论文部分内容阅读
摘要:介绍802.1X端口认证技术的基本原理及认证过程,探讨了端口认证技术在图书馆网络管理中的应用;指出了使用802.1X端口认证技术可以使得图书馆的网络运行更安全、更易于管理。
关键词:端口认证;802.1x;图书馆网络
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2007)03-10697-01
1 引言
随着图书馆自动化水平的提高和数字图书馆的不断发展,图书馆的网络变得越来越复杂,管理难度也越来越大。利用802.1X端口认证技术,辅以其他网络技术,可使图书馆网络的运行更安全、管理更容易。
2 端口认证技术简介
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1X的认证协议报文通过(见图1)。802.1X协议起源于802.11协议,802.11协议是IEEE的无线局域网协议,制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。
图1 802.1X的协议的体系结构
3 802.1X认证流程
客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名; 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge; 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证; 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备; 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证: RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器; RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕(见图2)。
图2 802.1X的认证过程
4 端口认证技术在图书馆网络中的应用
802.1X协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效的降低建网成本。业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。802.1X与传统认证方式本质的区别就是控制与交换相分离,一旦认证通过,所有的业务流量就和认证系统分开,有效的解决了网络瓶颈问题。
目前,许多网络公司的二层交换机支持802.1X协议以及相关的认证技术,结合二层可网管交换机的技术(如VLAN、MAC地址绑定、IP地址绑定等技术),可以实现多种网络的控制方式,可广泛地应用到图书馆网络的管理中。
我馆网络按功能划分为五个区,用不同的VLAN分开,有办公区、业务管理区、无线网络区、电子阅览室区、服务器集群区,各VLAN用核心交换机进行路由,Radius服务器与DHCP服务器共用一台服务器,直接接入核心交换机。其网络拓扑见图3。
图3 基于802.1X的图书馆网络拓扑
4.1 对电子阅览室的管理
图书馆的电子阅览室是比较难以管理的网络环境,电子阅览室具有以下特点:学生多、信息点多、流量大、安全隐患大。对于电子阅览室网络的管理,可采用账号+MAC地址绑定+DHCP的方式进行用户管理,这样可避免学生盗用IP地址。结合一些记时软件,就可实现对学生上机的记费功能。
4.2 对办公用机的管理
对于图书馆的办公用机管理,可采用MAC和账号绑定方式进行用户管理,开户时要提供所使用网卡的MAC地址,该帐号只能在特定的机器上使用,这样不但能有效地解决了IP地址的盗用问题;也可以防止外来电脑未经许可擅自接入图书馆网络。配合流量控制,可有效地控制上班时间看电影,玩网络游戏等行为。
4.3 对图书馆管理系统的接入管理
图书馆管理系统是图书馆自动化的核心系统,其安全性直接关系到图书馆的正常运行,原则上应该使用硬件防火墙,把图书馆管理系统纳入内网进行管理,这样安全性很高。由于经济等许多原因,很多图书馆没有购置硬件防火墙,造成图书馆管理系统的服务器直接暴露在校园网或公网之中,这样是极其危险的。利用802.1X的端口认证技术与VLAN技术的结合,采用MAC和账号绑定或IP和MAC绑定的方式,可的效地控制非法的接入,提高系统的安全性。
4.4 对公共接入和无线网络接入的管理
有些图书馆为了方便读者使用图书馆资源,在自修室、阅览室、休闲厅中设有许多公共接入信息点或无线网络接入信息点,对这些点的管理是比较困难的。而制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。可采用账号+MAC地址绑定+DHCP的方式进行用户管理,若不用MAC地址绑定,就可能会出现一个帐号多人使用的情况。
5 结论
利用基于802.1x的端口认证技术,结合DHCP、VLAN划分以及MARK地址绑定等基本网络技术管理图书馆网络,可以使得图书馆的网络运行状态更加安全,管理更加容易。非常适合于中小型图书馆的网络。
參考文献:
[1]王谦.利用 802.1x 协议实现局域网接入的可控管理.江苏电机工程,2005,24(9),50-52.
[2]孟学军.802.1x认证管理方式分析及实现.现代计算机,2005(8)66-68.
[3]叶忠文.基于802.1x认证的校园网的优化.广东技术师范学院学报,2004(6),34-36.
