下载文档原格式
802.1x认证协议在局域网管理中的应用为了有效控制用户随意接入局域网的行为,满足管理网络的业务需要,在局域网管理中应用802.1x认证协议,是一种比较安全且容易实现的方法。
1.802.1x认证协议802.1x认证协议是IEEE为了解决基于端口的网络接入控制(Port Based Network Access Control)而定义的一个标准,它是一种对用户进行认证的方法,它的最终目的就是确定一个端口是否可用。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于一个端口,如果认证成功,就“打开”这个端口,允许所有的报文通过;如果认证不成功,就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构中包括请求者系统、认证系统和认证服务器系统三个部分。
1.1请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1x认证的用户终端设备,一般把802.1x客户端软件安装在终端电脑上,用户通过启动客户端软件发起802.lx认证,输入用户名、口令等验证信息即可。
1.2认证系统认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口,也可以是逻辑端口,其主要作用是将客户端输入的验证信息传递到认证服务器,根据认证的结果打开或关闭服务端口。
1.3认证服务器系统认证服务器检验客户端输入的验证信息,将检验结果通知认证系统。
建议使用RADIUS服务器实现认证服务器的认证和授权功能。
2.RADIUS协议RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,通常被应用在既要求具有较高安全性又要求维持远程用户访问的各种网络环境中。
扑一公司为了安全,实行802.1x 认证一公司为了安全,实行802.1x 认证1.在sw1上sw2之间使用trunk链路,使用VTP配置VLAN 102.启用三层交换机实现vlan间通行都在sw1上配置SW1(config)#int vlan 1SW1(config-if)#ip add 192.168.1.254 255.255.255.0SW1(config-if)#no shSW1(config-if)#int vlan 10SW1(config-if)#ip ad 10.254 255.255.255.03.在ACS服务器上配置DHCP服务器,让客户端能够自动获取IP地址.(此处要搭建dhcp服务)SW1(config)#int vlan 10SW1(config-if)#ip helper-address 192.168.1.100然后再sw2上配置vlan1的ip是4在客户机上测试通行能ping通ACS服务器然后查看自动获取到的ip地址4在安装ACS之前先安装4搭建ACS安装cisco ACS软件四个复选框各个意思是终端用户能够连接到AAA接入设备安装ACS的windows服务器能够ping通AAA接入设备AAA接入设备(sw2)运行的ios最顶版本是11.1使用的浏览器版本最低是IEv6.0SPI或Netscape v8.05安装完成后桌面有双击此图标6注意在此想要运行此软件需要关闭以下功能在添加删除程序中的》添加windows组件中把ie浏览器的勾去掉。
才能运行上面的ACS软件8在network configuration 中添加AAAclients客户端单击add entry 配置sw2然后配置sw2的vlan1的ip地址和共享密钥为cisco8.1在RADIUS KEY WRAP 中选择下面的8.2在authenticate using中选择RADIUS(IETF)8.3然后点击中的按钮确定和应用9配置AAA server9.1配置服务器端ip地址和共享密钥选择服务器类型然后点击中间的确认和应用10配置添加用户在user setup中输入用户名点击Add/edit出现下面对话框11输入密码和用户属于哪个组12配置RADIUS的属性12.1然后现则64 65 8113然后再groups setup 中选择组的然后点击Edit settings14然后选择下面的默认选择也就是这些15然后再在下面按线面步骤选择完成后选择中间的确定并应用64代表认证发起者使用的隧道协议。
802.1x重认证原理标题:802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要,802.1x协议作为一种可扩展的身份验证协议,被广泛应用于无线网络接入控制。
