畢業(yè)論文----學(xué)校網(wǎng)絡(luò)安全探究

1、<p><b>　　宿舍網(wǎng)絡(luò)安全探究</b></p><p><b>　　摘 要</b></p><p>　　Internet是一個(gè)開放的、互操作的通信系統(tǒng)，其基礎(chǔ)協(xié)議是TCP/IP。Internet協(xié)議地址（簡(jiǎn)稱IP地址）是TCP/IP網(wǎng)絡(luò)中可尋址設(shè)施的唯一邏輯標(biāo)識(shí)，它是一個(gè)32位的二進(jìn)制無符號(hào)數(shù)。對(duì)于Internet上的任一主機(jī)

2、，它都必須有一個(gè)唯一的IP地址。IP地址由InterNIC及其下級(jí)授權(quán)機(jī)構(gòu)分配，沒有分配到自己的IP地址的主機(jī)不能夠直接連接到Internet。</p><p>　　隨著Internet的迅速發(fā)展，IP地址的消耗非常快，據(jù)權(quán)威機(jī)構(gòu)預(yù)測(cè)，現(xiàn)行IPv4版本的IP只夠用到2007年。現(xiàn)在，企業(yè)、機(jī)構(gòu)、個(gè)人要申請(qǐng)到足夠的IP地址都非常困難，作為一種稀缺資源，IP地址的盜用就成為很常見的問題。特別是在按IP流量計(jì)費(fèi)的CER

3、NET網(wǎng)絡(luò)，由于費(fèi)用是按IP地址進(jìn)行統(tǒng)計(jì)的，許多用戶為了逃避網(wǎng)絡(luò)計(jì)費(fèi)，用IP地址盜用的辦法，將網(wǎng)絡(luò)流量計(jì)費(fèi)轉(zhuǎn)嫁到他人身上。另外，一些用戶因?yàn)橐恍┎豢筛嫒说哪康模捎肐P地址盜用的方式來逃避追蹤，隱藏自己的身份。</p><p>　　IP地址盜用侵害了Internet網(wǎng)絡(luò)的正常用戶的權(quán)利，并且給網(wǎng)絡(luò)計(jì)費(fèi)、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運(yùn)行帶來了巨大的負(fù)面影響，因此解決IP地址盜用問題成為當(dāng)前一個(gè)迫切的課題。</p>

4、<p>　　IP地址的盜用方法多種多樣，其常用方法有很多種，例如靜態(tài)修改IP地址、成對(duì)修改IP-MAC地址等等，針對(duì)IP盜用問題，我們將從網(wǎng)卡交換機(jī)以及802.1X協(xié)議方面詳細(xì)講解防止IP地址的盜用的方法。 </p><p>　　關(guān)鍵詞：通信系統(tǒng) IP地址 盜用</p><p>　　Dormitory network security explored </p>

5、;<p><b>　　Pick to </b></p><p>　　Internet is an open, interoperable communications system, its basic agreement is TCP/IP. Internet protocol address (hereinafter referred to as the IP addres

6、s) is TCP/IP network addressable facilities of the only logical logo, it is a 32-bit binary unsigned number. For the Internet of any one of the host, it must have a unique IP address. IP address and its authorized organi

7、zation by InterNIC at a lower level distribution, not assigned to own the IP address of host can't directly connected to the</p><p>　　With the rapid development of Internet, the consumption of IP address

8、 is very fast, according to authorities forecast, the current IPv4 version of the IP only enough to 2007. Now, enterprises, institutions and individuals who want to apply for to enough IP address is very difficult, as a

9、scarce resource, the IP address for theft will become very common problem. Especially in the IP flow of billing CERNET network, because of cost is according to the IP address of the statistics, many users in ord</p>

10、;<p>　　IP address infringement of Internet network theft of normal user rights, and to the network billing, network security and network operation brings huge negative effects, therefore solve the IP address theft

11、 problem currently become a pressing issue. </p><p>　　The IP address for theft various ways, the commonly used method has a lot of kinds, such as static IP address changes in pairs, modify IP-MAC address and

12、 so on, in view of the IP theft problem, we will from nic switches and 802.1 X agreement explained to prevent the IP address for the method of theft. </p><p>　　Keywords: communication system IP address theft

13、 </p><p><b>　　目 錄</b></p><p><b>　　0.前言1</b></p><p>　　1.宿舍網(wǎng)絡(luò)安全簡(jiǎn)介1</p><p><b>　　2.網(wǎng)卡3</b></p><p>　　2.1網(wǎng)卡的基本構(gòu)造3<

