前言：隨著網絡的發展，現代企業大多都會部署企業的有線網絡與無線網絡，在傳統的企業網內，隨著越來越多的終端設備接入到公司網絡，管理人員控制和審計外部用戶接入的企業辦公網的難度和工作量也越來越大。而如果允許外部用戶隨意使用企業網絡，則可能在管理人員和系統維護人員毫不知情的情況下，某些惡意用戶侵入企業辦公網絡，從而造成數據泄露、病毒木馬傳播、惡意勒索以及數據攻擊等嚴重問題。由此，針對企業網絡亟需一套能夠有效控制終端接入、審計以及分級管控的網絡部署架構。
關鍵字：終端安全接入、802.1x、網絡管控

一

接入協議802.1x

1

802.1x協議介紹

802.1x協議起源于802.11協議，后者是IEEE的無線局域網協議， 制訂802.1x協議的初衷是為了解決無線局域網用戶的接入認證問題。IEEE802LAN協議定義的局域網并不提供接入認證，只要用戶能接入局域網控制設備 (如LAN Switch)就可以訪問局域網中的設備或資源。

802.1x協議是基于客戶端/服務端的訪問控制和認證協議,包括三個實體：客戶端、接入設備和認證服務器。其可以限制未經授權的用戶或者設備通過接入端口訪問LAN/WLAN。認證系統每個物理端口內部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態，主要用來傳遞EAPOL協議幀，可隨時保證接收認證請求者發出的EAPOL認證報文;受控端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務。在認證通過之前，支持802.1x協議的交換設備只允許EAPOL（基于局域網的擴展認證協議）數據報文通過終端連接的交換機端口；認證通過后，用戶或者終端的其他數據報文才能順利地通過以太網端口進行后續的路由轉發等動作。

2

終端、交換設備以及認證服務器需要滿足的要求

▎用戶終端

局域網用戶終端設備，但必須是支持EAPOL的設備，可通過啟動客戶端設備上安裝的802.1x客戶端軟件發起802.1x認證。目前大部分的臺式機、筆記本以及手機都支持EAPOL。

▎交換設備端

支持802.1x協議的網絡交換設備（如交換機），對所連接的客戶端進行認證。它為客戶端提供接入局域網的端口（物理端口或者邏輯端口）。

▎認證服務器

為交換設備端802.1x協議提供認證服務的設備，是真正進行認證的設備，實現對用戶進行認證、授權和計費，通常為RADIUS服務器。通過需要在交換設備上配置認證服務器的IP端口信息。

3

認證方式

EAP協議可以運行在各種底層，包括數據鏈路層和上層協議（如UDP、TCP等），可以不需要IP地址。因此使用EAP協議的802.1X認證具有良好的靈活性。在用戶終端與交換設備端之間，EAP協議報文使用EAPoL（EAP over LANs）封裝格式，直接承載于LAN環境中。

在交換設備端與認證服務器之間，用戶可以根據客戶端支持情況和網絡安全要求來決定采用的認證方式。

▎EAP終結方式

EAP報文在設備端終結并重新封裝到RADIUS報文中，利用標準RADIUS協議完成認證、授權和計費。在此方式下，不同的交換識別所能支持的認證擴展協議可能會有很大的區別，例如，華為的交換機一般僅支持MD5-Challenge方式。在需要安全性更高的場景下，EAP終結方式就無法滿足要求。

▎EAP中繼方式

EAP報文被直接封裝到RADIUS報文中（EAP over RADIUS，簡稱為EAPoR），以便穿越復雜的網絡到達認證服務器。

EAP中繼方式的優點是設備端處理更簡單，支持更多的認證方法，缺點則是認證服務器必須支持EAP，且處理能力要足夠強。對于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三種認證方式，EAP-TLS需要在客戶端和服務器上加載證書，安全性最高，EAP-TTLS、EAP-PEAP需要在服務器上加載證書，但不需要在客戶端加載證書，部署相對靈活，安全性較EAP-TLS低。

4

認證過程

802.1X認證有以下觸發方式：●客戶端發送EAPoL-Start報文觸發認證●客戶端發送DHCP/ARP/DHCPv6/ND或任意報文觸發認證●設備以組播形式發送EAP-Request/Identity報文觸發認證