它能有效防止未经授权的设备访问网络资源,保护网络的安全性。
本文将详细介绍802.1x重认证原理。
二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议,由IEEE(电气电子工程师学会)制定。
它定义了用户接入网络时的身份认证过程,包括用户身份的鉴别、授权和计费等功能。
在802.1x协议中,主要涉及到三个角色:客户端、认证服务器和交换机。
三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后,由于某些原因需要重新进行认证的过程。
这个过程中,客户端会发送一个EAP-Request/Identity给认证服务器,认证服务器接收到请求后,会发送一个EAP-Response/Identity给客户端,然后客户端根据接收到的信息判断是否需要重新认证。
重认证的主要原因是保持用户的在线状态,防止用户的非法使用。
例如,如果用户的账号密码发生了改变,或者用户的权限发生了变化,就需要重新进行认证。
此外,如果用户的设备更换或者移动到另一个位置,也需要重新进行认证。
四、802.1x重认证流程1. 客户端发起重认证请求:客户端向交换机发送一个EAP-Request/Identity消息,表示需要进行重认证。
2. 交换机转发请求:交换机接收到请求后,将其转发给认证服务器。
3. 认证服务器响应:认证服务器接收到请求后,会发送一个EAP-Response/Identity消息给交换机,表明接受重认证请求。
4. 交换机转发响应:交换机接收到响应后,将其转发给客户端。
5. 客户端进行重认证:客户端接收到响应后,会进行重新认证,包括输入新的账号密码等信息。
6. 认证服务器验证:认证服务器接收到客户端的新信息后,会进行验证。
7. 交换机控制端口状态:如果验证成功,交换机会打开相应的端口,允许客户端访问网络;如果验证失败,交换机会关闭相应的端口,阻止客户端访问网络。
扩展认证协议RFC3748这个备忘录的状态本文档明确描述了互联网社区的一个互联网标准跟踪协议,需要进一步进行讨论和改善的建议,请参考最新的“互联网官方协议标准”国家标准化。
这个备忘录的发布是不受限制的。
版权通知摘要本文档定义了EAP扩展认证协议,一个支持多种认证方法的认证框架。
EAP通常直接运行在数据链路层,利于ppp协议或者IEEE802,不需要IP地址。
EAP提供了它自己支持的重复性淘汰和转发,但是在较低层排序保证自力更生。
EAP本身不支持碎片,然而单独的EAP方法可能支持这个。
本文档替代了RFC2284.本文档和RFC2284更改的总结在附录A中体现。
目录概要1.引言本文档定义了扩展认证协议,一个支持多路认证方法的认证框架。
EAP通常直接运行在数据链路层,例如点对点协议或者是IEEE802,不需要IP地址。
EAP提供了它自己支持的重复性淘汰和转发,但是在较低层排序保证自力更生。
EAP本身不支持碎片,然而单独的EAP方法可能支持这个。
EAP可用于专用的链接,以及开关电路和有线和无线链路。
到目前为止,EAP已经通过连接交换电路或拨号链路使用PPP协议,实施在主机和路由器上。
同时也通过使用IEEE802协议,应用在交换机和接入点。
在IEEE802有线媒体封装的EAP在IEEE802.1X中得以描述,并且在IEEE无线局域网中封装,由IEEE802.11i描述。
EAP架构的优势之一就是它的灵活性。
EAP是用来选择一个专门的认证机制,通常是在验证请求需要更多的信息来确认专门的认证方法被使用,而不是需要验证者需要更新来支持每个新的验证方法,EAP允许使用后台认证服务器,他可以实现一些或所有认证方法,当认证者为部分或所有的方法和对等体作为一个传递。
在这个文件中,不论是否认证者作为一个传递,认证要求都要申请。
凡要求是为了适用于认证或者后台认证服务器,这取决于EAP认证在哪里被终止,EAP服务器将被使用。
1.1要求说明书1.2术语本文档经常使用下列词语:认证器:启动EAP认证链路的终端。
二层网管交换机应用——802.1x认证(网络安全接入控制)802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机,TL-SL5428做为接入交换机,802.1x认证服务器接在TL-SG2224E上。
下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。
1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。
(也可以在Windows Server 上搭建Radius认证服务器。