14、;/p><p>　　2.2網(wǎng)卡的工作原理4</p><p>　　2.3網(wǎng)卡的工作模式及功能5</p><p>　　2.4 MAC地址的簡(jiǎn)介5</p><p>　　2.5 IP與MAC的綁定6</p><p><b>　　3.交換機(jī)8</b></p><p>　　3.1

15、 什么是交換機(jī)8</p><p>　　3.2 交換機(jī)的種類8</p><p>　　3.3 交換機(jī)的工作原理8</p><p>　　3.4 可網(wǎng)管交換機(jī)VLAN技術(shù)9</p><p>　　3.5 MAC和交換機(jī)端口的綁定10</p><p>　　4.802.1x認(rèn)證技術(shù)簡(jiǎn)介12</p><

16、p><b>　　4.1 引言12</b></p><p>　　4.2 802.1x協(xié)議簡(jiǎn)介12</p><p>　　4.3 802.1x認(rèn)證體系12</p><p>　　4.4 802.1x認(rèn)證特點(diǎn)13</p><p>　　4.5 802.1x認(rèn)證流程13</p><p>　　4.

17、6 802.1x配置15</p><p>　　5.病毒、木馬、防火墻16</p><p>　　5.1 計(jì)算機(jī)病毒及特點(diǎn)16</p><p>　　5.2 計(jì)算機(jī)病毒的傳播16</p><p>　　5.3 防火墻與查殺軟件16</p><p>　　5.4 病毒的清除17</p><p>

18、<b>　　6. 結(jié)束語18</b></p><p>　　6.1論文總結(jié)18</p><p>　　6.2工作展望18</p><p>　　參考文獻(xiàn)、資料索引19</p><p><b>　　致　　謝20</b></p><p><b>　　0.前言<

19、/b></p><p>　　如今，校園宿舍網(wǎng)呈現(xiàn)用戶多且密度大、網(wǎng)絡(luò)節(jié)點(diǎn)多、難以管理的特點(diǎn)。宿舍網(wǎng)的用戶相對(duì)其他網(wǎng)絡(luò)的用戶分布要密集很多，而眾多用戶與不同宿舍樓之間的網(wǎng)絡(luò)連接結(jié)構(gòu)相似，但節(jié)點(diǎn)甚至比辦公大樓、實(shí)驗(yàn)室等其他區(qū)域的網(wǎng)絡(luò)節(jié)點(diǎn)還要多，管理起來工作量大。同時(shí)，不容忽視的是，學(xué)校擁有一大批活躍、求知欲強(qiáng)的學(xué)生用戶，因此IP地址盜用等現(xiàn)象頻頻發(fā)生。在傳統(tǒng)的IP和MAC地址綁定、流量計(jì)費(fèi)的運(yùn)營(yíng)管理模式下，為了

20、防止IP地址盜用現(xiàn)象，將大量IP和MAC地址綁定，不僅加大了服務(wù)中心工作人員的工作量，甚至造成了超負(fù)荷工作，工作人員對(duì)此有很大意見；同時(shí)，用戶對(duì)不能正常使用網(wǎng)絡(luò)的抱怨也時(shí)有發(fā)生。各種原因交織在一起最終導(dǎo)致了管理難的問題。因此，我們一直在尋找由難到易的宿舍網(wǎng)運(yùn)營(yíng)計(jì)費(fèi)認(rèn)證管理辦法，需要它營(yíng)造出一種方便、實(shí)用、快捷、易于管理的網(wǎng)絡(luò)環(huán)境。</p><p>　　同時(shí)，由于宿舍區(qū)網(wǎng)絡(luò)使用者知識(shí)能力等所限，被病毒、木馬等威脅的

21、實(shí)例也層出不窮，例如：局域網(wǎng)爆發(fā)ARP病毒，具體表現(xiàn)為局域網(wǎng)內(nèi)一些正在上網(wǎng)的電腦主機(jī)頻繁掉線或是斷線。這是因?yàn)榫钟蚓W(wǎng)內(nèi)有電腦運(yùn)行ARP欺騙程序（比如：傳奇、QQ盜號(hào)的軟件等）發(fā)送ARP數(shù)據(jù)包，致使被攻擊的電腦不能上網(wǎng)。為了有效防范宿舍區(qū)內(nèi)病毒等的發(fā)生與蔓延，有必要認(rèn)真研究解決對(duì)策。</p><p>　　1.宿舍網(wǎng)絡(luò)安全簡(jiǎn)介</p><p>　　隨著網(wǎng)絡(luò)的快速發(fā)展和上網(wǎng)用戶的急劇增多，網(wǎng)絡(luò)中

