交換機 802.1x 設置步驟及要點

交換機 802.1x 設置步驟及要點

（適用機型：FSM7328S/FSM7352S/FSM7352PS/GSM7328S/GSM7352SGSM7324/GSM7312/GSM7248/GSM7224/GSM7212）

一、802.1x端口認證原理

爲什麼需要IEEE802.1x？隨着寬帶以太網建設規模的迅速擴大，網絡上原有的認證系統已經不能很好地適應用戶數量急劇增加和寬帶業務多樣性的要求。IEEE802.1x協議具有完備的用戶認證、管理功能，可以很好地支撐寬帶網絡的計費、安全、運營和管理要求，對寬帶IP城域網等電信級網絡的運營和管理具有極大的優勢。IEEE802.1x協議對認證方式和認證體系結構上進行了優化，解決了傳統PPPOE和WEB/PORTAL認證方式帶來的瓶頸問題，更加適合在寬帶以太網中的使用。

IEEE802.1x是IEEE在2001年6月通過的基於端口訪問控制的接入管理協議標。

IEEE802系列LAN標準是目前居於主導地位的局域網絡標準，傳統的IEEE802協議定義的局域網不提供接入認證，只要用戶能接入局域網控制設備，如傳統的LanSwitch，用戶就可以訪問局域網中的設備或資源，這是一個安全隱患。對於移動辦公，駐地網運營等應用，設備提供者希望能對用戶的接入進行控制和配置，此外還存在計費的需求。因此，802.1x產生了。

IEEE802.1x是一種基於端口的網絡接入控制技術，在 LAN 設備的物理接入級對接入設備進行認證和控制，此處的物理接入級指的是 LanSwitch設備的端口。連接在該類端口上的用戶設備如果能通過認證，就可以訪問 LAN 內的資源；如果不能通過認證，則無法訪問 LAN 內的資源，相當於物理上斷開連接。

　　下面首先讓我們瞭解一下IEEE802.1x端口訪問控制協議的體系結構。

1．IEEE802.1x 體系介紹

　　雖然IEEE802.1x定義了基於端口的網絡接入控制協議，但是需要注意的是該協議僅適用於接入設備與接入端口間點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應用方式有：LanSwitch 的一個物理端口僅連接一個 End Station，這是基於物理端口的； IEEE 802.11定義的無線 LAN 接入方式是基於邏輯端口的。

圖1 IEEE802.1x的體系結構

IEEE802.1x的體系結構中包括三個部分：Supplicant System，用戶接入設備；Authenticator System，接入控制單元；Authentication Sever System，認證服務器。

　　在用戶接入層設備（如LanSwitch）實現 IEEE802.1x的認證系統部分，即Authenticator；IEEE802.1x的客戶端一般安裝在用戶PC中，典型的爲Windows XP操作系統自帶的客戶端，或其他第三方的免費802.1x客戶端；認證服務器系統一般駐留在運營商的AAA中心。

Supplicant與Authenticator間運行IEEE802.1x定義的EAPOL協議；Authenticator 與 Authentication Sever 間同樣運行 EAP 協議，EAP 幀中封裝了認證數據，將該協議承載在其他高層次協議中，如 Radius，以便穿越複雜的網絡到達認證服務器。

Authenticator每個物理端口內部有受控端口（Controlled Port）和非受控端口（unControlled Port）等邏輯劃分。非受控端口始終處於雙向連通狀態，主要用來傳遞 EAPOL 協議幀，可保證隨時接收Supplicant發出的認證EAPOL報文。受控端口只有在認證通過的狀態下才打開，用於傳遞網絡資源和服務。受控端口可配置爲雙向受控、僅輸入受控兩種方式，以適應不同的應用環境。輸入受控方式應用在需要桌面管理的場合，例如管理員遠程喚醒一臺計算機(supplicant)。

