如何使用ES網(wǎng)絡(luò)通二代檢測802.1x安全認(rèn)證過程及進(jìn)行故障診斷

　　網(wǎng)絡(luò)的接入控制對(duì)網(wǎng)絡(luò)管理者來說是非常重要的。網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)用戶關(guān)心網(wǎng)絡(luò)訪問權(quán)限和安全性。

　　網(wǎng)絡(luò)管理員希望確保請(qǐng)求訪問網(wǎng)絡(luò)的客戶端確實(shí)是其本身——是已授權(quán)用戶而非冒名頂替的用戶。類似的，網(wǎng)絡(luò)用戶希望確保當(dāng)無線筆記本電腦連接到網(wǎng)絡(luò)時(shí)，他確實(shí)連接到了自己的網(wǎng)絡(luò)——而不是由黑客匆匆建成，用于收集用戶信息的假冒網(wǎng)絡(luò)。

　　目前ES網(wǎng)絡(luò)通二代支持對(duì)有線和無線網(wǎng)絡(luò)的802.1x安全認(rèn)證檢測。

　　802.1x協(xié)議是標(biāo)準(zhǔn)化的一個(gè)符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的。

　　802.1x協(xié)議與LAN是無縫融合的。802.1x利用了交換LAN架構(gòu)的物理特性，實(shí)現(xiàn)了LAN端口上的設(shè)備認(rèn)證。在認(rèn)證過程中，LAN端口要么充當(dāng)認(rèn)證者，要么扮演請(qǐng)求者。在作為認(rèn)證者時(shí)，LAN端口在需要用戶通過該端口接入相應(yīng)的服務(wù)之前，首先進(jìn)行認(rèn)證，如若認(rèn)證失敗則不允許接入；在作為請(qǐng)求者時(shí)，LAN端口則負(fù)責(zé)向認(rèn)證服務(wù)器提交接入服務(wù)申請(qǐng)�；�于端口的MAC鎖定只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來自任何“不信任”的設(shè)備的數(shù)據(jù)流會(huì)被自動(dòng)丟棄，從而確保最大限度的安全性。

　　在802.1x協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。

　　1.客戶端。一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)��?huì)送出連接請(qǐng)求。

　　2.認(rèn)證系統(tǒng)。在以太網(wǎng)系統(tǒng)中認(rèn)證交換機(jī)，其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。

　　3.認(rèn)證服務(wù)器。通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。



　　802.1x 是基于 IEEE 標(biāo)準(zhǔn)的網(wǎng)絡(luò)認(rèn)證訪問框架，可以選擇它管理負(fù)責(zé)保護(hù)網(wǎng)絡(luò)暢通的密鑰。它不僅限于無線網(wǎng)絡(luò)，事實(shí)上，它還在頂級(jí)供應(yīng)商的高端有線 LAN 設(shè)備上使用。802.1x 依賴于 RADIUS（遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)）網(wǎng)絡(luò)身份驗(yàn)證和授權(quán)服務(wù)來驗(yàn)證網(wǎng)絡(luò)客戶端的憑據(jù)。802.1x 使用 EAP 來打包解決方案不同組件間的身份驗(yàn)證會(huì)話，并生成保護(hù)客戶端與網(wǎng)絡(luò)訪問硬件暢通的密鑰。EAP 是執(zhí)行身份驗(yàn)證的網(wǎng)絡(luò)工程任務(wù)小組 (IETF) 標(biāo)準(zhǔn)。它可用于多種基于密碼、公鑰許可證或其他憑據(jù)的不同身份驗(yàn)證方法。

　　EAP-TLS 通過基于證書的傳輸層安全 (TLS) 在采用強(qiáng)加密方法的無線客戶端和 RADIUS 服務(wù)器間進(jìn)行相互身份驗(yàn)證，并生成了保護(hù)無線傳輸?shù)募用苊荑�。這是使用 802.1x 最受歡迎、最安全的 EAP 方法之一。它要求在客戶端和 RADIUS 服務(wù)器上有公鑰證書。

　　802.1 x認(rèn)證的突出優(yōu)點(diǎn)就是實(shí)現(xiàn)簡單、認(rèn)證效率高、安全可靠。無需多業(yè)務(wù)網(wǎng)管設(shè)備，就能保證IP網(wǎng)絡(luò)的無逢相連。同時(shí)消除了網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障。解決了采用多業(yè)務(wù)網(wǎng)關(guān)，不便于視頻業(yè)務(wù)開展的難題。在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，大大降低了整個(gè)網(wǎng)絡(luò)的建網(wǎng)成本。

　　ES支持對(duì) 802.1x 安全性進(jìn)行配置。

　　所支持的認(rèn)證類型包括：
• EAP TLS
• EAP GTC
• EAP MD5
• EAP MSCHAPV2
• PEAP GTC
• PEAP MD5
• PEAP MSCHAPV2
• PEAP TLS
• TTLS PAP
• TTLS CHAP
• TTLS MSCHAP
• TTLS MSCHAP-V2
• TTLS EAP-MD5
• TTLS EAP GTC
• TTLS EAP MSCHAP-V2
• TTLS EAP-TLS

　　TLS 認(rèn)證類型（也稱為 SmartCard）允許導(dǎo)入由 IT 管理員提供的用戶證書，并可在加密時(shí)使用其它標(biāo)識(shí)號(hào)。



　　ES網(wǎng)絡(luò)通二代的連接日志（Connection Log）功能提供了關(guān)于 802.1x 認(rèn)證和授權(quán)過程的詳細(xì)信息，并說明認(rèn)證和授權(quán)的結(jié)果是通過還是失敗。它還提供了 DHCP 的詳細(xì)信息，包括哪些服務(wù)器回復(fù)了 DHCP 請(qǐng)求及哪些 DHCP 響應(yīng)被忽略。這些信息都將形成日志報(bào)告，進(jìn)行分析和存儲(chǔ)。



　　另外，在WLAN測試中，還可以通過登錄診斷（Login Diagnosis）測試監(jiān)控?zé)o線客戶端在無線LAN 上的驗(yàn)證嘗試。該測試監(jiān)控選定客戶端與它嘗試關(guān)聯(lián)和驗(yàn)證的接入點(diǎn)之間的 EAP（可擴(kuò)展驗(yàn)證協(xié)議）通信流程。該測試可幫助您診斷設(shè)備連接到 WLAN 時(shí)遇到的問題。



　　ES網(wǎng)絡(luò)通二代提供了一種新的方法，幫助用戶對(duì)802.1x的連接進(jìn)行故障診斷。這一新的工具能夠監(jiān)測設(shè)備與網(wǎng)絡(luò)連接和握手過程。如果認(rèn)證失敗，ES網(wǎng)絡(luò)通二代能夠找到失敗的原因，隔離出故障出現(xiàn)的位置，從而快速查找并修復(fù)故障，也可以形成故障報(bào)告與正常時(shí)的報(bào)告進(jìn)行比較。對(duì)于安全要求較高的網(wǎng)絡(luò)，可以極大地提高故障診斷效率。