网络安全 425 图2 此方案是企业网络中普遍采用的安全接入方 案，系统中接入交换机将用户身份信息发送至 radius 服务器进行认证。认证成功的合法用户可以 通过交换机正常访问网络，而认证失败的非法用户 则被交换机禁止访问网络。 3.2. 实际应用中的问题 3.2.1. 多用户认证的问题 在 802.1X 协议的部署方案中，每个主机应该在 单独的物理端口中做认证，然而，实际应用中的情 况是，每个用户通常只有一个对应的物理端口可用， 而用户办公时往往有台式机、笔记本等多个主机需 要同时上网，根据交换机上不同的接入控制方式， 802.1X 存在如下问题： 3.2.1.1. 基于物理端口的控制方式 合法用户接入端口并验证成功后，端口始终处 于已授权状态，其他用户通过该端口时，不需要认 证即可接入网络。对于无线局域网而言，认证之后 建立启来的信道端口被独占，不存在其他用户再次 使用的问题；但是，802.1X 协议用于以太网认证时， 就存在端口打开之后，其他非法用户可自由接入的 问题。 如下图所示，认证交换机的端口下接一 HUB，若 合法用户 A 已经通过认证并正常使用网络资源，则 在 A 用户下线之前，认证交换机的端口就始终处于 开放状态。此时该 HUB 下非法用户 B 可在不需要任 何验证的情况下由此 HUB 访问网络。 图3 3.2.1.2. 基于逻辑端口的控制方式 802.1X 协议允许一个物理端口下有多个逻辑受 控端口，实现基于逻辑端口的认证。认证交换机的 物理端口下有多个用户接入时，每个 MAC 地址动态 对应一个逻辑受控端口，所有用户需要单独认证通 过后才能访问网络。 这种认证策略可精确控制到每个用户，虽然可 以解决物理端口控制方式下非法用户不经认证而访 问网络的漏洞，但这种认证策略是各设备厂商基于 802.1X 协议的扩展实现，不是所有设备都支持。 3.2.2. NON-EAP 设备的问题 对于不支持 802.1X(non-eap)的客户端，如：打 印机、视频会议终端、监控摄像头、考勤机等，交 换机支持 mac 格式的 802.1X 认证。交换机在检测到 终端的 MAC 地址以后，可以将 MAC 地址作为用户名 和密码封装成 RADIUS 报文，向 RADIUS 服务器请求 认证。但由于部署 MAC 认证需要事先收集所有 NON-EAP 设备的 MAC 地址， 且不同厂商将 MAC 地址处 理成格式不一样，如果客户端在不同品牌设备之间 移动，需要在 RADIUS 后台修改认证信息，因此此方 式不适合在用户端口大规模部署。 3.2.3. 802.1X 验证失败客户端的处理 在 802.1X 协议的部署方案中，认证失败的用户