802.1x

網路訪問技術的核心部分是PAE（連線埠訪問實體）。在訪問控制流程中，連線埠訪問實體包含3部分：認證者--對接入的用戶/設備進行認證的連線埠；請求者--被認證的用戶/設備；認證伺服器--根據認證者的信息，對請求訪問網路資源的用戶/設備進行實際認證功能的設備。

乙太網的每個物理連線埠被分為受控和不受控的兩個邏輯端。

基於乙太網連線埠認證的802.1x協定有如下特點：IEEE802.1x協定為二層協定，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本；借用了在RAS系統中常用的EAP（擴展認證協定），可以提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容；802.1x的認證體系結構中採用了"可控連線埠"和"不可控連線埠"的邏輯功能，從而可以實現業務與認證的分離，由RADIUS和交換機利用不可控的邏輯連線埠共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控連線埠進行交換，通過認證之後的數據包是無需封裝的純數據包；可以使用現有的後台認證系統降低部署的成本，並有豐富的業務支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換連線埠和無線LAN具有安全的認證接入功能。

(1 當用戶有上網需求時打開802.1X客戶端程式，輸入已經申請、登記過的用戶名和口令，發起連線請求。此時，客戶端程式將發出請求認證的報文給交換機，開始啟動一次認證過程。

(2 交換機收到請求認證的數據幀後，將發出一個請求幀要求用戶的客戶端程式將輸入的用戶名送上來。

(3 客戶端程式回響交換機發出的請求，將用戶名信息通過數據幀送給交換機。交換機將客戶端送上來的數據幀經過封包處理後送給認證伺服器進行處理。

(4 認證伺服器收到交換機轉發上來的用戶名信息後，將該信息與資料庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程式。

(5 客戶端程式收到由交換機傳來的加密字後，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），並通過交換機傳給認證伺服器。

(6 認證伺服器將送上來的加密後的口令信息和其自己經過加密運算後的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的訊息，並向交換機發出打開連線埠的指令，允許用戶的業務流通過連線埠訪問網路。否則，反饋認證失敗的訊息，並保持交換機連線埠的關閉狀態，只允許認證信息數據通過而不允許業務數據通過。

(1)交換式乙太網絡環境

對於交換式乙太網絡中，用戶和網路之間採用點到點的物理連線，用戶彼此之間通過VLAN隔離，此網路環境下，網路管理控制的關鍵是用戶接入控制，802.1x不需要提供過多的安全機制。

(2)共享式網路環境

當802.1x套用於共享式的網路環境時，為了防止在共享式的網路環境中出現類似“搭載”的問題，有必要將PAE實體由物理連線埠進一步擴展為多個互相獨立的邏輯連線埠。邏輯連線埠和用戶/設備形成一一對應關係，並且各邏輯連線埠之間的認證過程和結果相互獨立。在共享式網路中，用戶之間共享接入物理媒介，接入網路的管理控制必須兼顧用戶接入控制和用戶數據安全，可以採用的安全措施是對EAPoL和用戶的其它數據進行加密封裝。在實際網路環境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態分配秘鑰導致的安全性的缺陷。

802.1x協定中，有關安全性的問題一直是802.1x反對者攻擊的焦點。實際上，這個問題的確困擾了802.1x技術很長一段時間，甚至限制了802.1x技術的套用。但技術的發展為這個問題給出了答案：802.1x結合EAP，可以提供靈活、多樣的認證解決方案。

綜合IEEE802.1x的技術特點，其具有的優勢可以總結為以下幾點。

簡潔高效：純乙太網技術核心，保持了IP網路無連線特性，不需要進行協定間的多層封裝，去除了不必要的開銷和冗餘；消除網路認證計費瓶頸和單點故障，易於支持多業務和新興流媒體業務。

容易實現：可在普通L3、L2、IPDSLAM上實現，網路綜合造價成本低，保留了傳統AAA認證的網路架構，可以利用現有的RADIUS設備。

安全可靠：在二層網路上實現用戶認證，結合MAC、連線埠、賬戶、VLAN和密碼等；綁定技術具有很高的安全性，在無線區域網路網路環境中802.1x結合EAP－TLS，EAP－TTLS,可以實現對WEP證書密鑰的動態分配，克服無線區域網路接入中的安全漏洞。

行業標準：IEEE標準，和乙太網標準同源，可以實現和乙太網技術的無縫融合，幾乎所有的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協定的支持。在客戶端方面微軟WindowsXP作業系統內置支持，Linux也提供了對該協定的支持。

套用靈活：可以靈活控制認證的顆粒度，用於對單個用戶連線、用戶ID或者是對接入設備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術或者是業務的需要。