22、的不安全因素日益暴露無遺，主要表現(xiàn)在： </p><p>　　1）由于IP和MAC地址的可變性而導(dǎo)致的冒用合法用戶入網(wǎng)問題。非法用戶只要連接網(wǎng)線，對(duì)電腦進(jìn)簡(jiǎn)單的網(wǎng)絡(luò)配置就可以上網(wǎng)。由于IP和MAC盜用會(huì)導(dǎo)致合法用戶不能上網(wǎng)，甚至非法入網(wǎng)者會(huì)以合法用戶的名義從事非法勾當(dāng)，對(duì)網(wǎng)絡(luò)的安全管理造成很大的威脅； </p><p>　　2）操作系統(tǒng)和應(yīng)用軟件存在大量漏洞，這是造成網(wǎng)絡(luò)安全問題的嚴(yán)峻的一

23、個(gè)主要原因。國(guó)際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計(jì)，截至2004年以來漏洞公布總數(shù)16726個(gè)，并且利用漏洞發(fā)動(dòng)攻擊的速度也越來越快； </p><p>　　3）校園網(wǎng)用戶安全意識(shí)不強(qiáng)及計(jì)算機(jī)水平有限。大部分學(xué)校普遍都存在重技術(shù)、輕安全、輕管理的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬事大吉，甚至有些學(xué)校直接連接互聯(lián)網(wǎng)，嚴(yán)重缺乏防范黑客攻擊的意識(shí)。</p><p>　　學(xué)生宿舍網(wǎng)作為

24、服務(wù)于教育、科研和行政管理的計(jì)算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)了校園內(nèi)連網(wǎng)、信息共享，并與 Internet 互聯(lián)。宿舍網(wǎng)連接的校內(nèi)學(xué)生機(jī)，存在許多安全隱患，主要表現(xiàn)有： </p><p>　　1)宿舍網(wǎng)與 Internet 相連，面臨著外網(wǎng)攻擊的風(fēng)險(xiǎn)。 </p><p>　　2)來自內(nèi)部的安全威脅。 </p><p>　　3)接入宿舍網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，這些節(jié)點(diǎn)會(huì)面臨病毒泛濫、信息

25、丟失、數(shù)據(jù)損壞等安全問題。 </p><p>　　通過對(duì)宿舍網(wǎng)的安全設(shè)計(jì)，在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障宿舍網(wǎng)絡(luò)安全 ，一個(gè)整體一致的內(nèi)網(wǎng)安全體系，應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)四個(gè)方面，并且，這四個(gè)方面應(yīng)該是緊密結(jié)合、相互聯(lián)動(dòng)的統(tǒng)一平臺(tái)，才能達(dá)到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果。 </p><p>　　身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ)，不確認(rèn)實(shí)體的身

26、份，進(jìn)一步制定各種安全管理策略也就無從談起。內(nèi)網(wǎng)的身份認(rèn)證，必須全面考慮所有參與實(shí)體的身份確認(rèn)，包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中，客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注，因?yàn)樗麄兙哂袛?shù)量大、環(huán)境不安全和變化頻繁的特點(diǎn)。 </p><p>　　授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的，其主要對(duì)內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán)，確定“誰”能夠在那些“計(jì)算機(jī)終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”。授權(quán)管理的信息資

27、源應(yīng)該盡可能全面，應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲(chǔ)設(shè)備資源等。 </p><p>　　數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心，其實(shí)質(zhì)是要對(duì)內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理，構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲(chǔ)和交換環(huán)境，從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識(shí)產(chǎn)權(quán)的保護(hù)。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣，所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無關(guān)性。 </p>

28、<p>　　監(jiān)控審計(jì)是宿舍網(wǎng)絡(luò)安全不可缺少的輔助部分，可以實(shí)現(xiàn)對(duì)宿舍網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)監(jiān)控，提供宿舍網(wǎng)絡(luò)安全狀態(tài)的評(píng)估報(bào)告，并在發(fā)生宿舍網(wǎng)絡(luò)安全事件后實(shí)現(xiàn)有效的取證。 </p><p>　　宿舍網(wǎng)絡(luò)安全已經(jīng)成為信息安全的新熱點(diǎn)，其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過程中，我們有理由相信，隨著同學(xué)們對(duì)宿舍網(wǎng)絡(luò)安全認(rèn)識(shí)的加深，用戶宿舍網(wǎng)絡(luò)安全管理制度的完善，整體一致的宿舍網(wǎng)安全解決方案和體系建設(shè)將成為宿舍網(wǎng)安全的

