网络安全
425
图2
此方案是企业网络中普遍采用的安全接入方
案,系统中接入交换机将用户身份信息发送至
radius 服务器进行认证。认证成功的合法用户可以
通过交换机正常访问网络,而认证失败的非法用户
则被交换机禁止访问网络。
3.2. 实际应用中的问题
3.2.1.
多用户认证的问题
在 802.1X 协议的部署方案中,每个主机应该在
单独的物理端口中做认证,然而,实际应用中的情
况是,每个用户通常只有一个对应的物理端口可用,
而用户办公时往往有台式机、笔记本等多个主机需
要同时上网,根据交换机上不同的接入控制方式,
802.1X 存在如下问题:
3.2.1.1. 基于物理端口的控制方式
合法用户接入端口并验证成功后,端口始终处
于已授权状态,其他用户通过该端口时,不需要认
证即可接入网络。对于无线局域网而言,认证之后
建立启来的信道端口被独占,不存在其他用户再次
使用的问题;但是,802.1X 协议用于以太网认证时,
就存在端口打开之后,其他非法用户可自由接入的
问题。
如下图所示,认证交换机的端口下接一 HUB,若
合法用户 A 已经通过认证并正常使用网络资源,则
在 A 用户下线之前,认证交换机的端口就始终处于
开放状态。此时该 HUB 下非法用户 B 可在不需要任
何验证的情况下由此 HUB 访问网络。
图3
3.2.1.2. 基于逻辑端口的控制方式
802.1X 协议允许一个物理端口下有多个逻辑受
控端口,实现基于逻辑端口的认证。认证交换机的
物理端口下有多个用户接入时,每个 MAC 地址动态
对应一个逻辑受控端口,所有用户需要单独认证通
过后才能访问网络。
这种认证策略可精确控制到每个用户,虽然可
以解决物理端口控制方式下非法用户不经认证而访
问网络的漏洞,但这种认证策略是各设备厂商基于
802.1X 协议的扩展实现,不是所有设备都支持。
3.2.2.
NON-EAP 设备的问题
对于不支持 802.1X(non-eap)的客户端,如:打
印机、视频会议终端、监控摄像头、考勤机等,交
换机支持 mac 格式的 802.1X 认证。交换机在检测到
终端的 MAC 地址以后,可以将 MAC 地址作为用户名
和密码封装成 RADIUS 报文,向 RADIUS 服务器请求
认证。但由于部署 MAC 认证需要事先收集所有
NON-EAP 设备的 MAC 地址,
且不同厂商将 MAC 地址处
理成格式不一样,如果客户端在不同品牌设备之间
移动,需要在 RADIUS 后台修改认证信息,因此此方
式不适合在用户端口大规模部署。
3.2.3.
802.1X 验证失败客户端的处理
在 802.1X 协议的部署方案中,认证失败的用户
打分:
0 星