设为首页 友情链接
在线留言 发表文章
加入收藏 广告联系

刺猬首页

| 专案技术 | 网络技术 | 图形图象 | 网络编程 | 网页设计 | 操作系统 | 服务器 | 技术白皮书 | 在线实验室 | 刺猬论坛 |
  | 数据库 | 设计赏析 | 存储频道 | 网络安全 | 私服架设 |  Solaris | 网站评估 | PC维护技巧 | 下载中心 | 博 客 |
专题: | Linux | java | cisco | 防病毒 | 刀片 | SOA | iscsi | ASP.NET | SQL | Oracle |
您现在的位置: IT公社 IT community >> 专案技术 >> 网络管理 >> 文章正文 用户登录 新用户注册
专 题 栏 目
最 新 热 门
最 新 推 荐
相 关 文 章
配置 IPSec - 路由器到P…
组网答疑 路由器能替代防…
提升网络效率 宽带路由优…
配置 IPSec - 路由器到P…
移动IPv6关键路由技术分…
如何读懂路由表
交换-以太网 一种价格适…
根据ip地址查交换机端口
边缘路由要与核心层同步…
交换机故障类型及分析方…
  路由交换机上用802.1x技术来防止代理服务器上网         
路由交换机上用802.1x技术来防止代理服务器上网
 

802.1x是基于端口的网络访问控制协议(Port Based Network Access Control Protocol),起源于802.11无线以太网协议,最初主要是为了解决无线局域网用户的接入认证问题而提出的协议标准。目前802.1x协议已成为主流交换机的标准配置,它已是用户在选型时考察设备的一项技术指标。 

802.1x的实现主要分为三个实体,如下图所示。


 
  认证系统是支持802.1x协议的网络设备,如交换机所提供的802.1x认证服务,它接收用户客户端的认证请求并实现认证;认证服务由Radius等后台计费系统组成,主要是存储客户端的资料,还有用户的开帐,和计费的管理和计费业务功能;客户端实体,是由用户所使用的机器上的客户端软件发起802.1x认证的过程,客户端软件通过EAPOL协议与认证系统进行通讯。

  802.1x的主要特点是实现业务流和控制流分开,用户通过认证后,业务、认证流分离,系统对后续数据包无特殊处理,不仅可以有效消除网络瓶颈,而且使业务处理更为灵活。尤其在提供宽带组播等业务时,所有业务均不受认证方式限制,从根本上改变了传统业务模式。与传统的PPPOE的认证方式,无论从认证开销上,网络易用性上,还是从网络投资的成本上,都要有着无法比拟的优势。

  传统的802.1x的基本思想是端口的控制,“端口”的概念可以是物理端口,一般是在二层交换机上实现,但是现在某些三层(路由)交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,通常叫做基于流的认证方式,即无需与物理端口对应,而是基于用户认证控制,一个物理端口上实现多个用户的接入控制。认证系统对应于不同用户的端口有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。

  802.1x相对于其他认证模式PPPOE、Web/Portal,具有简洁高效、容易实现、安全可靠、易于运营的特点,这也使802.1x协议已经在国内教育信息网、宽带建设中得到了广泛的应用,并得到了客户认同和推动。

  目前在实际的宽带网络建设中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,尤其是在校园网,即使使用mac或ip地址绑定均无法控制此现象。如Wingate、Sygate,或使用Windows本身提供的网络共享功能。这些地址代理软件从工作原理上来说主要分为两大类:一、应用级的代理,如使用Wingate、CCProxy代理软件,它将被代理用户向外部的请求,转换为服务器的请求报文发送到外网(需认证才能访问的网络资源),外网响应的数据存储到本地硬盘并发回给被代理用户,以代理缓存技术提高代理工作的效率;二、采用NAT地址转换网络地址转换(Network Address Translator)方式,包括使用Sygate、WinRouter代理软件,及Windows系统自带的网络共享,它将内网用户的外部请求报文的地址转换为外网的地址再发送出去,外网返回的结果再经过地址转换成内网的用户地址,传给请求的被代理用户。

  用802.1x防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源,需侦测出被代理用户和代理服务器之间代理关系,已认证通过的客户端被当作代理服务器使用,确认代理服务器从经过802.1x认证成功的端口提供外部的代理服务。能够准确快速地检测出代理服务器地必要条件包括,分析应用代理关系的建立,NAT代理服务器的运行状态的确认等。

  三层(路由)交换机上802.1x经过特定的功能扩展后,可建立基于流的认证控制,通过功能扩展,提高了使用802.1x认证技术的安全性,可有效防止代理服务器上网,从而保护网络运营商的投资,从而加速了在应用上的普及,极大的推动了可运营、可管理的电信级宽带以太网的建设。

频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。

原始作者:佚名 录入时间:2006-10-12
信息来源:不详 投稿信箱:itqoo@126.com
文章录入:admin    责任编辑:admin 
  • 上一个文章:

  • 下一个文章:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    - 关于我们 - 合作伙伴 - 友情链接 - 广告刊登 - 投稿热线 - 在线留言版权声明联系方式 -
    IT公社版权所有 粤ICP备05127012号
    Copyrigh@2005-2006 itqoo.com.Inc All Rights Reserved  推荐分辨率 1024*768
    联系站长:E-Mail:itqoo@126.com     MSN:urchincc@hotmail.com    QQ:点击这里给我发消息
    特别感谢:亿太网络提供空间支持