【正文】 但嚴(yán)重不安全的用戶，身份認(rèn)證后，準(zhǔn)入服務(wù)器下發(fā)隔離域網(wǎng)絡(luò)權(quán)限到網(wǎng)絡(luò)準(zhǔn)入設(shè)備，僅允許該用戶訪問隔離域網(wǎng)絡(luò)，用戶安全修復(fù)后，重新下發(fā)網(wǎng)絡(luò)后域網(wǎng)絡(luò)權(quán)限。 支持用戶在線實(shí)時(shí)安全狀態(tài)檢查，上線用戶使用過程中出現(xiàn)嚴(yán)重安全問題，仍會(huì)被隔離。 非法用戶及未認(rèn)證用戶僅允許訪問認(rèn)證前域網(wǎng)絡(luò)資源。 用戶接入認(rèn)證傳統(tǒng)網(wǎng)絡(luò)中交換機(jī)僅支持有線用戶的接入認(rèn)證，而無線用戶的接入認(rèn)證需要在AC上完成，這樣有線無線的網(wǎng)絡(luò)認(rèn)證點(diǎn)不統(tǒng)一，而且需要額外設(shè)備，提高了成本。S12700的X1E系列單板支持隨板AC和統(tǒng)一用戶管理功能，可以支持有線和無線用戶的接入認(rèn)證在同一塊業(yè)務(wù)單板上完成，節(jié)約了成本的同時(shí)也簡(jiǎn)化了網(wǎng)絡(luò)部署。4 有線認(rèn)證方式常用的有線接入認(rèn)證有MAC認(rèn)證、Portal認(rèn)證、PPPoE認(rèn)證等，在華為敏捷園區(qū)網(wǎng)解決方案中，多種認(rèn)證方法可集中部署在核心/匯聚交換機(jī)S12700上，配合AAA服務(wù)器共同完成策略控制和用戶管理功能，為企業(yè)園區(qū)提供安全可靠的網(wǎng)絡(luò)。l MAC認(rèn)證MAC認(rèn)證是以終端MAC地址作為身份憑據(jù)到系統(tǒng)進(jìn)行認(rèn)證，用戶無需輸入用戶名和密碼。啟用MAC認(rèn)證后，當(dāng)終端接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)準(zhǔn)入設(shè)備提取終端MAC地址，并將該MAC地址作為用戶名和密碼進(jìn)行認(rèn)證。如果認(rèn)證失敗使用戶下線，并保持一段時(shí)間內(nèi)不再發(fā)起認(rèn)證和探測(cè)，超時(shí)后重新開始探測(cè)過程。如果認(rèn)證成功，交換機(jī)將增加該MAC地址到MAC表，用戶可以正常訪問網(wǎng)絡(luò)。對(duì)于啞終端，如打印機(jī)、IP電話等設(shè)備，適合采用MAC認(rèn)證的方式實(shí)現(xiàn)對(duì)終端的網(wǎng)絡(luò)訪問控制。某些特殊情況，終端用戶不想或不能通過輸入用戶帳號(hào)信息的方式完成認(rèn)證。例如某些特權(quán)終端希望能“免認(rèn)證”直接訪問網(wǎng)絡(luò)，此時(shí)也可采用MAC認(rèn)證方式。對(duì)于用戶的MAC認(rèn)證，既可以是本地認(rèn)證，也可以是遠(yuǎn)端RADIUS服務(wù)器認(rèn)證。如果采用RADIUS認(rèn)證，用戶的訪問權(quán)限由RADIUS服務(wù)器下發(fā)的策略來控制。圖 MAC認(rèn)證流程MAC認(rèn)證的詳細(xì)流程如下： 終端設(shè)備上線，網(wǎng)絡(luò)準(zhǔn)入設(shè)備自動(dòng)提取終端MAC地址； 網(wǎng)絡(luò)準(zhǔn)入設(shè)備對(duì)終端設(shè)備MAC地址進(jìn)行認(rèn)證，網(wǎng)絡(luò)準(zhǔn)入設(shè)備將終端設(shè)備MAC地址作為帳號(hào)和密碼，通過RADIUS協(xié)議送準(zhǔn)入服務(wù)器認(rèn)證； 服務(wù)器認(rèn)證成功，Radius下發(fā)ACL或VLAN對(duì)終端設(shè)備進(jìn)行權(quán)限控制； 認(rèn)證成功，用戶接入網(wǎng)絡(luò)。在S12700交換機(jī)上，有線、無線用戶均支持MAC認(rèn)證接入。