易於運營：控制流和業務流完全分離，易於實現跨平台多業務運營，少量改造傳統包月制等單一收費制網路即可升級成運營級網路，而且網路的運營成本也有望降低。

IEEE 802.1X是IEEE制定關於用戶接入網路的認證標準（注意：此處X是大寫，詳細請參看IEEE關於命名的解釋）。它的全稱是“基於連線埠的網路接入控制”。於2001年標準化，之後為了配合無線網路的接入進行修訂改版，於2004年完成。

IEEE 802.1X協定在用戶接入網路（可以是乙太網，也可以是Wi-Fi網）之前運行，運行於網路中的MAC層。EAP協定RADIUS協定。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X

IEEE802.1x協定具有完備的用戶認證、管理功能，可以很好的支撐寬頻網路的計費、安全、運營和管理要求，對寬頻IP城域網等電信級網路的運營和管理具有極大的優勢。IEEE802.1x協定對認證方式和認證體系結構上進行了最佳化，解決了傳統PPPOE和WEB/PORTAL認證方式帶來的問題，更加適合在寬頻乙太網中的使用。

(1 連線埠認證模式

該模式下只要連線到連線埠的某個設備通過認證，其他設備則不需要認證，就可以訪問網路資源。

(2 MAC認證模式

該模式下連線到同一連線埠的每個設備都需要單獨進行認證。

（config）#aaa new-model '啟動AAA。

（config）#radius-server host 192.168.1.100 key netdigedu '配置RADIUS伺服器地址及密鑰。

（config）#aaa authentication dot1x default group radius '配置802.1x默認認證方法為RADIUS。

（config）#dot1x system-auth-control '在交換機上全局啟用802.1x認證。

（config）#int fa0/24

（config-if）#switchport mode access

（config-if）#dot1x port-control auto '設定接口的802.1x狀態。

這個命令一定要注意；

狀態有三種：

force-authorized：連線埠始終處於認證狀態並轉發流量，這個是默認狀態。

force-unauthorized：連線埠始終處於未認證狀態並不能轉發流量。

auto：連線埠通過使用802.1x與客戶端交換訊息在認證和未認證狀態間切換。這個是我們需要的，所以dot1x port-control 命令後一定要用auto。

（config-if）#dot1x host-mode multi-host '交換機連線埠下連線多台PC時（通過Hub或交換機）需要配置這個命令，默認只支持對一台PC認證。

#show dot1x all '查看802.1x配置。

OSV ，Cisco 2960 Windows NPS的聯合認證

802.1X提供安全的接入認證，但數據（包括作業系統）存儲於本地，數據可能有失竊的危險，比如富士康和比亞迪的官司，在比如陳冠希事件。一些對數據安全要求比較高的企業，政府，一直尋求，即要管好接入端的安全，又要管好數據端安全，做到本地無存儲，對數據隨需所取的PC套用環境。

OSV配合自己實現的802.1X認證客戶端，即實現了對網路接入的數據安全性要求，也實現了對PC的IO虛擬化，通過對數據實現虛擬化派發，用戶桌面環境的認證派發，和數據的集中存儲，集中管理。通過windows AD 伺服器，對用戶帳戶進行統一管理。

實施準備

1， 支持802.1X認證交換機一台 實驗環境：Cisco 2960 （ip:192.168.88.249 netmask 255.255.255.0）
2， Windows 2008 r2 AD 域伺服器一台（ip: 192.168.88.188 Netmask:255.255.255.0 ）
3， Windows 2008 r2 NPS伺服器一台 (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188)
4， 客戶機一台
5， 已安裝，配置好的OSV 伺服器一台 （IP：192.168.88.10）

Cisco 交換機配置

cisco>en 進入特權模式
Password:
cisco#configure terminal 進入全局配置模式
cisco(config)#interface vlan1 進入接口配置模式，配置Vlan1
cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP
cisco(config-if)#exit 退出
cisco(config)#aaa new-model
cisco(config)#aaa authentication dot1x default group radius
cisco(config)#aaa authorization network default group radius
cisco(config)#dot1x system-auth-control
cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV 配置802.1X的認證伺服器IP，密鑰為OSV 記住此密鑰，配置RADIUS時用到。
cisco(config)#interface fastEthernet 0/X 配置需要進行認證的連線埠
cisco(config-if)#switchport mode access
cisco(config-if)# authentication port-control auto
cisco(config-if)#dot1x port-control auto
cisco(config-if)#dot1x reauthentication
cisco(config-if)#dot1x timeout reauth-period 300
cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交換機連線埠下連線多台PC時(通過Hub或交換機)需要配置這個命令，默認只支持對一台PC認證。
cisco(config-if)#authentication violation shutdown/pretect/replace/restrict 802.1X shutdown規則
cisco(config-if)#dot1x pae both
cisco(config-if)#spanning-tree portfast 打開連線埠的快速轉發cisco(config-if)#exit
cisco(config)#exit

註：配置完成後，要測試交換機與RADIUS是否可通信，可在交換機上ping RADIUS伺服器進行判斷。