本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)接入認(rèn)證模式參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

摘要：網(wǎng)絡(luò)接入認(rèn)證是保障網(wǎng)絡(luò)整體安全的先決條件，也是其重要的一環(huán)，目前在實際生產(chǎn)實踐活動中可以在多個環(huán)節(jié)用不同的方式來保證網(wǎng)絡(luò)的安全，現(xiàn)就將在網(wǎng)絡(luò)接入環(huán)節(jié)闡述如何基于802.1X協(xié)議來把好網(wǎng)絡(luò)安全的入口關(guān)。

關(guān)鍵詞：接入認(rèn)證；分析；實現(xiàn)

網(wǎng)絡(luò)安全至關(guān)重要，現(xiàn)將介紹使用802.1X實施端口級的接入認(rèn)證。802.1X認(rèn)證，又稱基于端口的訪問控制協(xié)議認(rèn)證，是由IEEE提出的一個符合802協(xié)議集的局域網(wǎng)接入控制協(xié)議。802.1X最初是為無線局域網(wǎng)認(rèn)證設(shè)計的，但對有線網(wǎng)來說只要接入交換機支持802.1X協(xié)議也是可行的。

在802.1X協(xié)議中，必須同時具備客戶端、接入認(rèn)證交換機和認(rèn)證服務(wù)器才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。認(rèn)證過程如下：

（1）當(dāng)用戶有上網(wǎng)需求時客戶端將請求認(rèn)證的報文信息發(fā)給接入認(rèn)證交換機，開始啟動一次全新的認(rèn)證過程。

（2）接入認(rèn)證交換機收到請求認(rèn)證的報文信息后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⒂脩裘蜕蟻怼?/p>

（3）客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給接入認(rèn)證交換機，接入認(rèn)證交換機將客戶端發(fā)送過來的數(shù)據(jù)幀經(jīng)過封包處理后傳送給認(rèn)證服務(wù)器進行處理。

（4）認(rèn)證服務(wù)器收到接入認(rèn)證交換機傳送過來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給接入認(rèn)證交換機，由接入認(rèn)證交換機傳給客戶端程序。

（5）客戶端程序收到由接入認(rèn)證交換機傳過來的加密字后，用該加密字對口令部分進行加密處理，并通過接入認(rèn)證交換機傳送給認(rèn)證服務(wù)器，此過程中的加密算法為不可逆算法，充分地保障了網(wǎng)絡(luò)上敏感信息的安全度。

（6）認(rèn)證服務(wù)器將送過來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行比對，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的數(shù)據(jù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)。

基于RADIUS方式的IAS認(rèn)證服務(wù)器+Foundry接入交換機的模式來描述整個認(rèn)證系統(tǒng)的基本設(shè)置過程。

1IAS的安裝配置過程

第一步：在DC上安裝IAS服務(wù)。

第二步：定義認(rèn)證客戶端。在IAS管理界面中，在客戶端上右擊，選擇創(chuàng)建新的客戶端為交換機輸入名稱及其IP地址或DNS名稱在客戶端-供應(yīng)商中選擇“RADIUSStandard”，輸入用于識別交換機的共享密碼，這個密碼必須與交換機中確定RADIUS服務(wù)器的密碼一致，勾選“請求必須包括消息消息驗證程序?qū)傩浴薄?/p>

第三步：創(chuàng)建遠(yuǎn)程訪問策略實施訪問管理。在IAS管理界面中，右擊“遠(yuǎn)程訪問策略”，創(chuàng)建新的遠(yuǎn)程訪問策略并選擇連接類型雙擊新建的策略，添加“Day-and-Time-Restriction”設(shè)置許可訪問的時段。

第四步：開啟遠(yuǎn)程訪問記錄。在IAS管理界面中選擇“遠(yuǎn)程訪問記錄”，打開“本地文件”屬性。

在“設(shè)置”頁中選擇需要記錄的信息；在“日志文件”頁卡中，設(shè)置文件格式為IAS格式，選擇創(chuàng)建新日志時間。第五步：設(shè)置可逆加密格式的密碼來支持EAP-MD5。在DC上選擇“ActiveDirectory用戶和計算機”，在AD域名上右鍵選擇屬性。

選擇“組策略”頁，編輯“默認(rèn)域策略”。

在“計算機配置/Windows設(shè)置/安全設(shè)置/帳戶策略/密碼策略”樹中，啟用“用可還原的加密來存儲密碼”項。

第六步：為用戶設(shè)置撥入和可逆加密密碼許可。用戶帳號屬性中選擇“撥入”頁，勾選“允許撥入”項選擇“帳戶”頁，勾選“使用可逆的加密保存密碼”選項

2接入認(rèn)證交換機的配置過程

接入認(rèn)證交換機的配置可以使用CLI、Telnet、超級終端撥入以及瀏覽器訪問等多種方法。瀏覽器訪問方式最便捷：登陸交換機的管理界面，在左側(cè)樹形管理菜單中的安全設(shè)置菜單項中設(shè)定認(rèn)證順序、服務(wù)器地址、端口、共享的密碼、傳輸數(shù)和超時時間，并對各端口信息進行逐一設(shè)定。

3客戶端訪問網(wǎng)絡(luò)的驗證過程

基于802.1x的認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息，由于EAP協(xié)議的可擴展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-TTLS，PEAP以及LEAP等認(rèn)證方法。

802.1x認(rèn)證協(xié)議已經(jīng)得到了很多軟件廠商的重視，紛紛推出了大量的認(rèn)證客戶端軟件，微軟也不例外，在WindowsXPSP2中已經(jīng)整合了802.1x客戶端軟件，無需再另外安裝客戶端軟件，只要網(wǎng)絡(luò)連接的屬性中啟用此網(wǎng)絡(luò)的802.1x驗證即可。設(shè)置完成的客戶端再次接入交換機時，系統(tǒng)會提示需要用戶名和密碼，只有合法用戶才可以正常訪問網(wǎng)絡(luò)資源。

至此為止，完成了整套認(rèn)證系統(tǒng)的分析與設(shè)置，可以使得網(wǎng)絡(luò)的安全性得到了更深層次的保障。