29、主要發(fā)展趨勢(shì)。</p><p>　　宿舍內(nèi)部網(wǎng)絡(luò)安全經(jīng)常會(huì)發(fā)生IP盜用現(xiàn)象，惡意修改MAC地址，嚴(yán)重危害了正常的上網(wǎng)秩序，下面我們先從網(wǎng)卡開始探討網(wǎng)絡(luò)的安全問題。</p><p><b>　　2.網(wǎng)卡</b></p><p>　　2.1網(wǎng)卡的基本構(gòu)造</p><p>　　網(wǎng)卡包括硬件和固件程式（只讀存儲(chǔ)器中的軟件例程），

30、該固件程式實(shí)現(xiàn)邏輯鏈路控制和媒體訪問控制的功能，還記錄唯一的硬件地址即MAC地址。網(wǎng)卡上一般有緩存。網(wǎng)卡須分配中斷IRQ及基本I/O端口地址，同時(shí)還須配置基本內(nèi)存地址（base memory address）和收發(fā)器（transceiver），主要由網(wǎng)卡的控制芯片、晶體震蕩器、BOOT插槽、EPROM、內(nèi)接式轉(zhuǎn)換器、RJ-45和BNC接頭、信號(hào)指示燈等部分。</p><p>　　網(wǎng)卡的控制芯片是網(wǎng)卡中最重要元件，

31、是網(wǎng)卡的控制中央，有如電腦的CPU控制著整個(gè)網(wǎng)卡的工作，負(fù)責(zé)數(shù)據(jù)的的傳送和連接時(shí)的信號(hào)偵測(cè)。早期的10/100m的雙速網(wǎng)卡會(huì)采用兩個(gè)控制芯片（單元）分別用來控制兩個(gè)不同速率環(huán)境下的運(yùn)算，而現(xiàn)在較先進(jìn)的產(chǎn)品通常只有一個(gè)芯片控制兩種速度。</p><p>　　內(nèi)接式轉(zhuǎn)換器只要有BNC接頭的網(wǎng)卡都會(huì)有這個(gè)芯片，并緊鄰在BNC接頭旁，它的功能是在網(wǎng)卡和BNC接頭之間進(jìn)行數(shù)據(jù)轉(zhuǎn)換，讓網(wǎng)卡能通過它從BNC接頭送出或接收資料。

32、</p><p>　　信號(hào)指示燈在網(wǎng)卡后方會(huì)有二到三個(gè)不等的信號(hào)燈，其作用是顯示現(xiàn)在網(wǎng)絡(luò)的連線狀態(tài)，通常具備TX和RX兩個(gè)信息。TX代表正在送出資料，RX代表正在接收資料，若看到兩個(gè)燈同時(shí)亮則代表現(xiàn)在是處于全雙工的運(yùn)作狀態(tài)，也可由此來辨別全雙工的網(wǎng)卡是否處于全雙工的網(wǎng)絡(luò)環(huán)境中部分。</p><p>　　2.2網(wǎng)卡的工作原理</p><p>　　網(wǎng)卡的主要工作原理是整

33、理計(jì)算機(jī)上發(fā)往網(wǎng)線上的數(shù)據(jù)，并將數(shù)據(jù)分解為適當(dāng)大小的數(shù)據(jù)包之后向網(wǎng)絡(luò)上發(fā)送出去。對(duì)于網(wǎng)卡而言，每塊網(wǎng)卡都有一個(gè)唯一的網(wǎng)絡(luò)節(jié)點(diǎn)地址，它是網(wǎng)卡生產(chǎn)廠家在生產(chǎn)時(shí)燒入ROM（只讀存儲(chǔ)芯片）中的，我們把它叫做MAC地址（物理地址），且保證絕對(duì)不會(huì)重復(fù)。</p><p>　　發(fā)送數(shù)據(jù)時(shí)，網(wǎng)卡首先偵聽介質(zhì)上是否有載波（載波由電壓指示），如果有，則認(rèn)為其他站點(diǎn)正在傳送信息，繼續(xù)偵聽介質(zhì)。一旦通信介質(zhì)在一定時(shí)間段內(nèi)（稱為幀間縫隙I

