如何使用ES網(wǎng)絡(luò)通二代檢測(cè)802.1x安全認(rèn)證過(guò)程及進(jìn)行故障診斷

　　網(wǎng)絡(luò)的接入控制對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)是非常重要的。網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)用戶(hù)關(guān)心網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限和安全性。

　　網(wǎng)絡(luò)管理員希望確保請(qǐng)求訪(fǎng)問(wèn)網(wǎng)絡(luò)的客戶(hù)端確實(shí)是其本身——是已授權(quán)用戶(hù)而非冒名頂替的用戶(hù)。類(lèi)似的，網(wǎng)絡(luò)用戶(hù)希望確保當(dāng)無(wú)線(xiàn)筆記本電腦連接到網(wǎng)絡(luò)時(shí)，他確實(shí)連接到了自己的網(wǎng)絡(luò)——而不是由黑客匆匆建成，用于收集用戶(hù)信息的假冒網(wǎng)絡(luò)。

　　目前ES網(wǎng)絡(luò)通二代支持對(duì)有線(xiàn)和無(wú)線(xiàn)網(wǎng)絡(luò)的802.1x安全認(rèn)證檢測(cè)。

　　802.1x協(xié)議是標(biāo)準(zhǔn)化的一個(gè)符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱(chēng)為基于端口的訪(fǎng)問(wèn)控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢(shì)的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶(hù)進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶(hù)接入，保護(hù)網(wǎng)絡(luò)安全的目的。

　　802.1x協(xié)議與LAN是無(wú)縫融合的。802.1x利用了交換LAN架構(gòu)的物理特性，實(shí)現(xiàn)了LAN端口上的設(shè)備認(rèn)證。在認(rèn)證過(guò)程中，LAN端口要么充當(dāng)認(rèn)證者，要么扮演請(qǐng)求者。在作為認(rèn)證者時(shí)，LAN端口在需要用戶(hù)通過(guò)該端口接入相應(yīng)的服務(wù)之前，首先進(jìn)行認(rèn)證，如若認(rèn)證失敗則不允許接入；在作為請(qǐng)求者時(shí)，LAN端口則負(fù)責(zé)向認(rèn)證服務(wù)器提交接入服務(wù)申請(qǐng)。基于端口的MAC鎖定只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來(lái)自任何“不信任”的設(shè)備的數(shù)據(jù)流會(huì)被自動(dòng)丟棄，從而確保最大限度的安全性。

　　在802.1x協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪(fǎng)問(wèn)控制的用戶(hù)認(rèn)證和授權(quán)。

　　1.客戶(hù)端。一般安裝在用戶(hù)的工作站上，當(dāng)用戶(hù)有上網(wǎng)需求時(shí)，激活客戶(hù)端程序，輸入必要的用戶(hù)名和口令，客戶(hù)端程序?qū)��?huì)送出連接請(qǐng)求。

　　2.認(rèn)證系統(tǒng)。在以太網(wǎng)系統(tǒng)中認(rèn)證交換機(jī)，其主要作用是完成用戶(hù)認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開(kāi)或關(guān)閉端口。

　　3.認(rèn)證服務(wù)器。通過(guò)檢驗(yàn)客戶(hù)端發(fā)送來(lái)的身份標(biāo)識(shí)（用戶(hù)名和口令）來(lái)判別用戶(hù)是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開(kāi)或保持端口關(guān)閉的狀態(tài)。



　　802.1x 是基于 IEEE 標(biāo)準(zhǔn)的網(wǎng)絡(luò)認(rèn)證訪(fǎng)問(wèn)框架，可以選擇它管理負(fù)責(zé)保護(hù)網(wǎng)絡(luò)暢通的密鑰。它不僅限于無(wú)線(xiàn)網(wǎng)絡(luò)，事實(shí)上，它還在頂級(jí)供應(yīng)商的高端有線(xiàn) LAN 設(shè)備上使用。802.1x 依賴(lài)于 RADIUS（遠(yuǎn)程身份驗(yàn)證撥入用戶(hù)服務(wù)）網(wǎng)絡(luò)身份驗(yàn)證和授權(quán)服務(wù)來(lái)驗(yàn)證網(wǎng)絡(luò)客戶(hù)端的憑據(jù)。802.1x 使用 EAP 來(lái)打包解決方案不同組件間的身份驗(yàn)證會(huì)話(huà)，并生成保護(hù)客戶(hù)端與網(wǎng)絡(luò)訪(fǎng)問(wèn)硬件暢通的密鑰。EAP 是執(zhí)行身份驗(yàn)證的網(wǎng)絡(luò)工程任務(wù)小組 (IETF) 標(biāo)準(zhǔn)。它可用于多種基于密碼、公鑰許可證或其他憑據(jù)的不同身份驗(yàn)證方法。

