前言：本站為你精心整理了淺析網(wǎng)絡(luò)接入認(rèn)證模式與實(shí)現(xiàn)范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：網(wǎng)絡(luò)接入認(rèn)證是保障網(wǎng)絡(luò)整體安全的先決條件，也是其重要的一環(huán)，目前在實(shí)際生產(chǎn)實(shí)踐活動(dòng)中可以在多個(gè)環(huán)節(jié)用不同的方式來(lái)保證網(wǎng)絡(luò)的安全，現(xiàn)就將在網(wǎng)絡(luò)接入環(huán)節(jié)闡述如何基于802.1X協(xié)議來(lái)把好網(wǎng)絡(luò)安全的入口關(guān)。

網(wǎng)絡(luò)安全至關(guān)重要，現(xiàn)將介紹使用802.1X實(shí)施端口級(jí)的接入認(rèn)證。802.1X認(rèn)證，又稱基于端口的訪問(wèn)控制協(xié)議認(rèn)證，是由IEEE提出的一個(gè)符合802協(xié)議集的局域網(wǎng)接入控制協(xié)議。802.1X最初是為無(wú)線局域網(wǎng)認(rèn)證設(shè)計(jì)的，但對(duì)有線網(wǎng)來(lái)說(shuō)只要接入交換機(jī)支持802.1X協(xié)議也是可行的。

在802.1X協(xié)議中，必須同時(shí)具備客戶端、接入認(rèn)證交換機(jī)和認(rèn)證服務(wù)器才能夠完成基于端口的訪問(wèn)控制的用戶認(rèn)證和授權(quán)。認(rèn)證過(guò)程如下：

（1）當(dāng)用戶有上網(wǎng)需求時(shí)客戶端將請(qǐng)求認(rèn)證的報(bào)文信息發(fā)給接入認(rèn)證交換機(jī)，開始啟動(dòng)一次全新的認(rèn)證過(guò)程。

（2）接入認(rèn)證交換機(jī)收到請(qǐng)求認(rèn)證的報(bào)文信息后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⒂脩裘蜕蟻?lái)。

（3）客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過(guò)數(shù)據(jù)幀送給接入認(rèn)證交換機(jī)，接入認(rèn)證交換機(jī)將客戶端發(fā)送過(guò)來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后傳送給認(rèn)證服務(wù)器進(jìn)行處理。

（4）認(rèn)證服務(wù)器收到接入認(rèn)證交換機(jī)傳送過(guò)來(lái)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給接入認(rèn)證交換機(jī)，由接入認(rèn)證交換機(jī)傳給客戶端程序。

（5）客戶端程序收到由接入認(rèn)證交換機(jī)傳過(guò)來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理，并通過(guò)接入認(rèn)證交換機(jī)傳送給認(rèn)證服務(wù)器，此過(guò)程中的加密算法為不可逆算法，充分地保障了網(wǎng)絡(luò)上敏感信息的安全度。

（6）認(rèn)證服務(wù)器將送過(guò)來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行比對(duì)，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過(guò)的消息，并向交換機(jī)發(fā)出打開端口的指令，允許用戶的數(shù)據(jù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)。

基于RADIUS方式的IAS認(rèn)證服務(wù)器+Foundry接入交換機(jī)的模式來(lái)描述整個(gè)認(rèn)證系統(tǒng)的基本設(shè)置過(guò)程。

1IAS的安裝配置過(guò)程

第一步：在DC上安裝IAS服務(wù)。

第二步：定義認(rèn)證客戶端。在IAS管理界面中，在客戶端上右擊，選擇創(chuàng)建新的客戶端為交換機(jī)輸入名稱及其IP地址或DNS名稱在客戶端-供應(yīng)商中選擇“RADIUSStandard”，輸入用于識(shí)別交換機(jī)的共享密碼，這個(gè)密碼必須與交換機(jī)中確定RADIUS服務(wù)器的密碼一致，勾選“請(qǐng)求必須包括消息消息驗(yàn)證程序?qū)傩浴薄?/p>

第三步：創(chuàng)建遠(yuǎn)程訪問(wèn)策略實(shí)施訪問(wèn)管理。在IAS管理界面中，右擊“遠(yuǎn)程訪問(wèn)策略”，創(chuàng)建新的遠(yuǎn)程訪問(wèn)策略并選擇連接類型雙擊新建的策略，添加“Day-and-Time-Restriction”設(shè)置許可訪問(wèn)的時(shí)段。

第四步：開啟遠(yuǎn)程訪問(wèn)記錄。在IAS管理界面中選擇“遠(yuǎn)程訪問(wèn)記錄”，打開“本地文件”屬性。

在“設(shè)置”頁(yè)中選擇需要記錄的信息；在“日志文件”頁(yè)卡中，設(shè)置文件格式為IAS格式，選擇創(chuàng)建新日志時(shí)間。

第五步：設(shè)置可逆加密格式的密碼來(lái)支持EAP-MD5。在DC上選擇“ActiveDirectory用戶和計(jì)算機(jī)”，在AD域名上右鍵選擇屬性。

選擇“組策略”頁(yè)，編輯“默認(rèn)域策略”。

在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/帳戶策略/密碼策略”樹中，啟用“用可還原的加密來(lái)存儲(chǔ)密碼”項(xiàng)。

第六步：為用戶設(shè)置撥入和可逆加密密碼許可。用戶帳號(hào)屬性中選擇“撥入”頁(yè)，勾選“允許撥入”項(xiàng)選擇“帳戶”頁(yè)，勾選“使用可逆的加密保存密碼”選項(xiàng)

2接入認(rèn)證交換機(jī)的配置過(guò)程

接入認(rèn)證交換機(jī)的配置可以使用CLI、Telnet、超級(jí)終端撥入以及瀏覽器訪問(wèn)等多種方法。瀏覽器訪問(wèn)方式最便捷：登陸交換機(jī)的管理界面，在左側(cè)樹形管理菜單中的安全設(shè)置菜單項(xiàng)中設(shè)定認(rèn)證順序、服務(wù)器地址、端口、共享的密碼、傳輸數(shù)和超時(shí)時(shí)間，并對(duì)各端口信息進(jìn)行逐一設(shè)定。

3客戶端訪問(wèn)網(wǎng)絡(luò)的驗(yàn)證過(guò)程

基于802.1x的認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過(guò)RADIUS協(xié)議傳送認(rèn)證信息，由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-TTLS，PEAP以及LEAP等認(rèn)證方法。

802.1x認(rèn)證協(xié)議已經(jīng)得到了很多軟件廠商的重視，紛紛推出了大量的認(rèn)證客戶端軟件，微軟也不例外，在WindowsXPSP2中已經(jīng)整合了802.1x客戶端軟件，無(wú)需再另外安裝客戶端軟件，只要網(wǎng)絡(luò)連接的屬性中啟用此網(wǎng)絡(luò)的802.1x驗(yàn)證即可。設(shè)置完成的客戶端再次接入交換機(jī)時(shí)，系統(tǒng)會(huì)提示需要用戶名和密碼，只有合法用戶才可以正常訪問(wèn)網(wǎng)絡(luò)資源。

至此為止，完成了整套認(rèn)證系統(tǒng)的分析與設(shè)置，可以使得網(wǎng)絡(luò)的安全性得到了更深層次的保障。