34、FG=9.6微秒）是安靜的，即沒有被其他站點(diǎn)占用，則開始進(jìn)行幀數(shù)據(jù)發(fā)送，同時(shí)繼續(xù)偵聽通信介質(zhì)，以檢測(cè)沖突。在發(fā)送數(shù)據(jù)期間,如果檢測(cè)到?jīng)_突，則立即停止該次發(fā)送，并向介質(zhì)發(fā)送一個(gè)“阻塞”信號(hào)，告知其他站點(diǎn)已經(jīng)發(fā)生沖突，從而丟棄那些可能一直在接收的受到損壞的幀數(shù)據(jù)，并等待一段隨機(jī)時(shí)間（CSMA/CD確定等待時(shí)間的算法是二進(jìn)制指數(shù)退避算法）。在等待一段隨機(jī)時(shí)間后，再進(jìn)行新的發(fā)送。接收時(shí)，網(wǎng)卡瀏覽介質(zhì)上傳輸?shù)拿總€(gè)幀，如果其長(zhǎng)度小于64字節(jié)，則認(rèn)為

35、是沖突碎片。如果接收到的幀不是沖突碎片且目的地址是本地地址，則對(duì)幀進(jìn)行完整性校驗(yàn)，如果幀長(zhǎng)度大于1518字節(jié)（稱為超長(zhǎng)幀，可能由錯(cuò)誤的LAN驅(qū)動(dòng)程序或干擾造成）或未能通過CRC校驗(yàn)，則認(rèn)為該幀發(fā)生了畸變。通過校驗(yàn)的幀被認(rèn)為是有效的，網(wǎng)卡將它接收下來進(jìn)行本地處理。</p><p>　　2.3網(wǎng)卡的工作模式及功能</p><p>　　1.工作模式分為以下四種：</p><p

36、>　　1) 廣播模式（Broad Cast Model）:它的物理地址（MAC）地址是 0Xffffff 的幀為廣播幀，工作在廣播模式的網(wǎng)卡接收廣播幀。 2）多播傳送（MultiCast Model）：多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機(jī)同時(shí)接收，而組外主機(jī)卻接收不到。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員。 3）直接模式（Direct Model

37、）:工作在直接模式下的網(wǎng)卡只接收目地址是自己 MAC地址的幀。 4）混雜模式（Promiscuous Model）:工作在混雜模式下的網(wǎng)卡接收所有的流過網(wǎng)卡的幀，信包捕獲程序就是在這種模式下運(yùn)行的。網(wǎng)卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。如果采用混雜模式，一個(gè)站點(diǎn)的網(wǎng)卡將接受同一網(wǎng)絡(luò)內(nèi)所有站點(diǎn)所發(fā)送的數(shù)據(jù)包這樣就可以到達(dá)對(duì)于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。</p><p>　　

38、比如，可以實(shí)施遠(yuǎn)程掃描來確定一塊網(wǎng)卡是否工作在混雜模式。象AntiSniff這樣的程序使用三種主要的方法來檢測(cè)網(wǎng)卡是否工作于混雜模式： </p><p>　　1.檢測(cè)網(wǎng)卡電子方面的變化來確定網(wǎng)卡的工作模式。 </p><p>　　2.發(fā)送各種包（ARP請(qǐng)求，ICMP包，DNS請(qǐng)求，TCP SYN floods，等等）。如果從某臺(tái)主機(jī)返回的包等待了一段不正常的時(shí)間，而且沒有被主機(jī)處理過的跡象

39、，則程序便推斷出該主機(jī)的網(wǎng)卡可能出于混雜模式。 </p><p>　　3.將錯(cuò)誤的ICMP請(qǐng)求包含在無效的以太網(wǎng)地址頭中。所有沒有工作在混雜模式的系統(tǒng)將忽略這些請(qǐng)求，而那些回復(fù)錯(cuò)誤的ICMP請(qǐng)求的主機(jī)將有可能出于混雜模式。 </p><p>　　像AntiSniff這樣的程序通過推論來判斷網(wǎng)卡是否工作在混雜模式。由于這些程序只是根據(jù)有限的數(shù)據(jù)來下結(jié)論，所以容易出現(xiàn)誤報(bào)。通常明智的做法是定時(shí)

40、進(jìn)行混雜模式檢測(cè)的掃描。例如，L0pht包含其自身的調(diào)度。使用WindwosNT Scheduler或UNIX的cron程序，你可以自動(dòng)實(shí)施所有掃描。L0pht還提供的UNIX版本的AntiSniff。然而你需要編譯它，并且只能運(yùn)行在FreeBSD和Solaris操作系統(tǒng)下。</p><p>　　2.4 MAC地址的簡(jiǎn)介</p><p>　　1.什么是MAC地址 </p>&

