802.1X无线认证方案.doc

802.1x 无线校园网认证方案一、802.1x 认证802.1x 定义了基于端口的网络接入控制协议（port based network access control），在802.1x 协议中只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权1. 客户端：安装在用户的计算机上，当用户有上网需求时，激活客户端程序，输入必要的帐号和口令，客户端程序将会送出连接请求2. 认证系统：在校园网中指支持 802.1x 的认证交换机或 AP，AC，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口3. 认证服务器：一般为 Radius 服务器，通过检验客户端发送来的身份标识（帐号和口令，MAC 地址，IP 地址）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态该协议应用于校园网中对用户的认证的过程如图所示：802.1x 认证流程示意图接入交换机的端口模式采用常关模式，首先上网学生通过 802.1x 的客户端输入帐号、密码后，客户端发起 EAP 报文至认证交换机，在认证交换机上终结 EAP 报文，然后从认证交换机再次发起 Radius 报文至 Radius 服务器，由 Radius 服务器来验证帐号、密码是否匹配，在认证通过以后由 Radius 服务器下发 Radius 报文至交换机通知该用户认证通过，交换机再将相对应的端口打开，允许用户上网。

为了防止因为用户端设备发生故障造成异常死机，或者在用户使用期间帐户到期而不能正常断线，从而影响到对用户计费的准确性，认证点应当定期重新发起认证过程，该过程对于用户是透明的，即用户无需再次输入帐号／密码重新认证时间默认值为 3600s，重新认证是默认关闭的由于校园网络人员众多，学生是很活跃的人群，一些学生热衷于黑客技术，一些学生思想比较自由，为了加强对上网安全的管理，根据校园网中网络使用者的特点，管理者需要对用户进行严格的管理和控制从网络控制的安全性考虑，在校园无线网络建设中我们建议采用 802.1x 作为接入认证的方式二、方案在校园网中用 802.1x 协议对无线用户实现认证和计费，根据计费策略和认证点的不同，总结为如下三种方案根据学校实际需求，提供给学校相应的方案方案一】无线和有线用户不区分计费策略，认证点在汇聚层交换机方案要点:1. 实现简单，设备成本较低，但无法区分无线和有线用户，只能采取相同的计费策略2. 全部认证点放在汇聚层交换机，AP 设置成关闭 802.1x 认证（透传） ，接入层交换机设置成透传 802.1x 报文3. 无线和有线客户端通过认证后，获得相同的 IP 地址段。

4. 为避免二次认证，AP 关闭 802.1x 认证，设置为开放模式或静态 WEP 加密静态WEP 加密使用共享密钥（所有无线用户使用相同的密钥） ，密钥容易泄漏或被破解，因此无线用户的传输数据容易被监听到，安全性较差5. 所有用户都必须安装 802.1x 客户端，统一认证方式计费网关采用同一台计费网关（功能包括 NAT，DHCP SERVER，WEB SERVER）6. 计费网关要关闭对国内流量的认证，只对国际流量进行二次认证备注：汇聚层交换机必须支持 802.1x 认证；计费网关必须支持 802.1x 认证，无线客户端软件由汇聚层交换机厂家提供方案二】无线和有线用户区分计费策略，认证点分别在 AP 和汇聚层交换机如下图所示，AP 和有线用户分别上联到不同的接入层交换机，再上联到汇聚层交换机的不同端口 下联 AP 的汇聚层交换机端口透传（关闭 802.1x 认证） ，在 AP 上启用 802.1x 认证 下联有线用户的汇聚层交换机端口启用 802.1x 认证无线用户在 AP 上实现认证，有线用户在汇聚层交换机上实现认证划分独立 IP 地址：在汇聚层交换机上将有线和无线端口划分到不同的 VLAN，在DHCP 服务器上做设置，为有线和无线 VLAN 分配不同的 IP 地址段。

对不同用户的区分计费：在 Radius 服务器上要做相应的绑定设置（NAS IP 绑定） ，将无线用户的帐号绑定到无线 IP 地址段，有线用户的帐号绑定到有线 IP 地址段这样使用有线用户的帐号和密码将不能通过 AP 的认证，使用无线用户的帐号和密码也不能通过汇聚层交换机的认证可以同时使用无线和有线的用户，在 Radius 服务器上设置为其帐号绑定所有 IP 地址段，使之经无线和有线接入都通过认证这样就实现了对不同用户的区分计费方案要点：1． AP 和有线终端需要接入不同的接入层交换机接入设备端口利用率较低AP 也可以接入空闲的汇聚层交换机端口2． 接入层交换机透传 802.1x 报文在 AP 上发起 802.1x 认证3． 无线数据安全由 AP 支持的安全性保证，如 AP 支持 802.1x/EAP，配合 Radius 可对数据进行动态 WEP 密钥加密，则用户数据可以获得较高的安全性4． 计费网关对于有线用户计费，关闭对国内流量的认证，只对国际流量进行二次认证5． 对于有线用户可以不做 802.1x 认证，仍沿用原来的 WEB Portal 认证方式这时要关闭汇聚层交换机的 802.1x 认证，同时在计费网关做相应设置，只对来自有线 IP地址段的数据包做认证，对来自无线 IP 地址段的数据包不做认证。