2．IEEE802.1x 認證過程簡介

圖2 IEEE802.1x的認證過程

IEEE802.1x的特點

1．協議實現簡單

IEEE802.1x協議爲二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本。

2．認證和業務分離

IEEE802.1x的認證體系結構中採用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現業務與認證的分離，由Radius服務器和以太網交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換；所以通過認證之後的數據包是無需封裝的純數據包。認證系統簡化了PPPOE方式中對每個數據包進行拆包和封裝等繁瑣的工作，所以802 .1x封裝效率高，消除了網絡瓶頸；同時，由於IEEE802.1x認證包採用了在不可控通道中的獨立處理的方式，因此認證處理容量可以很大，遠遠高於傳統的BAS，無需購買昂貴設備，降低了建網成本。

3．和其他認證方式的比較：

IEEE802.1x協議雖然源於IEEE 802.11無線以太網（EAPOW），但是，它在以太網中的引入，解決了傳統的PPPOE和WEB/PORTAL認證方式帶來的問題，消除了網絡瓶頸，減輕了網絡封裝開銷，降低了建網成本。

　　衆所周知，PPPOE是從基於ATM的窄帶網引入到寬帶以太網的，由此可以看出，PPPOE並不是爲寬帶以太網量身定做的認證技術，將其應用於寬帶以太網，必然會有其侷限性，雖然其方式較靈活，在窄帶網中有較豐富的應用經驗，但是，它的封裝方式，也造成了寬帶以太網的種種問題。在PPPOE認證中，認證系統必須將每個包進行拆解才能判斷和識別用戶是否合法，一旦用戶增多或者數據包增大，封裝速度必然跟不上，成爲了網絡瓶頸；其次這樣大量的拆包封包過程必須由一個功能強勁同時價格昂貴的設備來完成，這個設備就是我們傳統的BAS，每個用戶發出的每個數據包BAS必須進行拆包識別和封裝轉發；爲了解決瓶頸問題，廠商想出了提高BAS性能，或者採用大量分佈式BAS等方式來解決問題，但是BAS的功能就決定了它是一個昂貴的設備，這樣一來建設成本就會越來越高。

WEB/PORTAL認證是基於業務類型的認證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較爲方便。但是由於WEB認證走的是7層協議，從邏輯上來說爲了達到網絡2層的連接而跑到7層做認證，這首先不符合網絡邏輯。其次由於認證走的是7層協議，對設備必然提出更高要求，增加了建網成本。第三，WEB是在認證前就爲用戶分配了IP地址，對目前網絡珍貴的IP地址來說造成了浪費，而且分配IP地址的DHCP對用戶而言是完全裸露的，容易造成被惡意***，一旦受***癱瘓，整網就沒法認證；爲了解決易受***問題，就必須加裝一個防火牆，這樣一來又大大增加了建網成本。WEB/PORTAL認證用戶連接性差，不容易檢測用戶離線，基於時間的計費較難實現；用戶在訪問網絡前，不管是 TELNET、FTP還是其它業務，必須使用瀏覽器進行WEB認證，易用性不夠好；而且認證前後業務流和數據流無法區分。所以，在以太網中，WEB/PORTAL認證目前只是限於在酒店,校園等網絡環境中使用。

二、設置環境

硬件平臺爲：FSM7328S

本文基於軟件版本：4.0.7.1

802.1x 客戶端：安騰802.1x客戶端

Radius服務器：Steel-Belted Radius

三、連接結構圖：

四、設置步驟：

第一步：先選擇一個保留的端口不做認證，因爲只要開啓802.1x功能，默認就會把所有端口變爲認證才能通訊，所以建議要保留一個端口不需要802.1x認證。下面例子選擇第一端口爲保留的。在Port Confiig -> Control Mode裏默認是auto，表示端口需要802.1x認證，選force authorized就表示不需要認證。

在這頁面的最底一行可選擇基於“Port”還是基於“MAC”做認證。基於“Port”認證是標準的，表示只要這個端口認證通過，下面連接的所有交換機都可以通過，即只要接上一個HUB，HUB裏有一臺機通過認證，其餘所有PC都可以通過了。而基於“MAC”做認證是非標準的，主要爲了防止剛纔的接HUB的情形，每個MAC都要認證一次，即是接上HUB也是無用的。這是大多數用戶喜歡用的方式。