41、lt;p>　　網(wǎng)卡的身份證號(hào)—MAC地址,也叫物理地址、硬件地址或鏈路地址,由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫在硬件內(nèi)部。他是識(shí)別網(wǎng)卡身份的標(biāo)志！MAC地址的長(zhǎng)度為48位（6個(gè)字節(jié)）,通常表示為12個(gè)16進(jìn)制數(shù),每2個(gè)16進(jìn)制數(shù)之間用冒號(hào)隔開,如：08:00:20:0A:8C:6D就是一個(gè)MAC地址,其中前6位16進(jìn)制數(shù)08:00:20代表網(wǎng)絡(luò)硬件制造商的編號(hào),它由IEEE（電氣與電子工程師協(xié)會(huì)）分配,而后3位16進(jìn)制數(shù)0A:8C:6D代表

42、該制造商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號(hào)。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。</p><p>　　2.MAC地址的應(yīng)用</p><p>　　MAC地址主要用于與網(wǎng)絡(luò)服務(wù)商提供的IP地址、端口以及用戶提供的信息等綁定，防止其他人盜用.學(xué)校里面的校園網(wǎng)就是這樣的！但是MAC是可以改變的！</p><p><b>　　3.查

43、看MAC地址</b></p><p>　　在輸入“cmd”（引號(hào)里面部分）進(jìn)入命令提示符狀態(tài)然后輸入“IPconfig /all” 其中Physical Address就是計(jì)算機(jī)的MAC地址。</p><p>　　4.更改MAC地址 </p><p>　　一般MAC地址在網(wǎng)卡中是固定的，當(dāng)然也有網(wǎng)絡(luò)高手會(huì)想辦法去修改自己的MAC地址。修改自己的MAC地址

44、有兩種方法，一種是硬件修改，另外一種是軟件修改。硬件的方法就是直接對(duì)網(wǎng)卡進(jìn)行操作，修改保存在網(wǎng)卡的EPROM里面的MAC地址，通過網(wǎng)卡生產(chǎn)廠家提供的修改程序可以更改存儲(chǔ)器里的地址。當(dāng)然軟件修改的方法就相對(duì)來說要簡(jiǎn)單得多了，在Windows中，網(wǎng)卡的MAC保存在注冊(cè)表中，實(shí)際使用也是從注冊(cè)表中提取的，所以只要修改注冊(cè)表就可以改變MAC?！?lt;/p><p>　　2.5 IP與MAC的綁定</p><

45、;p>　　例如局域網(wǎng)某一用戶的IP地址為：192.168.1.11，MAC地址為：00-11-2F-3F-96-88在命令提示符下輸入“IPconfig /all”顯示如下信息:</p><p>　　圖2-1 查看MAC、IP地址</p><p>　　以上信息就是你現(xiàn)在計(jì)算機(jī)的IP地址及MAC地址！</p><p>　　在命令行下輸入：arp -s 192.1

46、68.1.11 00-11-2F-3F-96-88回車就綁定了。 </p><p>　　查看是否綁定：在命令行下輸入arp -a 192.168.1.11回車，會(huì)得到如下提示： </p><p>　　Internet Address Physical Address Type </p><p>　　192.168.1.30 00-11-2f-3f-96-88 sta

47、tic </p><p><b>　　就是成功完成了。 </b></p><p>　　ARP命令僅對(duì)局域網(wǎng)的上網(wǎng)代理服務(wù)器有用，而且是針對(duì)靜態(tài)IP地址，如果采用Modem撥號(hào)上網(wǎng)或是動(dòng)態(tài)IP地址就不起作用。 </p><p>　　不過，只是簡(jiǎn)單地綁定IP和MAC地址是不能完全的解決IP盜用問題的。設(shè)計(jì)一個(gè)好的網(wǎng)絡(luò)，我們有責(zé)任為用戶解決好這些問題

48、之的后，才交給用戶使用，而不是把安全問題交給用戶來解決。不應(yīng)該讓用戶來承擔(dān)一些不必要盜用的損失。所以在網(wǎng)絡(luò)安全方面，最常用也是最有效的解決方法就是在IP、MAC綁定的基礎(chǔ)上，再把端口綁定進(jìn)去，即IP－MAC－PORT三者綁定在一起，端口（PORT）指的是交換機(jī)的端口。下面我們將針對(duì)此問題對(duì)交換機(jī)展開研究。</p><p><b>　　3.交換機(jī) </b></p>&l

49、t;p>　　3.1 什么是交換機(jī)</p><p>　　交換機(jī)是一種基于MAC（網(wǎng)卡的硬件地址）識(shí)別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機(jī)可以“學(xué)習(xí)”MAC地址，并把其存放在內(nèi)部地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收者之間建立臨時(shí)的交換路徑，使數(shù)據(jù)幀直接由源地址到達(dá)目的地址。</p><p>　　3.2 交換機(jī)的種類</p><p>　　按照不同的分類方