l ，包括客戶端、準(zhǔn)入設(shè)備和認(rèn)證服務(wù)器三部分。，用于在局域網(wǎng)接入設(shè)備的端口一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。（Extensible Authentication Protocol）認(rèn)證協(xié)議，目前常用認(rèn)證類型有EAPMDEAPPEAP、EAPTLS、EAPTTLS等，不同認(rèn)證類型。216。 EAPMD5（ Message Digest 5） 使用MD5算法對(duì)用戶密碼和加密字（Challenge）生成消息摘要，到AAA服務(wù)器完成用戶認(rèn)證。因需要輸入用戶名和口令，容易受到字典攻擊，但配置簡(jiǎn)單，廣泛用于園區(qū)網(wǎng)絡(luò)。 216。 EAPPEAP（ Protected Extensible Authentication Protocol ） 主要指EAPMSCHAPv2。服務(wù)器端需要提供證書，客戶端使用用戶名和密碼進(jìn)行用戶身份驗(yàn)證。 216。 EAPTLS（ Transport Layer Security ） 使用了雙向認(rèn)證，客戶端和服務(wù)器均擁有證書并進(jìn)行相互間的身份證明。EAPTLS使用證書提高了安全性，但同時(shí)也意味著需要進(jìn)行繁瑣的證書管理。 216。 EAPTTLS（ Tunneled Transport Layer Security ） EAPTTLS是EAPTLS的增強(qiáng)版本，只需要服務(wù)器端證書。TLS隧道建立后，采用用戶名和密碼進(jìn)行認(rèn)證。以EAPMD5為例，簡(jiǎn)要說明一下協(xié)議流程。圖 MD5認(rèn)證流程流程簡(jiǎn)要說明如下： 流程14是用戶名上送步驟，用戶在客戶端輸入用戶名和密碼，上送認(rèn)證服務(wù)器處理。 流程5～6實(shí)現(xiàn)生成Challenge挑戰(zhàn)字，認(rèn)證服務(wù)器收到用戶名后，若數(shù)據(jù)庫(kù)存在該用戶名，則生成挑戰(zhàn)字Challenge，并通知客戶端。 流程7～8上送用戶密碼，客戶端使用MD5算法，使用Challenge加密密碼，上送服務(wù)器。 流程9～11實(shí)現(xiàn)認(rèn)證成功授權(quán)，服務(wù)器收到用戶密碼（MD5）后，進(jìn)行驗(yàn)證，符合要求后開放用戶權(quán)限，用戶接入網(wǎng)絡(luò)。S12700 。，而S12700部署在核心/匯聚層。l Portal認(rèn)證Portal認(rèn)證也稱為WEB認(rèn)證或DHCP+WEB認(rèn)證。Portal認(rèn)證通過客戶端或者標(biāo)準(zhǔn)WEB頁(yè)面，填入用戶名、密碼信息，提交后由Portal服務(wù)器、AAA服務(wù)器和網(wǎng)絡(luò)設(shè)備配合完成用戶的認(rèn)證。Portal認(rèn)證無需安裝客戶端軟件，這使得Portal認(rèn)證在園區(qū)網(wǎng)AAA方案中獲得廣泛的應(yīng)用。在Portal的Web認(rèn)證前，用戶首先要訪問認(rèn)證頁(yè)面，在認(rèn)證頁(yè)面輸入帳號(hào)和密碼，然后提交。用戶訪問認(rèn)證頁(yè)面的過程，可以采用主動(dòng)訪問頁(yè)面和被動(dòng)訪問頁(yè)面即強(qiáng)推的方式來實(shí)現(xiàn)。圖 014 Portal認(rèn)證流程圖詳細(xì)的流程說明如下： 用戶終端訪問任意Web服務(wù)器（注：如果訪問的是某個(gè)域名，此域名需要是DNS服務(wù)器可以解析的）。 網(wǎng)絡(luò)準(zhǔn)入設(shè)備截獲用戶HTTP請(qǐng)求，如果請(qǐng)求報(bào)文目的地址不是Portal服務(wù)器，通過HTTP重定向命令推送Portal的Web認(rèn)證頁(yè)面。 用戶終端訪問Portal服務(wù)器Web認(rèn)證頁(yè)面，輸入帳號(hào)/密碼，提交認(rèn)證。 