利用802.1x協議實現局域網接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協議可以為企業內聯網提供一種安全的用戶管理方式。本文介紹了802．1x協議體系結構，重點分析了協議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業局域網接入中實際

文的重傳。在設定重傳的時間時，考慮網絡的實際環境，通常會認為認證系統和客戶端之間報文丟失的概率比較低以及傳送延遲短，因此一般通過一個超時計數器來設定，默認重傳時間為30 s。

對于有些報文的丟失重傳比較特殊，如EAPoL－Start報文的丟失，由客戶端負責重傳；而對于EAP失敗和EAP成功報文，由于客戶端無法識別，認證系統不會重傳。由于對用戶身份合法性的認證最終由認證服務器執行，認證系統和認證服務器之間的報文丟失重傳也很重要。另外，對于用戶的認證，在執行802．1x認證時，只有認證通過后，才有DHCP發起和IP分配的過程。由于客戶終端配置了DHCP自動獲取，則可能在未啟動802．1x客戶端之前，就發起了DHCP的請求，而此時認證系統處于禁止通行狀態，這樣認證系統會丟掉初始化的DHCP幀，同時會觸發認證系統發起對用戶的認證。

由于DHCP請求超時過程為64 s，所以如果802．1x認證過程能在這64 s內完成，則DHCP請求不會超時，能順利完成地址請求；如果終端軟件支持認證后再執行一次DHCP，就不用考慮64 s的超時限制。

2．4　802．1x協議的認證過程

802．1x協議認證過程是用戶與服務器交互的過程，其認證步驟如下。

（1）用戶開機后，通過802．1x客戶端軟件發起請求，查詢網絡上能處理EAPoL數據包的設備。如果某臺驗證設備能處理EAPoL數據包，就會向客戶端發送響應包，并要求用戶提供合法的身份標識，如用戶名及其密碼。

（2）客戶端收到驗證設備的響應后，提供身份標識給驗證設備。由于此時客戶端還未經過驗證，因此認證流只能從驗證設備的未受控的邏輯端口經過。驗證設備通過EAP協議將認證流轉發到AAA服務器，進行認證。

（3）如果認證通過，則認證系統的受控邏輯端口打開。

（4）客戶端軟件發起DHCP請求，經認證設備轉發到DHCPServer。

（5）DHCPServer為用戶分配IP地址。

（6）DHCPServer分配的地址信息返回給認證系統，認證系統記錄用戶的相關信息，如MAC，IP地址等信息，并建立動態的ACL訪問列表，以限制用戶的權限。

（7）如果用戶退出網絡，可以通過客戶端軟件發起退出過程，認證設備檢測到該數據包后，會通知認證服務器刪除用戶的相關信息（如物理地址和IP地址），受控邏輯端口關閉；用戶進入再認證狀態。

（8）驗證設備通過定期的檢測保證鏈路的激活。如果用戶異常死機，則驗證設備在發起多次檢測后，自動認為用戶已經下線。

三、802.1x協議技術特點