有关服务器的搭建方法请在网上参考相关资料)认证服务器上的配置:● 服务器IP地址:192.168.1.250● 认证端口:1812● 计费端口:1813● 密钥:fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。
如果不需要进行上网计费,则不需要启用计费功能。
● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证,使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。
ii.配置其它需要认证的端口。
(TL-SL5428可同时支持基于MAC和Port的认证,这里均采用基于MAC的认证方式)注:● 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。
● 控制类型中,“基于MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。
无线802.1x认证标准无线802.1x协议交互逻辑无线PEAP认证分为几个阶段,802.11无线关联阶段、PEAP认证阶段、无线Key 配置阶段、客户端IP地址获取阶段、正常网络访问阶段以及最后的下线阶段,接下来我们就依照下图对认证过程中的各个阶段进行详细描述。
一、802.11无线关联阶段STA(WorkStation,通常指个人PC)上的认证客户端(Supplicant)通过无线开放模式和无线设备之间建立连接。
1)第一对交互过程用于客户端请求希望关联的SSID,无线设备进行请求应答。
2)接下来的一对交互过程使用开放模式进行认证,真正的身份校验放到了PEAP阶段完成。
3)最后一对交互过程是在进行无线关联,通过该对话可以协商出双方所支持的通讯速率、无线数据传输时的密钥传递、管理和加密方式。
客户端和无线设备完成上述交互过程后,无线关联过程也就完成了。
二、PEAP认证阶段A、802.1X认证起始阶段1)客户端向无线设备发送一个EAPoL-Start报文,开始802.1X认证;2)无线设备向客户端发送EAP-Request/ID报文,要求客户端将用户信息送上来;3)客户端回应EAP-Response/ID给无线设备,该报文中包含用户标识,通常为认证用户ID(由于PEAP的TLS安全通道内依然使用EAP协议进行认证,而EAP 认证过程中会再请求一次用户ID,那么方案设计者可以通过本次的Response/ID 来隐藏真实的用户ID,而在TLS安全通道内的EAP交互中携带真实的用户ID,这样可以增强用户认证凭证的保密性);4)无线设备以EAP Over Radius的形式将EAP-Response/ID传送给Radius服务器。
B、协商PEAP认证并建立TLS安全通道5)Radius服务器收到EAP-Response/ID后根据配置确定使用PEAP认证,并向无线设备发送Radius Access-Challenge报文,报文中包含Radius服务器发送给客户端的PEAP-Start报文,表示希望使用PEAP方法进行接下来的认证;6)无线设备将EAP-Request/PEAP-Start发送给认证客户端;7)客户端收到EAP-Request/PEAP-Start报文后,生成客户端随机数、客户端支持的加密算法列表、TLS协议版本、会话ID等信息,并将这些信息封装到PEAP-Client Hello报文中发送给无线设备;8)无线设备以EAP Over Radius的形式将PEAP-Client Hello发送给Radius服务器;9)Radius服务器收到客户端发来的PEAP-Client Hello报文后,会从PEAP-Client Hello报文的加密算法列表中选择自己支持的一组加密算法并同Radius服务器产生的随机数、Radius服务器证书、证书请求信息、Server_Hello_Done属性形成一个Server Hello报文封装在Access-Challenge报文中,发送给客户端;10)无线设备提取Radius报文中的EAP属性,将其封装成EAP-Request报文并最终发送给客户端;11) 客户端收到来自服务器的EAP-Request报文后,验证Radius服务器的证书是否合法。
802.1x认证系统802.1x认证系统基础IEEE 802.1X是由IEEE制定的关于用户接入网络的认证标准,全称是“基于端口的网络接入控制”。
它于2001年正式颁布,最初是为有线网络设计,之后为了配合无线网络的接入进行修订改版,并于2004年完成。
802.1x协议是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。