Portal服務(wù)器與網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過Portal協(xié)議交換用戶帳號(hào)信息。 網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過RADIUS協(xié)議，向認(rèn)證服務(wù)器（RADIUS服務(wù)器）進(jìn)行用戶認(rèn)證。 準(zhǔn)入服務(wù)器進(jìn)行用戶身份認(rèn)證，并反饋認(rèn)證結(jié)果。如果認(rèn)證通過，一并下發(fā)授權(quán)控制。 網(wǎng)絡(luò)準(zhǔn)入設(shè)備收到RADIUS認(rèn)證結(jié)果，通過Portal協(xié)議告知Portal服務(wù)器。如果認(rèn)證成功，放開用戶上網(wǎng)權(quán)限，并啟動(dòng)ACL實(shí)現(xiàn)該用戶的網(wǎng)絡(luò)訪問控制。 Portal服務(wù)器向用戶終端通過HTTP通知認(rèn)證結(jié)果。 用戶終端下載安裝ActiveX控件（或安裝客戶端代理軟件），認(rèn)證通過后，成功接入網(wǎng)絡(luò)。基于S12700的統(tǒng)一用戶管理，Portal認(rèn)證對(duì)于有線、無線用戶均可以做到支持。l PPPoE認(rèn)證PPP協(xié)議是一種點(diǎn)到點(diǎn)的鏈路層協(xié)議，提供點(diǎn)到點(diǎn)的封裝、傳遞數(shù)據(jù)的方法。PPP應(yīng)用在以太網(wǎng)上，必須使用PPPoE再進(jìn)行一次封裝，進(jìn)行廣播鏈路上點(diǎn)對(duì)點(diǎn)通訊的協(xié)商，包括服務(wù)器的發(fā)現(xiàn)和會(huì)話標(biāo)識(shí)Session ID的確認(rèn)； PPPoE協(xié)議提供了在廣播式網(wǎng)絡(luò)上建立點(diǎn)對(duì)點(diǎn)會(huì)話的能力，并完成用戶接入認(rèn)證業(yè)務(wù)?；赑PPoE的認(rèn)證系統(tǒng)中，PPPoE客戶端到PPPoE服務(wù)器之間為二層網(wǎng)絡(luò)，PPPoE服務(wù)器負(fù)責(zé)終結(jié)PPPoE客戶端發(fā)起的PPPoE協(xié)議報(bào)文，并利用PPP對(duì)客戶終端的PPP連接請(qǐng)求進(jìn)行認(rèn)證。PPPoE認(rèn)證可分為兩個(gè)階段 ，PPPoE發(fā)現(xiàn)階段和PPPoE會(huì)話階段。216。 PPPoE發(fā)現(xiàn)階段用戶終端在廣播網(wǎng)絡(luò)尋找業(yè)務(wù)網(wǎng)關(guān)的過程（S12700），并確定會(huì)話標(biāo)識(shí)Session ID。216。 PPPoE會(huì)話階段主機(jī)和接入服務(wù)器之間進(jìn)行PPP的各項(xiàng)協(xié)商和數(shù)據(jù)傳輸，協(xié)商過程主要包括LCP協(xié)商、用戶認(rèn)證、NAC協(xié)商三個(gè)過程。 PPPoE認(rèn)證可分為PAP和CHAP兩種方式。以CHAP為例，用戶接入認(rèn)證流程如下圖。圖 015 PPPoE認(rèn)證流程詳細(xì)的流程說明如下： PPPoE客戶端向業(yè)務(wù)網(wǎng)關(guān)設(shè)備（這里是S12700）發(fā)送一個(gè)PADI報(bào)文，開始PPPoE接入。 PPPoE服務(wù)器向客戶端發(fā)送PADO報(bào)文。 客戶端根據(jù)回應(yīng)，發(fā)起PADR請(qǐng)求給PPPoE服務(wù)器。 PPPoE服務(wù)器產(chǎn)生一個(gè)Session id，通過PADS發(fā)給客戶端。 客戶端和PPPoE服務(wù)器之間進(jìn)行PPP的LCP協(xié)商，建立鏈路層通信。 