50、法，交換機(jī)有很多種分類。如按工作方式可分為二層交換機(jī)，三層交換機(jī)，多層交換機(jī)；從廣義上來看，交換機(jī)分為兩種：廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī)。廣域網(wǎng)交換機(jī)主要應(yīng)用于電信領(lǐng)域，提供通信用的基礎(chǔ)平臺(tái)。而局域網(wǎng)交換機(jī)則應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備，如PC機(jī)及網(wǎng)絡(luò)打印機(jī)等。</p><p>　　3.3 交換機(jī)的工作原理</p><p>　　1、“共享”與“交換”數(shù)據(jù)傳輸技術(shù)</p>&

51、lt;p>　　要明白交換機(jī)的優(yōu)點(diǎn)我們首先就必須明白交換機(jī)的基本工作原理，而交換機(jī)的工作原理其實(shí)最根本的是要理解“共享”（Share）和“交換”（Switch）這兩個(gè)概念。集線器是采用共享方式進(jìn)行數(shù)據(jù)傳輸?shù)模覀冊(cè)谶@里要講的交換機(jī)工作原理則是采用“交換”方式進(jìn)行數(shù)據(jù)傳輸?shù)?。在交換機(jī)技術(shù)上把這種“獨(dú)享”道寬（網(wǎng)絡(luò)上稱之為“帶寬”）情況稱之為“交換”，這種網(wǎng)絡(luò)環(huán)境稱為“交換式網(wǎng)絡(luò)”，交換式網(wǎng)絡(luò)必須采用交換機(jī)（Switch）來實(shí)現(xiàn)。交換

52、式網(wǎng)絡(luò)可以是“全雙工”（Full Duplex）狀態(tài)，即可以同時(shí)接收和發(fā)送數(shù)據(jù)，數(shù)據(jù)流是雙向的。而集線器的“共享”方式的網(wǎng)絡(luò)就稱之為“共享式網(wǎng)絡(luò)”，共享式網(wǎng)絡(luò)采用集線器（集線器）作為網(wǎng)絡(luò)連接設(shè)備。顯然，共享網(wǎng)絡(luò)的效率非常低，在任一時(shí)刻只能有一個(gè)方向的數(shù)據(jù)流，即處于“半雙工”（Half Duplex）模式，也稱為“單工”模式。</p><p><b>　　2、數(shù)據(jù)傳遞的方式</b></p

53、><p>　　對(duì)于交換機(jī)而言，它能夠“認(rèn)識(shí)”連接到自己身上的每一臺(tái)電腦，憑什么認(rèn)識(shí)呢？就是憑每塊網(wǎng)卡物理地址，俗稱“MAC地址”。交換機(jī)還具有MAC地址學(xué)習(xí)功能，它會(huì)把連接到自己身上的MAC地址記住，形成一個(gè)節(jié)點(diǎn)與MAC地址對(duì)應(yīng)表。憑這樣一張表，它就不必再進(jìn)行廣播了，從一個(gè)端口發(fā)過來的數(shù)據(jù)，其中會(huì)含有目的地的MAC地址，交換機(jī)在保存在自己緩存中的MAC地址表里尋找與這個(gè)數(shù)據(jù)包中包含的目的MAC地址對(duì)應(yīng)的節(jié)點(diǎn)，找到以后

54、，便在這兩個(gè)節(jié)點(diǎn)間架起了一條臨時(shí)性的專用數(shù)據(jù)傳輸通道，這兩個(gè)節(jié)點(diǎn)便可以不受干擾地進(jìn)行通信了。</p><p>　　3、交換機(jī)的數(shù)據(jù)傳遞工作原理</p><p>　　可以簡(jiǎn)單地這樣來說明：當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)以太網(wǎng)幀后，將立即在其內(nèi)存中的地址表（端口號(hào)－MAC地址）進(jìn)行查找，以確認(rèn)該目的MAC的網(wǎng)卡連接在哪一個(gè)節(jié)點(diǎn)上，然后將該幀轉(zhuǎn)發(fā)至該節(jié)點(diǎn)。如果在地址表中沒有找到該MAC地址，也就是說

55、，該目的MAC地址是首次出現(xiàn)，交換機(jī)就將數(shù)據(jù)包廣播到所有節(jié)點(diǎn)。擁有該MAC地址的網(wǎng)卡在接收到該廣播幀后，將立即做出應(yīng)答，從而使交換機(jī)將其節(jié)點(diǎn)的“MAC地址”添加到MAC地址表中。換言之，當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)幀時(shí)（廣播幀除外），將對(duì)地址表執(zhí)行兩個(gè)動(dòng)作，一是檢查該幀的源MAC地址是否已在地址表中，如果沒有，則將該MAC地址加到地址表中，這樣以后就知道該MAC地址在哪一個(gè)節(jié)點(diǎn)；二是檢查該幀的目的MAC地址是否已在地址表中，如果該MAC地