802.1x认证系统采用网络应用系统典型的Client/Server(C/S)结构,包括三个部分:客户端(Client)、设备端(Device)和认证服务器(Server),如图18-2所示。
它与图18-1中的NAC模型结构一一对应。
l 客户端:局域网用户终端设备,但必须是支持EAPOL (Extensible Authentication Protocol over LAN,局域网可扩展认证协议)的设备(如PC机),可通过启动客户端设备上安装的802.1x客户端软件发起802.1x认证。
图18-2 802.1x认证系统结构l 设备端:支持802.1x协议的网络设备(如交换机),对所连接的客户端进行认证。
它为客户端提供接入局域网的端口,可以是物理端口,也可以是逻辑端口(如Eth-Trunk口)。
l 认证服务器:为设备端802.1x协议提供认证服务的设备,是真正进行认证的设备,实现对用户进行认证、授权和计费,通常为RADIUS服务器。
1. 802.1x认证受控/非受控端口在设备端为客户端提供的接入端口被划分为两个逻辑端口:受控端口和非受控端口。
“非受控端口”可看成为EAP(可扩展认证协议)端口,不进行认证控制,始终处于双向连通状态,主要用来传递在通过认证前必需的EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
“受控端口”可以看作为普通业务端口,是需要进行认证控制的。
它有“授权”和“非授权”两种状态(相当于在该端口上有一个控制开关):在授权状态下处于双向连通状态(控制开关闭合),可进行正常的业务报文传递;在非授权状态下处于打开状态(控制开关打开),禁止任何业务报文的传递。
交换机端口安全技术——802.1x网络接入认证技术菜籽 2012-4-28随着以太网应用日益普及,以太网安全成为日益迫切的需求。
以太网交换机针对网络安全问题提供了多种安全机制,包括地址绑定、端口隔离、接入认证等技术。
本文将针对以太网交换机端口接入认证技术进行讲解。
IEEE802.1X标准是一种基于端口的网络接入控制协议。
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口(比如说机器上的有线网卡端口或者是无线端口),也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
若开启“802.1x验证”后当电脑通过有线或者无线准备接入网络时,在xp 以上的系统会弹出用户名和密码的认证提示,当用户输入正确的用户名和密码之后,才可以通过认证进行网络通讯,但是若用户端没有开启认证的话,则无法正常的访问网络。
1、802.1x体系结构802.1x的系统为典型的客户机/服务器体系结构,包括三个实体,如下图所示,分别为客户端、设备端和认证服务器。
在实际网络中,客户端通常是安装了802.1x客户端软件(windowsxp自带客户端,后文详细介绍了如何激活该软件);设备端通常是启用了802.1x功能的接入层交换机;而认证服务器端可以是以交换机自带的本地认证,也可以是远程集中认证服务器。
认证服务器可分为本地认证服务器和远程集中认证服务器,分别适用于不同场合.(1)本地认证服务器由设备端内置本地服务器对客户端进行认证。
设备端内置的认证服务器对客户端进行认证,认证通过后开放端口。
802.1X--新认证时代的来临一前言随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求。
北京港湾网络有限公司率先推出商用化的802.1x协议具有完备用户的认证、管理功能,很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。
802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更适合在宽带以太网中的使用。
802.1x协议在宽带以太网中的成功应用,引发了业界讨论,引起了各厂商的关注,受到了广大运营商的欢迎;各国内外各大宽带设备厂商纷纷做好了准备,以迎接新认证时代的到来。
二802.1x协议简介IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control protocol)。
IEEE 802.1x协议的体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。
客户端系统:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起802.1x协议的认证过程。