[4]张立成.基于802.1x的校园网的认证.广东药学院学报,2004.20(6),687-689.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:端口认证;802.1x;图书馆网络
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2007)03-10697-01
1 引言
随着图书馆自动化水平的提高和数字图书馆的不断发展,图书馆的网络变得越来越复杂,管理难度也越来越大。利用802.1X端口认证技术,辅以其他网络技术,可使图书馆网络的运行更安全、管理更容易。
2 端口认证技术简介
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1X的认证协议报文通过(见图1)。802.1X协议起源于802.11协议,802.11协议是IEEE的无线局域网协议,制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。
图1 802.1X的协议的体系结构
3 802.1X认证流程
客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名; 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge; 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证; 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备; 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证: RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器; RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕(见图2)。
图2 802.1X的认证过程
4 端口认证技术在图书馆网络中的应用
802.1X协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效的降低建网成本。业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。802.1X与传统认证方式本质的区别就是控制与交换相分离,一旦认证通过,所有的业务流量就和认证系统分开,有效的解决了网络瓶颈问题。
目前,许多网络公司的二层交换机支持802.1X协议以及相关的认证技术,结合二层可网管交换机的技术(如VLAN、MAC地址绑定、IP地址绑定等技术),可以实现多种网络的控制方式,可广泛地应用到图书馆网络的管理中。
我馆网络按功能划分为五个区,用不同的VLAN分开,有办公区、业务管理区、无线网络区、电子阅览室区、服务器集群区,各VLAN用核心交换机进行路由,Radius服务器与DHCP服务器共用一台服务器,直接接入核心交换机。其网络拓扑见图3。
图3 基于802.1X的图书馆网络拓扑
4.1 对电子阅览室的管理
图书馆的电子阅览室是比较难以管理的网络环境,电子阅览室具有以下特点:学生多、信息点多、流量大、安全隐患大。对于电子阅览室网络的管理,可采用账号+MAC地址绑定+DHCP的方式进行用户管理,这样可避免学生盗用IP地址。结合一些记时软件,就可实现对学生上机的记费功能。
4.2 对办公用机的管理
对于图书馆的办公用机管理,可采用MAC和账号绑定方式进行用户管理,开户时要提供所使用网卡的MAC地址,该帐号只能在特定的机器上使用,这样不但能有效地解决了IP地址的盗用问题;也可以防止外来电脑未经许可擅自接入图书馆网络。配合流量控制,可有效地控制上班时间看电影,玩网络游戏等行为。
4.3 对图书馆管理系统的接入管理
图书馆管理系统是图书馆自动化的核心系统,其安全性直接关系到图书馆的正常运行,原则上应该使用硬件防火墙,把图书馆管理系统纳入内网进行管理,这样安全性很高。由于经济等许多原因,很多图书馆没有购置硬件防火墙,造成图书馆管理系统的服务器直接暴露在校园网或公网之中,这样是极其危险的。利用802.1X的端口认证技术与VLAN技术的结合,采用MAC和账号绑定或IP和MAC绑定的方式,可的效地控制非法的接入,提高系统的安全性。
4.4 对公共接入和无线网络接入的管理
有些图书馆为了方便读者使用图书馆资源,在自修室、阅览室、休闲厅中设有许多公共接入信息点或无线网络接入信息点,对这些点的管理是比较困难的。而制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。可采用账号+MAC地址绑定+DHCP的方式进行用户管理,若不用MAC地址绑定,就可能会出现一个帐号多人使用的情况。
5 结论
利用基于802.1x的端口认证技术,结合DHCP、VLAN划分以及MARK地址绑定等基本网络技术管理图书馆网络,可以使得图书馆的网络运行状态更加安全,管理更加容易。非常适合于中小型图书馆的网络。
參考文献:
[1]王谦.利用 802.1x 协议实现局域网接入的可控管理.江苏电机工程,2005,24(9),50-52.
[2]孟学军.802.1x认证管理方式分析及实现.现代计算机,2005(8)66-68.
[3]叶忠文.基于802.1x认证的校园网的优化.广东技术师范学院学报,2004(6),34-36.
[4]张立成.基于802.1x的校园网的认证.广东药学院学报,2004.20(6),687-689.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。