基于802.1x协议的校园网安全体系的研究与应用

赵钊

宝鸡文理学院网络管理中心 陕西 721016

0 引言

伴随着教育信息化在高校的广泛普及，校园网络规模不断扩大，接入校园网的计算机台数以几何级规模增长，并且《国家中长期教育改革和发展规划纲要》提出要加快终端设施普及，推进数字化校园建设，实现多种方式接入互联网。这必定会进一步促进校园网络的又一次快速发展，如何使如此多的联网计算机安全并行之有效地接入校园网，这就成为亟待解决的一个问题。而且在校园网中，面对大部分的学生用户，如何防止大规模病毒和木马程序的攻击，如何对接入校园网的计算机进行收费，都是我们不得不面对的问题。而802.1x协议能很好的解决上述的问题。

1 802.1X协议简介

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制应用于以太网中，主要解决以太网内认证和安全方面的问题。

802.1 x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

2 802.1x协议的认证体系结构

使用802.1x的系统为典型的Client/Server体系结构，包括三个实体分别为：Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。

（1）客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为用户终端设备，用户通过启动客户端软件发起802.1x认证。客户端软件必须支持EAPOL(Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议)。

（2）设备端是位于局域网段一端的另一个实体，用于对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备(如交换机)，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

（3）认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费，通常为RADIUS服务器。该服务器可以存储用户的相关信息，例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。

3 802.1x的工作机制

IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol，可扩展认证协议)，在客户端和认证服务器之间交换认证信息(如图1)。

图1 802.1x认证系统的工作机制

（1）PAE与设备端 PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。

（2）在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR(EAP over RADIUS)封装格式，承载于RADIUS协议中；也可以由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

（3）当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。

4 802.1x协议在校园网中的应用

在校园网中，由于设备众多，品牌和型号都存在差异，如何有效地在现有设备基础上实现802.1x协议的部署，是一个需要提前进行论证。要进行拓扑结构的规划，一般来说，802.1X的典型应用拓扑结构有两种。

4.1 带802.1x的设备作接入设备

（1）该方案的要求

用户支持 802.1x，即要装有 802.1x 的客户端软件。接入层设备支持 IEEE 802.1x，有一台(或多台)支持标准RADIUS 的服务器作为认证服务器。

（2）该方案的配置要点

与Radius Server 相连的口及上联口，配置成非受控口，以便设备能正常地与服务器进行通讯，以及使已认证用户能通过上联口访问网络资源，与用户连接的端口要设置为受控口，以实现对接入用户的控制，用户必须通过认证才能访问网络资源。

（3）该方案的特点

每台支持 802.1x 的设备所负责的客户端少，认证速度快。各台设备之间相互独立，设备的重启等操作不会影响到其它设备所连接的用户。用户的管理集中于 Radius Server上，管理员不必考虑用户连接在哪台设备上，便于管理员的管理管理员可以通过网络管理接入层的设备。

4.2 带802.1x的设备作为汇接层设备

（1）该方案的要求

用户支持 802.1x，即要装有 802.1x 的客户端软件。接入层设备支持要能透传IEEE 802.1x 帧(EAPOL)，汇接层设备支持 802.1x(扮演认证者角色)。有一台(或多台)支持标准RADIUS 的服务器作为认证服务器

（2）该方案的配置要点

与Radius Server 相连的口及上联口，配置成非受控口，以便设备能正常地与服务器进行通讯，以及使已认证用户能通过上联口访问网络资源与接入层设备连接的端口要设置为受控口，以实现对接入用户的控制，用户必须通过认证才能访问网络资源。

（3）该方案的特点

由于是汇接层设备，网络规模大，下接用户数多，对设备的要求高，若该层设备发生故障，将导致大量用户不能正常访问网络。用户的管理集中于Radius Server 上，管理员无需考虑用户连接在哪台设备上，便于管理员的管理接入层设备可以使用较廉价的非网管型设备(只要支持 EAPOL帧透传)，管理员不能通过网络直接管理接入层设备。

根据上述描述，再结合我校设备的具体情况，最终我们选择了带802.1x的设备作接入层这一拓扑结构，拓扑结构如图2。

图2 校园网802.1x部署拓扑结构

根据图2所示，所有的接入交换机凡是接到学生宿舍的主机上的端口都被设为受控端口，而上级联到汇聚交换机3760上的端口为非受控端口，在核心机房架设radius服务器，用于认证。这样校园网中的基于802.1x协议的网络安全体系结构就建立起来了。在接入交换机要对交换机进行配置，配置如下:

在每个受控端口下要进行配置：

这样，只要计算机接入校园网络，那么就必须通过客户端进行认证并计费。所以就避免了一些不合要求的用户接入校园网，对校园网带来负面影响。

5 结论

校园网本来就是上网用户管理比较困难的网络，如何实现开放并有层次的对不同用户实现不同策略的管理，一直是校园网络的一个难题，802.1x协议比较好的解决了这个问题，但经过近几年对802.1x的部署与使用，感觉在工作量上没有显著地降低，另外比如802.1x协议对于更改主机MAC地址的行为并没有实质性的防范，所以我们要对802.1x协议进行二次开发，从而实现校园网的和谐、有序、畅通。

[1]国家中长期教育改革和发展规划[M].北京人民出版社.2010.

[2]赵钊.一种基于交换机配置的网络优化方案及应用[J].网络安全技术与应用.2009.

[3]杨飚.对802.1x技术应用的深入思考[J].教育信息化.2005.