为支持基于端口的接入控制,客户端系统需支持EAPOL(Extensible Authentication Protocol Over LAN)协议。
认证系统:通常为支持802.1x协议的网络设备。
该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。
不受控端口始终处于双向连通状态,主要用来传递EAPOL 协议帧,可保证客户端始终可以发出或接受认证。
受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
认证服务器:通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。
当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。
认证服务器和RADIUS服务器之间通过EAP协议进行通信。
认证系统和认证服务器之间的通信可以通过网络进行,也可以使用其他的通信通道,例如如果认证系统和认证服务器集成在一起,二个实体之间的通信就可以不采用EAP协议。
港湾网络的产品可以实现认证系统和认证服务器的集成能力,完成EAP报文的终结,提供标准的RADIUS接口图中认证系统的受控端口处于未认证状态,因此无法访问认证系统提供的服务。
EAP:Extensible Authentication ProtocolEAPOL:Extensible Authentication Protocol OVER LAN注意的是,在上图所表现的在802.1x协议中的"可控端口"与"非可控端口"是逻辑上的理解,设备内部并不存在这样的物理开关。
对于每个用户而言,802.1x协议均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口打开后被其他用户利用问题。
802.1x认证协议已经得到了很多软件厂商的重视,目前微软公司也在其Windows操作系统中的最新版Windows XP已经整合802.1x客户端软件,用户无需要另外安装客户端软件。
三802.1x协议技术特点1、协议实现简单802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。
2、认证和业务分离802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由Radius和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换;所以通过认证之后的数据包是无需封装的纯数据包。
认证系统简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作,所以802 .1x封装效率高,消除了网络瓶颈;同时,由于802.1x认证包采用了在不可控通道中的独立处理的方式,因此认证处理容量可以很大,远远高于传统的BAS,无需要购买昂贵设备,降低了建网成本;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
3、和其他认证方式的比较:802.1x协议虽然源于IEEE 802.11无线以太网(EAPOW),但是,它在以太网中的引入,解决了传统的PPPOE和WEB/PORTAL认证方式带来的问题,消除了网络瓶颈,简轻了网络封装开销,降低了建网成本。
众所周知,PPPOE是从基于ATM的窄带网引入到宽带以太网的,由此可以看出,PPPOE并不是为宽带以太网量身定做的认证技术,将其应用于宽带以太网,必然会有其局限性,虽然其方式较灵活,在窄带网中有较丰富的应用经验,但是,它的封装方式,也造成了宽带以太网的种种等问题。
在PPPOE认证中,认证系统必须将每个包进行拆解才能判断和识别用户是否合法,一旦用户增多或者数据包增大,封装速度必然跟不上,成为了网络瓶颈;其次这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成,这个设备就是我们传统的BAS,每个用户发出的每个数据包BAS必须进行拆包识别和封装转发;为了解决瓶颈问题,厂商想出了提高BAS性能,或者采用大量分布式BAS等方式来解决问题,但是BAS的功能就决定了它是一个昂贵的设备,这样一来建设成本就会越来越高。
WEB/PORTAL认证是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。
但是由于WEB认证走的是7层协议,从逻辑上来说为了达到网络2层的连接而跑到7层做认证,这首先不符合网络逻辑。
其次由于认证走的是7层协议,对设备必然提出更高要求,增加了建网成本。