PPPoE服務(wù)器通過Challenge報(bào)文發(fā)送給認(rèn)證客戶端,提供一個(gè)128bit的Challenge?？蛻舳耸盏紺hallenge報(bào)文后，將密碼和Challenge做MD5算法后的，在Response回應(yīng)報(bào)文中把它發(fā)送給PPPoE服務(wù)器。 PPPoE服務(wù)器將Challenge、ChallengePassword和用戶名一起送到RADIUS用戶認(rèn)證服務(wù)器，由RADIUS用戶認(rèn)證服務(wù)器進(jìn)行認(rèn)證。 RADIUS用戶認(rèn)證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到PPPoE服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束。 PPPoE服務(wù)器將認(rèn)證結(jié)果返回給客戶端。 用戶進(jìn)行NCP（如IPCP）協(xié)商，通過PPPoE服務(wù)器獲取到規(guī)劃的IP地址等參數(shù)。1 認(rèn)證如果成功，用戶則成功接入網(wǎng)絡(luò)。需要說明，PPPoE認(rèn)證僅對(duì)有線用戶支持，無線用戶不支持PPPoE認(rèn)證。無線認(rèn)證方式無線接入和有線接入相比，由于無線報(bào)文在空口傳輸，報(bào)文可以被任何合適的接收設(shè)備捕獲，所以無線用戶不僅要進(jìn)行認(rèn)證，還要考慮無線空口的安全問題。在無線用戶接入過程中，S12700交換機(jī)作為有線無線一體化控制器（UC），具有WLAN AC功能。S12700交換機(jī)首先和接入設(shè)備AP建立CAPWAP管理隧道，管理所有下轄的AP設(shè)備；后續(xù)用戶接入認(rèn)證，S12700交換機(jī)和AAA服務(wù)器通過RADIUS協(xié)議進(jìn)行。圖 016 無線用戶接入認(rèn)證如上圖，無線用戶接入主要經(jīng)過服務(wù)發(fā)現(xiàn)、鏈路認(rèn)證、終端關(guān)聯(lián)、接入認(rèn)證、密鑰協(xié)商、數(shù)據(jù)轉(zhuǎn)發(fā)等六個(gè)階段，其中前文提到的MAC認(rèn)證、Portal認(rèn)證等技術(shù)，位于接入認(rèn)證階段，其他階段都是無線用戶上線獨(dú)有的流程。 服務(wù)發(fā)現(xiàn)在無線領(lǐng)域中，用戶終端也稱為STA（Station），STA加入任何無線網(wǎng)絡(luò)之前，必須先經(jīng)過一番服務(wù)辨識(shí)的工作，稱為WLAN服務(wù)發(fā)現(xiàn)過程。WLAN AP會(huì)主動(dòng)發(fā)送Beacon幀通告提供的SSID，STA可以根據(jù)該報(bào)文確定周圍存在的無線服務(wù)；STA也可以指定SSID或者使用廣播SSID（即沒有指定SSID）主動(dòng)地探測(cè)是否存在指定的無線網(wǎng)絡(luò)，WLAN AP接入端如果提供指定的無線服務(wù)，會(huì)發(fā)送確認(rèn)信息給STA。服務(wù)發(fā)現(xiàn)成功后進(jìn)入鏈路認(rèn)證過程。 鏈路認(rèn)證這是STA連入無線網(wǎng)絡(luò)的起點(diǎn)，鏈路認(rèn)證通過Authentication報(bào)文實(shí)現(xiàn)。：開放系統(tǒng)認(rèn)證（Open System Authentication）和共享密鑰認(rèn)證（Shared Key Authentication）。 終端關(guān)聯(lián)一旦完成鏈路認(rèn)證，STA就可以跟AP進(jìn)行連接，以便獲得網(wǎng)絡(luò)的完全訪問權(quán)。STA客戶端發(fā)起的Association或者Reassociation請(qǐng)求，和WLAN服務(wù)端（包括AP和AC）完成鏈路服務(wù)協(xié)商。