畢業(yè)設(shè)計答辯

1、畢業(yè)設(shè)計答辯,專業(yè)：計算機科學(xué)與技術(shù)801 姓名：邢成學(xué)號：08030068指導(dǎo)老師：胡朋,題目：基于校園網(wǎng)的802.1X認證的分析和Radius服務(wù)器構(gòu)建,目錄,,,,,研究目的及研究任務(wù),三種接入認證技術(shù)的淺析,IEEE 802.1X認證技術(shù),具體實例設(shè)計,,,致謝,總結(jié),研究目的將802．1X設(shè)計到現(xiàn)有的校園網(wǎng)認證管理方案中去，實現(xiàn)對局域網(wǎng)內(nèi)用戶接入認證、訪問授權(quán)、安全鑒別等服務(wù)，使內(nèi)網(wǎng)管理系統(tǒng)具有更強的終端安全管理的功能

2、。研究任務(wù)分析目前校園網(wǎng)傳統(tǒng)身份認證方式（PPOE和WEB/PORTAL）的弊端。IEEE802.1X認證原理分析，給出測試配置模型。最后設(shè)計校園網(wǎng)絡(luò)基于IEEE802.1X認證的可行方案。,研究目的及研究任務(wù),接入認證簡介對用戶的認證管理（即通常所說的AAA）包含3個方面，即認證（Authentication）、授權(quán)（Authorization）和計費（Accounting）。Authentication是指驗證用戶對網(wǎng)絡(luò)的訪問

3、權(quán)限；Authorization是授權(quán)用戶可以使用的服務(wù)；Accounting是記錄用戶使用網(wǎng)絡(luò)資源的情況，包括收發(fā)字節(jié)數(shù)、收發(fā)數(shù)據(jù)包數(shù)、上網(wǎng)時長等。,三種接入認證的淺析,PPPoE認證PPPoE（PPP over Ethernet） 是一種在以太網(wǎng)上進行PPP點對點撥號連接的協(xié)議。PPPoE是一種靈活的ADSL接入方式。,ADSL應(yīng)用最廣的橋接接入,三種接入認證的淺析,WEB認證WEB認證最初是一種業(yè)務(wù)類型的認證，通過啟動一個W

4、EB頁面，輸入用戶名、密碼，實現(xiàn)用戶認證。WEB認證目前已經(jīng)成為運營商網(wǎng)絡(luò)平臺的認證方式，通過WEB頁面實現(xiàn)對用戶是否有使用網(wǎng)絡(luò)權(quán)限的認證。,三種接入認證的淺析,三種接入認證的淺析,802.1X認證802.1X是一種以太網(wǎng)的認證技術(shù)，是基于端口的接入控制，稱為Port-Based Network Access Control。在認證過程中沒有PPP的打包過程，沒有IP地址的參與，無法穿越3層網(wǎng)絡(luò)進行認證。,三種認證技術(shù)的比較,三種接

5、入認證的淺析,IEEE 802.1x認證的優(yōu)勢IEEE 802.1x協(xié)議具有完備的用戶認證、管理功能，可以很好地支撐寬帶網(wǎng)絡(luò)的計費、安全、運營和管理要求，對寬帶IP城域網(wǎng)等電信級網(wǎng)絡(luò)的運營和管理具有極大的優(yōu)勢。協(xié)議對認證方式和認證體系結(jié)構(gòu)上進行了優(yōu)化，解決了傳統(tǒng)認證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。,IEEE 802.1X認證技術(shù),IEEE 802.1x認證體系結(jié)構(gòu),IEEE 802.1X認證技術(shù),IEEE802.1x認證

6、過程圖解,IEEE 802.1X認證技術(shù),IEEE 802.1X認證技術(shù),RADIUS認證機制,RADIUS服務(wù)器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對 NAS 進行類似的認證；如果合法，給 NAS 返回Access-Accept數(shù)據(jù)包，允許用戶進行下一步工作，否則返回 Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計費請求A

7、ccount-Require，RADIUS服務(wù)器響應(yīng) Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關(guān)操作。,具體實例設(shè)計,校園網(wǎng)的總體設(shè)計思想,⑴進行對象研究和需求調(diào)查，明確系統(tǒng)建設(shè)的需求和條件；⑵需求分析的基礎(chǔ)上，確定系統(tǒng)建設(shè)的具體目標(biāo)；⑶確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能；⑷確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；⑸規(guī)劃安排校園網(wǎng)建設(shè)的實施步驟。,具體實例設(shè)計,R

8、adius服務(wù)器架設(shè)實例操作,搭建環(huán)境：Linux 系統(tǒng)、mysql（建議）、freeradius-server（必須）、freeradius-client（可選）軟件安裝： ⑴進入linux 控制臺，引導(dǎo)至root 管理模式； ⑵執(zhí)行# yuminstall mysql-server； ⑶執(zhí)行# yuminstall freeradius-mysql。,具體實例設(shè)計,配置Radius 服務(wù)器,1、進入控制臺r

