淺析網絡接入認證模式與實現(xiàn)

前言：本站為你精心整理了淺析網絡接入認證模式與實現(xiàn)范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：網絡接入認證是保障網絡整體安全的先決條件，也是其重要的一環(huán)，目前在實際生產實踐活動中可以在多個環(huán)節(jié)用不同的方式來保證網絡的安全，現(xiàn)就將在網絡接入環(huán)節(jié)闡述如何基于802.1X協(xié)議來把好網絡安全的入口關。

網絡安全至關重要，現(xiàn)將介紹使用802.1X實施端口級的接入認證。802.1X認證，又稱基于端口的訪問控制協(xié)議認證，是由IEEE提出的一個符合802協(xié)議集的局域網接入控制協(xié)議。802.1X最初是為無線局域網認證設計的，但對有線網來說只要接入交換機支持802.1X協(xié)議也是可行的。

在802.1X協(xié)議中，必須同時具備客戶端、接入認證交換機和認證服務器才能夠完成基于端口的訪問控制的用戶認證和授權。認證過程如下：

（1）當用戶有上網需求時客戶端將請求認證的報文信息發(fā)給接入認證交換機，開始啟動一次全新的認證過程。

（2）接入認證交換機收到請求認證的報文信息后，將發(fā)出一個請求幀要求用戶的客戶端程序將用戶名送上來。

（3）客戶端程序響應交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給接入認證交換機，接入認證交換機將客戶端發(fā)送過來的數(shù)據(jù)幀經過封包處理后傳送給認證服務器進行處理。

（4）認證服務器收到接入認證交換機傳送過來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給接入認證交換機，由接入認證交換機傳給客戶端程序。

（5）客戶端程序收到由接入認證交換機傳過來的加密字后，用該加密字對口令部分進行加密處理，并通過接入認證交換機傳送給認證服務器，此過程中的加密算法為不可逆算法，充分地保障了網絡上敏感信息的安全度。

（6）認證服務器將送過來的加密后的口令信息和其自己經過加密運算后的口令信息進行比對，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的數(shù)據(jù)流通過端口訪問網絡。否則，反饋認證失敗的消息，并保持交換機端口的關閉狀態(tài)。

基于RADIUS方式的IAS認證服務器+Foundry接入交換機的模式來描述整個認證系統(tǒng)的基本設置過程。

1IAS的安裝配置過程

第一步：在DC上安裝IAS服務。

第二步：定義認證客戶端。在IAS管理界面中，在客戶端上右擊，選擇創(chuàng)建新的客戶端為交換機輸入名稱及其IP地址或DNS名稱在客戶端-供應商中選擇“RADIUSStandard”，輸入用于識別交換機的共享密碼，這個密碼必須與交換機中確定RADIUS服務器的密碼一致，勾選“請求必須包括消息消息驗證程序屬性”。

第三步：創(chuàng)建遠程訪問策略實施訪問管理。在IAS管理界面中，右擊“遠程訪問策略”，創(chuàng)建新的遠程訪問策略并選擇連接類型雙擊新建的策略，添加“Day-and-Time-Restriction”設置許可訪問的時段。

第四步：開啟遠程訪問記錄。在IAS管理界面中選擇“遠程訪問記錄”，打開“本地文件”屬性。

在“設置”頁中選擇需要記錄的信息；在“日志文件”頁卡中，設置文件格式為IAS格式，選擇創(chuàng)建新日志時間。

第五步：設置可逆加密格式的密碼來支持EAP-MD5。在DC上選擇“ActiveDirectory用戶和計算機”，在AD域名上右鍵選擇屬性。

選擇“組策略”頁，編輯“默認域策略”。

在“計算機配置/Windows設置/安全設置/帳戶策略/密碼策略”樹中，啟用“用可還原的加密來存儲密碼”項。

第六步：為用戶設置撥入和可逆加密密碼許可。用戶帳號屬性中選擇“撥入”頁，勾選“允許撥入”項選擇“帳戶”頁，勾選“使用可逆的加密保存密碼”選項

2接入認證交換機的配置過程

接入認證交換機的配置可以使用CLI、Telnet、超級終端撥入以及瀏覽器訪問等多種方法。瀏覽器訪問方式最便捷：登陸交換機的管理界面，在左側樹形管理菜單中的安全設置菜單項中設定認證順序、服務器地址、端口、共享的密碼、傳輸數(shù)和超時時間，并對各端口信息進行逐一設定。

3客戶端訪問網絡的驗證過程

基于802.1x的認證系統(tǒng)與認證服務器之間通過RADIUS協(xié)議傳送認證信息，由于EAP協(xié)議的可擴展性，基于EAP協(xié)議的認證系統(tǒng)可以使用多種不同的認證算法，如EAP-MD5，EAP-TLS，EAP-TTLS，PEAP以及LEAP等認證方法。

802.1x認證協(xié)議已經得到了很多軟件廠商的重視，紛紛推出了大量的認證客戶端軟件，微軟也不例外，在WindowsXPSP2中已經整合了802.1x客戶端軟件，無需再另外安裝客戶端軟件，只要網絡連接的屬性中啟用此網絡的802.1x驗證即可。設置完成的客戶端再次接入交換機時，系統(tǒng)會提示需要用戶名和密碼，只有合法用戶才可以正常訪問網絡資源。

至此為止，完成了整套認證系統(tǒng)的分析與設置，可以使得網絡的安全性得到了更深層次的保障。