對(duì)于沒有使能接入認(rèn)證的SSID，客戶端已經(jīng)可以訪問無線網(wǎng)絡(luò)；如果WLAN服務(wù)使能了接入認(rèn)證，則WLAN服務(wù)端會(huì)發(fā)起對(duì)客戶端的接入認(rèn)證。 接入認(rèn)證用戶接入認(rèn)證實(shí)現(xiàn)對(duì)接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供安全保護(hù)。對(duì)于無線用戶接入認(rèn)證，除了MAC認(rèn)證、Portal認(rèn)證等方式外，還有無線特有的PSK認(rèn)證。，可以確定用戶使用的接入認(rèn)證算法（例如EAPPEAP），并且在鏈路協(xié)商成功后觸發(fā)對(duì)用戶的接入認(rèn)證。 密鑰協(xié)商密鑰協(xié)商是數(shù)據(jù)加密傳輸?shù)幕A(chǔ)。密鑰協(xié)商過程在邏輯上可以看作接入認(rèn)證的一部分，只有在密鑰協(xié)商成功以后，接入認(rèn)證才會(huì)打開端口，允許用戶的報(bào)文通過。WLAN密鑰協(xié)商主要包括四次握手密鑰協(xié)商和組密鑰協(xié)商過程，這兩種密鑰協(xié)商都通過EAPOLKey報(bào)文協(xié)商實(shí)現(xiàn)。WLAN系統(tǒng)使用四次握手機(jī)制，進(jìn)行單播數(shù)據(jù)報(bào)文使用的密鑰協(xié)商；WLAN服務(wù)端通過組密鑰協(xié)商過程，將廣播和組播使用的密鑰通知所有的STA客戶端。 數(shù)據(jù)加密接入用戶身份確定并賦予訪問權(quán)限后，網(wǎng)絡(luò)必須保護(hù)用戶所傳送的數(shù)據(jù)不被窺視。數(shù)據(jù)的私密性通常是靠加密協(xié)議來達(dá)成的，只允許擁有密鑰并經(jīng)過授權(quán)的用戶訪問數(shù)據(jù)，確保數(shù)據(jù)在傳輸過程中的安全性。WLAN無線安全協(xié)議標(biāo)準(zhǔn)主要有：WEP（Wired Equivalent Privacy）、WPA/WPA2（WiFi Protected Access）、WAPI（WLAN Authentication and Privacy Infrastructure），其中WAPI為中國(guó)標(biāo)準(zhǔn)。這些無線協(xié)議和具體的MAC、Portal等接入認(rèn)證技術(shù)結(jié)合，共同保證無線鏈路和用戶安全。216。 WEP（Wired Equivalent Privacy），稱為有線等效加密，即對(duì)于數(shù)據(jù)的加密和解密都使用同樣的密鑰和算法。WEP主要用來保護(hù)無線空口信號(hào)的信息安全。WEP支持開放系統(tǒng)（open system）和共享密鑰（sharedkey）兩種鏈路認(rèn)證方式。WEP使用RC4(Rivest Cipher)流加密技術(shù)，密鑰一旦設(shè)置，就無法自動(dòng)更新，加密密碼容易被破解，目前使用比較少。216。 WPA（WiFi Protected Access）WPA是由WiFi聯(lián)盟所推行的商業(yè)標(biāo)準(zhǔn)。WPA鏈路一般不做認(rèn)證（Open System），采用TKIP加密算法進(jìn)行數(shù)據(jù)加密。TKIP加密實(shí)際上是增強(qiáng)了的WEP，核心算法仍然采用RC4。216。 WPA2（WiFi Protected Access 2），是WPA的第二版。WPA2鏈路一般不做認(rèn)證（Open System），使用CCMP加密算法進(jìn)行數(shù)據(jù)加密。CCMP是以高級(jí)加密標(biāo)準(zhǔn)（AES）為基礎(chǔ)的塊密碼加密方式，具有更高的安全性。，是當(dāng)前企業(yè)園區(qū)部署WLAN的主流認(rèn)證方式。216。 WAPI（WLAN Authentication and Privacy Infrastructure）WAPI是中國(guó)的無線局域網(wǎng)標(biāo)準(zhǔn)（），標(biāo)準(zhǔn)中包含了全