2024年6月2日发(作者:)

交换机端口安全技术

——802.1x网络接入认证技术

菜籽 2012-4-28

随着以太网应用日益普及,以太网安全成为日益迫切的需求。以太网交换机

针对网络安全问题提供了多种安全机制,包括地址绑定、端口隔离、接入认证等

技术。本文将针对以太网交换机端口接入认证技术进行讲解。

IEEE802.1X标准是一种基于端口的网络接入控制协议。802.1x协议起源于

802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了

解决无线局域网用户的接入认证问题。 802.1x是一种基于端口的认证协议,是

一种对用户进行认证的方法和策略。端口可以是一个物理端口(比如说机器上的

有线网卡端口或者是无线端口),也可以是一个逻辑端口(如VLAN)。对于无线

局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端

口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有

的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的

认证协议报文通过。

若开启“802.1x验证”后当电脑通过有线或者无线准备接入网络时,在xp

以上的系统会弹出用户名和密码的认证提示,当用户输入正确的用户名和密码之

后,才可以通过认证进行网络通讯,但是若用户端没有开启认证的话,则无法正

常的访问网络。

1、802.1x体系结构

802.1x的系统为典型的客户机/服务器体系结构,包括三个实体,如下图所示,

分别为客户端、设备端和认证服务器。

客户端

设备端

认证服务

在实际网络中,客户端通常是安装了802.1x客户端软件(windowsxp自带客

户端,后文详细介绍了如何激活该软件);设备端通常是启用了802.1x功能的接

入层交换机;而认证服务器端可以是以交换机自带的本地认证,也可以是远程集

中认证服务器。

认证服务器可分为本地认证服务器和远程集中认证服务器,分别适用于不同

场合.

(1)本地认证服务器

由设备端内置本地服务器对客户端进行认证。设备端内置的认证服务器对客

户端进行认证,认证通过后开放端口。这种认证模式通常适用于网络规模小,客

户端数量不多的情况。

(2)远程集中认证服务器

由远程的认证服务器对客户端进行认证。设备端将客户端信息发送到远程认

证服务器上,有服务器查找用户信息数据库后返回消息给设备端。

2、802.1x基本配置

(1)、开启全局的802.1X特性

[H3C] dot1x

(2)、开启端口的802.1X特性

[H3C] dot1x interface interface-list

(3)、添加本地接入用户并设置相关参数

[H3C] local-user user-name

[H3C-luser-localuser] service-type lan-access

[H3C-luser-localuser] password { cipher | simple } password

3、验证性试验

E1/0/1

SWA

PC

[SWA]dot1x

[SWA]dot1x interface ethernet1/0/1

[SWA]local-user localuser

[SWA-luser-localuser]password simple hello

[SWA-luser-localuser]service-type lan-access