基于802.1X协议的局域网入网免费认证方案

谢敬锐 黄佑强 刘星程 王世玲 张江

摘要：局域网接口的安全性往往被网络管理员所忽视，然而统计数字表明，大多数的信息外泄其实源自网络内部。使用商用的802.1X认证协议可以有效提高局域网安全性，然而对于大多数企事业单位而言，购买商用的系统费用过高。本文提出了一种使用微软自带组件作为802.1X认证服务软件的免费认证方案，该方案和商用系统相比，成本无疑是极其低廉的。

关键词：802.1X;局域网安全;认证服务

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2020）17-0051-03

Absrtact： The security of LAN interface is often ignored by network administrators. However， statistics show that most of the information leakage comes from the inside of the network. Using commercial 802.1x authentication protocol can effectively improve the security of LAN， but for most enterprises and institutions， the cost of purchasing commercial system is too high. This paper presents a free authentication solution using Microsoft's own components as 802.1x authentication service software. Compared with commercial system， the cost of this solution is very low.

Key words： 802.1X; LAN security; authentication services

1 研究背景

統计数字表明，大多数信息安全威胁其实来自网络内部。忽视内网安全，是很多企事业单位发生信息安全事故的主要原因。对局域网安全管控固然有一些现成的产品，然而动辄数十万甚至上百万的建设费用往往让很多企业望而却步，如何使用有限的预算提升局域网的安全性是网络管理者必须关注的问题。为解决这一问题，本文提出了一种免费的局域网终端接入认证方案。该方案只需采用微软自带的Internet验证服务（IAS）和支持802.1X的交换机即可实现对企业内网安全的有效管理和控制。

2 相关技术简介

2.1 802.1X认证协议概论

IEEE 802.1X认证是一种基于端口的功能强大的接入认证体系，它可以在网络端口层级上拒绝非认证用户的接入，从而有效地防范非认证网络及终端接入局域网。支持IEEE 802.1X协议的网络设备，在终端通过认证之前，终端所连接的端口处于关闭状态，仅能收发EAPoL（局域网扩展认证协议）认证包信息，不允许终端连接网络。终端通过EAPoL经交换机向远程认证服务器（RADIUS）发送认证请求，认证通过后，网络设备开启端口，终端接入网络。

2.2 802.1X认证协议体系结构

802.1X是一种基于端口的访问控制协议，其体系结构包括三个部分：客户端、认证系统和认证服务器。

2.2.1 客户端系统

802.1X的客户端系统一般是指请求接入局域网的一个用户终端，该终端通常需要安装一个客户端软件，用户通过这个软件发起局域网入网认证过程。

2.2.2 认证系统

认证系统一般是指支持802.1X协议的网络设备，这种类型的网络设备每个端口都有两个逻辑端口：不受控端口和受控端口。不受控端口在所有阶段始终处于连通状态，允许EAPOL协议帧自由通过，使得客户端可以通过EAPOL协议发起或接受认证。受控端口只有在通过认证的情况下才打开，打开后即代表客户端可以正常访问局域网。

2.2.3 认证服务器

远程认证（RADIUS）服务器根据用户名和密码来决定是否让客户端接入网络，RADIUS服务器存储着用户的相关信息，例如用户所属的VLAN、优先级、访问控制列表等。用户通过认证后，RADIUS服务器会把上述信息发送给认证系统，由认证系统分配用户的VLAN并构建用户的访问控制列表，从而让用户接入局域网。

2.3 802.1X认证协议技术特点

2.3.1 协议实现简单

802.1X认证协议为二层网络协议，对设备的性能要求不高，可以有效降低组网成本。

2.3.2 认证和业务分离

802.1X协议的认证系统提出了将网络端口逻辑划分为“受控端口”和“不受控端口”的技术，该技术可以将业务数据流和认证数据流进行分离，从而有效地提高了认证的安全性和认证效率。

2.3.3 和其他认证方式的比较

和传统的Web/Portal认证方式相比，802.1X认证协议主要有两个好处。一是部署成本低。Web/Portal认证工作在应用层，对设备性能有较高要求;802.1X认证协议工作在数据链路层，组网成本低。二是安全性更好。Web/Portal是应用层认证协议，通过Web认证核实用户身份，特点是“先入网，再认证”;802.1X是底层认证协议，特点是“先认证，再入网”，未经认证的终端连局域网都不能进入，具有更高的安全性。