备注： AP 必须支持 802.1x 认证；计费网关必须支持 web 认证（ 802.1x 认证不必须） ，无线客户端软件由 AP 厂家提供由于划分 VLAN 是在汇聚层交换机上，接入层交换机无需支持 VLAN 和 802.1x方案三】 无线和有线用户区分计费策略，接入交换机划分 VLAN，认证点有两种选择如下图所示，如果接入层交换机支持划分 VLAN，则 AP 和有线终端可以混合接入，但要在接入层将二者划分到不同的 VLAN，以实现区分计费的功能划分独立 IP 地址：在本方案中，所有 AP 接入的端口都划分到 VLAN10，有线用户端口划分到其它 VLAN，例如 VLAN20通过在 DHCP 服务器的设置，VLAN10 和 VLAN20获得不同的 IP 地址段， 对不同用户的区分计费：在 Radius 服务器对帐户和 IP 地址段做了相应的绑定（NAS IP 绑定） ，使无线用户只能经 AP 接入才能通过认证，有线用户只能经有线端口接入才能通过认证，同时使用无线和有线的用户允许经任意方式接入这样就实现了对不同用户的区分计费认证点位置的两种选择：1．AP 关闭 802.1x 认证，所有认证都在汇聚层交换机实现。

要求接入层交换机透传802.1x 报文原计费网关要关闭对国内流量的认证，只对国际流量进行二次认证2．如接入交换机支持 802.1x，则无线用户在 AP 认证，有线用户在接入交换机认证，连接 AP 的接入交换机端口关闭 802.1x 认证原计费网关要关闭对国内流量的认证，只对国际流量进行二次认证AP有 线 用 户 无 线 用 户 无 线 用 户 无 线 用 户CERNT接 入 路 由 器计 费 网 关 核 心 交 换 机Radius服 务 器汇 聚 层 交 换 机 汇 聚 层 交 换 机接 入 层 交 换 机 接 入 层 交 换 机有 线 用 户 有 线 用 户 有 线 用 户APAPAP无 线 用 户服 务 器 DHCP服 务 器VLN 10方案要点：1. 要求接入层交换机支持 VLAN 划分，接入设备成本较高，但端口利用率高2. 如果无线认证点在 AP，则可以通过 WPA 的动态 WEP 密钥加密获得较高的安全性， （如：WPA-TKIP，AES、WPA-PSK需要无线网卡和无线 AP 同时支持该种加密方式） ；如无线认证点在汇聚层交换机，则无线数据只能是开放或静态 WEP加密，安全性较差。

3. 与方案二相同，对有线用户可以不做 802.1x 认证，沿用 WEB Portal 认证方式这时要关闭所有交换机的 802.1x 认证，同时在计费网关做相应设置，只对来自有线IP 地址段的数据包做认证，对来自无线 IP 地址段的数据包不做认证4. 计费网关对于有线用户计费，关闭对国内流量的认证，只对国际流量进行二次认证备注： AP 或汇聚层交换机必须支持 802.1x 认证；计费网关必须支持 web 认证（ 802.1x 认证不必须） ，无线客户端软件由 AP 厂家或汇聚层交换机厂家提供（视认证点而定） 接入交换机必需支持 VLAN三、补充：无线 802.1x 认证方式的问题以上三种方案以较低成本解决了无线接入的基本认证计费问题，与采用 AC 和无线交换机的方案相比，存在一些缺陷列举如下：1. 只能实现简单的无线数据接入，无法支持 WiFi Phone 语音增值服务，无线网络应用的扩展性受到局限2. 大规模部署 AP 时，管理维护工作量繁重，需要对 AP 逐个配置和维护配置上百个分散在校园网内 AP 的频率和功率且要确保它们之间互不干扰，是一件及其费时和复杂的工作无线覆盖的频率和功率规划都由手工完成，无法实现无线网络的自愈，自诊断，负载均衡和远程管理。

对于非法 AP 的存在无法及时发现3. 发布和维护大量不同版本的 802.1x 客户端对运维人员是一项繁重的工作由于认证点在 AP 或交换机，没有安装客户端的无线用户是无法上网下载客户端程序的。