絡(luò)訪問的身份驗證。來自計算機的所有認證請求都通過一個交換機端口轉(zhuǎn)發(fā)到RADIUS服務(wù)器。

計算機成功通過身份驗證后，會從RADIUS服務(wù)器接收密鑰以重新驗證連接的設(shè)備。這確保了只有通過此交換機端口驗證過的設(shè)備才能訪問網(wǎng)絡(luò)。

四、基于MAC的認證

在交換機端口上驗證客戶端的另一種方法是將客戶端的MAC地址發(fā)送給RADIUS服務(wù)器。

交換機端口僅對具有自己的特定MAC地址的客戶端打開； 其他客戶端將被拒絕通過該端口訪問網(wǎng)絡(luò)。這對于非智能設(shè)備客戶端的網(wǎng)絡(luò)認證是一個很理想的方式。

一個例子是連接到交換機端口的打印機，打印機的MAC地址用于在RADIUS服務(wù)器上進行網(wǎng)絡(luò)訪問認證。

交換機端口是專門為打印機的MAC地址配置的，因此具有不同MAC地址的其他客戶端無法通過該交換機端口獲得網(wǎng)絡(luò)訪問權(quán)限。

無論您選擇何種方式來控制網(wǎng)絡(luò)訪問，最終都是管理員的選擇。當選擇交換機本身時，選擇的自由度要小得多。只有智能管理型交換機才能提供訪問監(jiān)視和控制所需的功能，同時拒絕未經(jīng)授權(quán)的設(shè)備和人員訪問網(wǎng)絡(luò)。雖然對于小型網(wǎng)絡(luò)來說，非管理型交換機是一個很好的經(jīng)濟選擇，但是在復(fù)雜的公司網(wǎng)絡(luò)中，這是一個漏洞。所以仔細看看數(shù)據(jù)表和規(guī)格是一個有價值的工作。

參考文獻：

[1]謝希仁.計算機網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，1999：205-218.

[2]周明天.TCPIP 網(wǎng)絡(luò)原理與技術(shù)[M].北京：清華大學出版社，1999：97-201.

[3]斯科特·埃普森（Scott Empson）.思科網(wǎng)絡(luò)技術(shù)學院教程 路由和交換基礎(chǔ)[M].人民郵電出版社，2014-12-01.

作者簡介：劉欽，男，云南昭通人，大專，信息中心副主任，主要從事電力通信及信息工作。