3基于802.1X协议的局域网入网免费认证方案

3.1网络设计

基于802.1X协议的局域网入网认证方案网络结构如图1所示。认证环境由终端、交换机、RADIUS 服务器组成。交换机均选用支持802.1X认证功能的华为5700交换机;RADIUS服务器安装Windows2003操作系统，并预装Internet验证服务组件（IAS）和活动目录（AD）组件;终端安装802.1X认证客户端。

3.2认证过程

基于802.1X协议的局域网入网认证过程如图2所示。

（1）客户端向支持802.1X协议的交换机发送EAPOL-Start请求帧，收到交换机响应后进一步发送客户端身份标识信息。

（2）交换机将EAPOL请求及身份标识信息发送至RADIUS认证服务器进行验证。

（3）RADIUS服务器接收到客户端信息后，首先根据登记的用户信息进行认证，若认证通过，则将认证结果及用户对应的VLAN发送至交换机。

（4）交换机若收到认证通过的结果，则将“受控端口”打开，并划入对应VLAN，让客户端正常接入网络。

3.3交换机和服务器配置

3.3.1交换机的配置

（1）划分网络

将图1所示的网络结构，划分至三个不同的VLAN，见下表。

RADIUS服务器和交换机划入VLAN10，终端划入VLAN20或VLAN30。

（2） 设置核心交换机

对核心交换机的设置主要包括：建立和管理所有VLAN，设置与接入层交换机的级联等。

（3） 设置接入层交换机

对接入层交换机的设置主要包括：开启全局802.1X认证协议，开启端口的802.1X认证功能、将交换机的缺省域设置为RADIUS服务器所在域、开启端口的VLAN自动分配功能并建立和认证服务器的互联。

3.3.2 RADIUS服务器的配置

（1）活动目录服务的设置

正常运行IAS服务需要AD服务的支持，本例中AD服务与IAS服务装在同一台服务器。在AD服务器中建立名为VLAN20、VLAN30的两个用户组，在两个用户组下分别建立test20、test30两个用户账号，如图3所示。

（2）IAS服务的设置

本例使用Windows2003自带的Internet验证服务作为802.1X协议的认证服务软件。为实现认证服务器与接入层交换机的信息交互，需要在Radius客户端中添加交换机，地址为交换机管理接口地址（图4）。

在“远程访问策略”中，新建策略VLAN20和VLAN30，设置策略属性为“允许全时段接入”，并将策略与同名的活动目录进行匹配。添加策略后，编辑配置文件，设置身份验证方式为 “加密身份验证（CHAP）”和交换机的认证方式保持一致。在“编辑拨入配置文件”的高级选项中，添加如下字段信息（图5）：Tunnel_Medium_Type=802，Tunnel_Type=VLAN， Tunnel_Pvt_Group_ID=20。上述字段设置的含义是：客户端通过认证后，IAS对接入层交换机发送VLAN20的信息，交换机将根据此信息将端口设置为VLAN20，从而实现了动态VLAN。

4结语

采用802.1X认证技术对用户进行入网认证，对于提高內网安全性而言是一种质的提升。原因在于绝大多数企业对于局域网接口没有做任何安全控制，多数网络管理员往往对局域网接口给予完全的信任，殊不知绝大部分的信息外泄其实是这些接口导致的。对局域网的接口进行强制的安全认证，可以从源头开始就对信息安全进行严格控制，从物理层面堵死信息外泄的渠道，从而极大地提升企事业单位的网络安全性。目前，付费的RADIUS认证服务软件部署成本一般在数十万元左右，本方案所采用的RADIUS认证服务软件、AD服务软件均选用了Windows自带的免费服务组件，和商用RADIUS认证软件相比，成本无疑是极其低廉的。

参考文献：

[1] 徐波，张勤慧.基于802.1x协议的RADIUS认证原理及分析[J].计算机与现代化，2012（6）：106-108.

[2] 康瑞锋.基于802.1X与RADIUS联动的H3C校园网配置探讨[J].电脑知识与技术，2013，9（10）：2310-2313.

[3] 马菲.基于Radius和802.1x的校园网认证计费体系研究与设计[J].电脑知识与技术，2016，12（22）：30-31.

[4] 董贞良，吕述望，王昭顺.基于802.1X的内网安全管理系统认证模块设计[J].计算机工程，2007，33（12）：193-195，198.

[5] 于承斌，尚年，杨慧慧，等.基于802.1x协议的认证系统的研究与改进[J].计算机工程，2008，34（17）：117-119.

【通联编辑：唐一东】