　　EAP-TLS 通過(guò)基于證書(shū)的傳輸層安全 (TLS) 在采用強(qiáng)加密方法的無(wú)線(xiàn)客戶(hù)端和 RADIUS 服務(wù)器間進(jìn)行相互身份驗(yàn)證，并生成了保護(hù)無(wú)線(xiàn)傳輸?shù)募用苊荑�。這是使用 802.1x 最受歡迎、最安全的 EAP 方法之一。它要求在客戶(hù)端和 RADIUS 服務(wù)器上有公鑰證書(shū)。

　　802.1 x認(rèn)證的突出優(yōu)點(diǎn)就是實(shí)現(xiàn)簡(jiǎn)單、認(rèn)證效率高、安全可靠。無(wú)需多業(yè)務(wù)網(wǎng)管設(shè)備，就能保證IP網(wǎng)絡(luò)的無(wú)逢相連。同時(shí)消除了網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障。解決了采用多業(yè)務(wù)網(wǎng)關(guān)，不便于視頻業(yè)務(wù)開(kāi)展的難題。在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶(hù)認(rèn)證，大大降低了整個(gè)網(wǎng)絡(luò)的建網(wǎng)成本。

　　ES支持對(duì) 802.1x 安全性進(jìn)行配置。

　　所支持的認(rèn)證類(lèi)型包括：
• EAP TLS
• EAP GTC
• EAP MD5
• EAP MSCHAPV2
• PEAP GTC
• PEAP MD5
• PEAP MSCHAPV2
• PEAP TLS
• TTLS PAP
• TTLS CHAP
• TTLS MSCHAP
• TTLS MSCHAP-V2
• TTLS EAP-MD5
• TTLS EAP GTC
• TTLS EAP MSCHAP-V2
• TTLS EAP-TLS

　　TLS 認(rèn)證類(lèi)型（也稱(chēng)為 SmartCard）允許導(dǎo)入由 IT 管理員提供的用戶(hù)證書(shū)，并可在加密時(shí)使用其它標(biāo)識(shí)號(hào)。



　　ES網(wǎng)絡(luò)通二代的連接日志（Connection Log）功能提供了關(guān)于 802.1x 認(rèn)證和授權(quán)過(guò)程的詳細(xì)信息，并說(shuō)明認(rèn)證和授權(quán)的結(jié)果是通過(guò)還是失敗。它還提供了 DHCP 的詳細(xì)信息，包括哪些服務(wù)器回復(fù)了 DHCP 請(qǐng)求及哪些 DHCP 響應(yīng)被忽略。這些信息都將形成日志報(bào)告，進(jìn)行分析和存儲(chǔ)。



　　另外，在WLAN測(cè)試中，還可以通過(guò)登錄診斷（Login Diagnosis）測(cè)試監(jiān)控?zé)o線(xiàn)客戶(hù)端在無(wú)線(xiàn)LAN 上的驗(yàn)證嘗試。該測(cè)試監(jiān)控選定客戶(hù)端與它嘗試關(guān)聯(lián)和驗(yàn)證的接入點(diǎn)之間的 EAP（可擴(kuò)展驗(yàn)證協(xié)議）通信流程。該測(cè)試可幫助您診斷設(shè)備連接到 WLAN 時(shí)遇到的問(wèn)題。



　　ES網(wǎng)絡(luò)通二代提供了一種新的方法，幫助用戶(hù)對(duì)802.1x的連接進(jìn)行故障診斷。這一新的工具能夠監(jiān)測(cè)設(shè)備與網(wǎng)絡(luò)連接和握手過(guò)程。如果認(rèn)證失敗，ES網(wǎng)絡(luò)通二代能夠找到失敗的原因，隔離出故障出現(xiàn)的位置，從而快速查找并修復(fù)故障，也可以形成故障報(bào)告與正常時(shí)的報(bào)告進(jìn)行比較。對(duì)于安全要求較高的網(wǎng)絡(luò)，可以極大地提高故障診斷效率。