9、oot 權(quán)限，配置mysql；2、freeradius 和mysql 的集成；3、修改freeradius 配置文件； 1） 編輯/etc/raddb/sql.conf； 2） 編輯/etc/raddb/sites-enabled/default； 3） 編輯/etc/raddb/sites-enabled/inner-tunnel； 4） 編輯/etc/raddb/e

10、ap.conf； 5） 編輯/etc/raddb/clients.conf, 加入授權(quán)client； 6) 編輯/etc/raddb/radiusd.conf。,具體實例設(shè)計,校園網(wǎng)拓撲圖,具體實例設(shè)計,基于802.1x的校園網(wǎng)上的實現(xiàn),802.1X認證和Redius服務(wù)器為主的縮略示意圖,具體實例設(shè)計,這種解決方案的優(yōu)勢,在此解決方案中，采用了基于MAC地址的端口訪問控制模式，所有的認證都是在接入層采用

11、分布式認證。在接入交換機（EDS-1624）上就做認證，網(wǎng)絡(luò)安全效果最佳，既提高了認證效率，同時也減輕了上層交換機的負擔(dān)，這將降低建網(wǎng)成本、降低認證服務(wù)器的性能要求。,具體實例設(shè)計,該解決方案的特點,解決了用戶帳號和密碼被盜的問題。解決了DHCP受攻擊的問題。具有良好的可擴展性，管理方便。核心交換機可以作為學(xué)生宿舍子網(wǎng)的核心設(shè)備提供業(yè)務(wù)流分類、端口反查和自動準(zhǔn)確關(guān)閉端口等功能，阻止病毒在內(nèi)網(wǎng)的泛濫。,具體實例設(shè)計,radius-s

12、erver host 192.168.11.10aaa authentication dot1xaaa accounting server 192.168.11.10aaa accountinginterface fastEthernet 0/1dot1x port-control auto…interface gigabitEthernet 1/1switchport mode trunk,interface vlan

13、 100no shutdownip address 192.168.12.110 255.255.255.0dot1x client-probe enabledot1x probe-timer interval 10dot1x probe-temer alive 30no dot1x re-authenticationradius-server key jyuip default-gateway 192.168.12.1

14、snmp-server community public ro,認證交換機上的主要配置：,具體實例設(shè)計,service dhcpip helper-address 192.168.11.5ip aceess-list extended deny_msblastdeny tcp any any eq 135deny tcp any any eq 136…permit udp any host 192.168.11.5 eq

15、bootpspermit udp any host 192.168.11.5 eq bootpcdeny ip any host 192.168.11.5permit udp any host 192.168.11.1 eq 1813permit udp any host 192.168.11.1 eq 1812,deny ip any host 192.168.11.1permit ip any anyinterface

16、GigabitEthernet 1/1speed 1000duplex fullswitchport trunk native valn 3ip access-group dent_msblast in…interface Vlan 1ip address 192.168.11.2 255.255.255.0…ip route 0.0.0.0 0.0.0.0 Vlan 8 210.38.163.141 1 enable

17、d…,核心交換機上的主要配置：,總結(jié),本次設(shè)計將802.1X認證技術(shù)應(yīng)用到現(xiàn)有的校園網(wǎng)認證管理中，對比分析了目前校園網(wǎng)傳統(tǒng)身份認證方式（PPOE和WEB/PORTAL）的弊端。IEEE802.1X認證原理分析，給出測試配置模型。設(shè)計出了基于IEEE802.1X認證的校園網(wǎng)認證的解決方案，完成了主要研究任務(wù)。 IEEE 802.1x這項新標(biāo)準(zhǔn)定義了為LAN實施訪問控制的機制，允許授權(quán)用戶進來，而把非授權(quán)用戶拒之門外。因此

18、，有了802.1x，校園網(wǎng)便不再是一道敞開的門，解決了現(xiàn)階段所面臨的用戶身份認證和應(yīng)用終端的安全性問題，增強了網(wǎng)絡(luò)安全性。802.1x本身也成為安全架構(gòu)的一個重要部分，有助于消除來自校園網(wǎng)內(nèi)部的安全威脅。 通過對本課題的研究和設(shè)計,使我對在IEEE802.1X認證體系下網(wǎng)絡(luò)的設(shè)計有了一個較為具體的理解。對接入認證體系的了解達到了入門級的程度。使我今后對接入認證技術(shù)的深入學(xué)習(xí)和研究提供了一個基礎(chǔ)。同時提高了我對新知識的學(xué)習(xí)