第三,WEB是在认证前就为用户分配了IP地址,对目前网络珍贵的IP地址来说造成了浪费,而且分配IP地址的DHCP对用户而言是完全裸露的,容易造成被恶意攻击,一旦受攻击瘫痪,整网就没法认证;为了解决易受攻击问题,就必须加装一个防火墙,这样一来又大大增加了建网成本。
WEB/PORTAL认证用户连接性差,不容易检测用户离线,基于时间的计费较难实现;用户在访问网络前,不管是TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证,易用性不够好;而且认证前后业务流和数据流无法区分。
所以,在以太网中,WEB/PORTAL认证目前只是限于在酒店,校园等网络环境中使用。
四802.1x协议在港湾网络产品中的应用IEEE 802.1x协议是目前业界最新的标准认证协议,一经推出就引起了广大网络设备制造商的重视,各大厂商纷纷组织研发力量进行基于802.1x协议相关产品的开发。
可以说,在这一方面,北京港湾网络有限公司走的比较早,业界内率先推出了包括客户端软件、认证系统、认证服务器在内的基于802.1x协议的成熟的网络产品和商用解决方案,首家实现了802.1x协议的商业化。
1、设备内置802.1X认证系统在港湾网络全系列以太交换机中,创造性的将802.1X 认证系统内置到产品当中,为网络实现分布式的认证体系结构的提供了设备保证。
以下型号支持内置802.1X认证协议:智能多层交换机FlexHammer 16i智能多层交换机FlexHammer 24全线速千兆路由交换机FlexHammer5020、FlexHammer5010全千兆路由交换机FlexHammer 5610、FlexHammer 5610T64G智能多层交换机BigHammer 400128G智能多层交换机BigHammer 800VSDL/ADSL宽带智能多层交换机Hammer10000 IP DSLAM2、基于802.1x认证的灵活的端口控制能力这里所说的端口是一个逻辑上的广义端口的概念的统称,并非单指物理端口,因该包含有物理端口、MAC、VLAN,IP等识别用户或用户群的标识。
可以灵活的根据应用的情况、业务的要求,针对用户的类型,选择端口形式进行控制。
有效的解决了运营遇到的用户安全,用户认证等问题。
港湾网络可以提供的端口控制的功能有:端口隔离/镜像端口TRUNK端口锁定/MAC-GROUP端口安全端口绑定(实现MAC+PORT+VLAN+IP+UserName捆绑)基于端口的认证802.1x3、内置EAP终结,与网上现有的RADIUS平滑对接目前,不少具有前瞻性观念的AAA厂商已经开始支持802.1x协议,或者提供AAA升级解决方案,并且业界内支持802.1x协议的交换机已经与业界支持802.1x协议AAA成功对接。
同时为了实现与网上现有RADIUS的对接,港湾公司的交换机同时支持内部终结了EAP的功能,对上提供标准的RADIUS接口,从而可以通过标准的Radius协议实现了与传统的Radius平滑对接,实现网络设备的平滑扩容。
利用这种实现方式,港湾网络已经和业界主流的RADIUS系统完成了广泛的对接入网工作. 4、立体化分布的认证体系结构传统的宽带以太网中,采用专门的认证设备对整网进行集中认证,一是增加了认证设备的压力,二是一旦认证设备有问题,就会造成整网认证瘫痪;同时,要在一台认证设备上完成整网所有用户的认证,必然对改认证设备性能提出较高要求,而满足这种要求的设备往往价格是昂贵的。
港湾网络基于802.1x协议,提供了"集中的用户信息存储,分散的用户认证"的整网认证结构立体化,运营商可根据网络规模,将认证系统(支持802.1x协议的系列交换机)分散放置在各小区的中心,由这些分散的认证系统实现对整网用户的接入认证,运营商只需要在核心放置一台认证服务器,方便的实现用户信息的管理与存储。
而且由于802.1x协议的特性,网络中不会存在繁琐的重复认证过程,这样,就降低由于单点故障导致全网用户无法访问网络的风险,实现了用户认证流和业务流的有效分离,解决了网络认证系统瓶颈问题;同时无需另外购买其他专门的认证设备,降低了网络建设成本。
5、提供全套商用的802.1x认证计费解决方案港湾网络提供全套商用的802.1x认证计费解决方案,不仅可以实现对用户的安全认证,防止非法用户的入侵和使用网络资源功能,港湾网支持802.1x协议络的交换设备还可以区分128K条业务流,支持以64K 为粒度的流控,为运营商提供基于用户业务(数据业务、话音业务、视频业务等)和带宽的的灵活计费方式,这样配合后台的认证服务器就可以实现多种计费策略,如按时长、按流量或多种组合策略,可以说为运营商提供了更多的服务选择空间。