由于Windows系統自帶的802.1x認證程序不主動發送EAPoL-Start報文，因此一般認證的觸發主要是通過客戶端發送DHCP/ARP/DHCPv6/ND等報文觸發。

802.1x中繼方式的認證過程如下圖所示：

上圖中認證過程是由客戶端主動發起的，即采用EAPoL-Start報文觸發認證。

二

認證擴展協議

上文提到802.1x使用EAP進行驗證信息交互，EAP它本身不是一個認證機制，而是一個通用架構，用來傳輸實際的認證協議。EAP的優點是當一個新的認證協議發展出來的時候，基礎的EAP機制不需要隨著改變。

EAP是一組以插件模塊的形式為任何EAP類型提供結構支持的內部組件，它的設計理念是滿足任何鏈路層的身份驗證需求，支持多種鏈路層認證方式。EAP協議是IEEE802.1x認證機制的核心，它將實現細節交由附屬的EAP Method協議完成，如何選取EAP method由認證系統特征決定。這樣實現了EAP的擴展性及靈活性，如圖所示，EAP可以提供不同的方法分別支持PPP，以太網、無線局域網的鏈路驗證。

EAP可分為四層：EAP底層，EAP層，EAP對等和認證層和EAP方法層。

EAP底層負責轉發和接收被認證端（peer）和認證端之間的EAP幀報文；EAP層接收和轉發通過底層的EAP包；EAP對等和認證層在EAP對等層和EAP認證層之間對到來的EAP包進行多路分離；EAP方法層實現認證算法接收和轉發EAP信息?；贓AP衍生了許多認證協議，如EAP-MD5、EAP-TLS以及EAP-TTLS等。

如果現有的擴展方法無法滿足實際的應用需求時，企業可以根據自己的需求開發自己的擴展方法，并以插件的方式融入到EAP中。如：在進行認證時，認證報文中，除了基本的身份認證外，還可以攜帶終端的其他信息：病毒庫版本、漏洞修復情況、終端設備標識以及終端所處網絡等信息，以供后續身份認證使用。

三

網絡訪問授權

802.1x不僅可以用于認證確認嘗試接入網絡的終端設備是否合法，還可以使用授權功能指定通過認證的終端所能擁有的網絡訪問權限，即用戶能訪問哪些資源。授權最常使用的基本授權參數有：VLAN、ACL和UCL組。

1

VLAN

為了將受限的網絡資源與未認證用戶隔離，通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。用戶認證成功后，認證服務器將指定VLAN授權給用戶。此時，設備會將用戶所屬的VLAN修改為授權的VLAN，授權的VLAN并不改變接口的配置。但是，授權的VLAN優先級高于用戶配置的VLAN，即用戶認證成功后生效的VLAN是授權的VLAN，用戶配置的VLAN在用戶下線后生效。

2

ACL

用戶認證成功后，認證服務器將指定ACL授權給用戶，則設備會根據該ACL對用戶報文進行控制。

●如果用戶報文匹配到該ACL中動作為“允許”的規則，則允許其通過；●如果用戶報文匹配到該ACL中動作為“阻止”的規則，則將其丟棄。

ACL規則支持使用IPv4/IPv6報文的源地址、目的地址、I協議類型、ICMP類型、TCP源/目的端口、UDP源/目的端口號、生效時間段等來定義規則。如果需要更復雜的授權規則，則需要將用戶訪問流量通過路由表等方式引流到接入的管控設備上。

3

UCL

用戶控制列表UCL組（User Control List）是網絡成員的集合。UCL組里面的成員，可以是PC、手機等網絡終端設備。借助UCL組，管理員可以將具有相同網絡訪問策略的一類用戶劃分為同一個組，然后為其部署一組網絡訪問策略，滿足該類別所有用戶的網絡訪問需求。相對于為每個用戶部署網絡訪問策略，基于UCL組的網絡控制方案能夠極大的減少管理員的工作量。

除此之外，管理員還可以通過認證服務端的計費/審計功能，查看用戶/終端設備的訪問記錄，以確定特定用戶有無越權訪問情況。

四

結語

綜上所述，企業可以根據不同的場景以及不同的安全需求，使用802.1x結合交換設備以及AAA認證服務端實現用戶終端的安全驗證接入、網絡管控、日志審計等功能，從多維度保障企業的網絡安全以及數據安全。

審核編輯 黃宇