56、址已在地址表中，則將該幀發(fā)送到對(duì)應(yīng)的節(jié)點(diǎn)即可，而不必像集線器那樣將該幀發(fā)送到所有節(jié)點(diǎn)，只須將該幀發(fā)送到對(duì)應(yīng)的節(jié)點(diǎn)，從而使那些既非源節(jié)點(diǎn)又非目的節(jié)點(diǎn)的節(jié)點(diǎn)間仍然可以進(jìn)行相互間的通信，從而提供了比集線器更高的傳輸速率。如果該MAC地址不在地址表中，則將該幀發(fā)送到所有其它節(jié)點(diǎn)（源節(jié)點(diǎn)除外），相當(dāng)于該幀是一個(gè)廣播幀。</p><p>　　交換機(jī)根據(jù)以太網(wǎng)幀中的源MAC地址來更新地址表。當(dāng)一臺(tái)計(jì)算機(jī)打開電源后，安裝在該系統(tǒng)

57、中的網(wǎng)卡會(huì)定期發(fā)出空閑包或信號(hào)，交換機(jī)即可據(jù)此得知它的存在以及其MAC地址。由于交換機(jī)能夠自動(dòng)根據(jù)收到的以太網(wǎng)幀中的源MAC地址更新地址表的內(nèi)容，所以交換機(jī)使用的時(shí)間越長(zhǎng)，學(xué)到的MAC地址就越多，未知的MAC地址就越少，因而廣播的包就越少，速度就越快。由于交換機(jī)中的內(nèi)存畢竟有限，能夠記憶的MAC地址數(shù)量也是有限的。既然不能無休止地記憶所有的MAC地址，那么就必須賦予其相應(yīng)的忘卻機(jī)制。事實(shí)上，為交換機(jī)設(shè)定了一個(gè)自動(dòng)老化時(shí)間（Auto－ag

58、ing），若某MAC地址在一定時(shí)間內(nèi)（默認(rèn)為300秒）不再出現(xiàn)，那么，交換機(jī)將自動(dòng)把該MAC地址從地址表中清除。當(dāng)下一次該MAC地址重新出現(xiàn)時(shí)，將會(huì)被當(dāng)作新地址處理。</p><p>　　3.4 可網(wǎng)管交換機(jī)VLAN技術(shù)</p><p>　　VLAN即虛擬局域網(wǎng)（Virtual Local Area Network的縮寫），是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)

59、現(xiàn)虛擬工作組技術(shù)。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。</p><p>　　先來了解一下交換機(jī)是如何使用VLAN分割廣播域的首先，在一臺(tái)未設(shè)置任何VLAN的二層交換機(jī)上，任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口（Flooding）。例如，計(jì)算機(jī)A發(fā)送廣

60、播信息后，會(huì)被轉(zhuǎn)發(fā)給端口2、3、4。 交換機(jī)收到廣播幀后，轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。這時(shí)，如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN；同時(shí)設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。再從A發(fā)出廣播幀的話，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。同樣，C發(fā)送廣播信息時(shí)，只會(huì)被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口，不會(huì)被轉(zhuǎn)發(fā)給屬于紅色V

61、LAN的端口(如左圖)。</p><p>　　圖3-2 VLAN劃分示意圖</p><p>　　如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)(如上圖)。</p><p>　　3.5 MAC和交換機(jī)端口的綁定</p>

62、<p>　　在了解了交換機(jī)的基本知識(shí)之后，我們來在交換機(jī)上尋求一種防止盜號(hào)上網(wǎng)的方法——將網(wǎng)卡的MAC地址與交換機(jī)的端口綁定，從在交換機(jī)上遏制盜號(hào)上網(wǎng)的現(xiàn)象。</p><p>　　我們以思科的交換機(jī)為例。</p><p>　　switch#config t </p><p>　　//進(jìn)入到全局配置模式　　switch（config）#int f0/1

63、</p><p>　　//進(jìn)入到0/1號(hào)端口　　 switch（config-if）#switchport mode access 　　 //設(shè)置交換機(jī)的端口模式為access模式，注意缺省是dynamic 　　 //dynamic模式下是不能使用Port-security功能 　　 switch（config-if）#switchport port-security 　　 //打開port-secur

64、ity功能 　　 switch（config-if）#switchport port-security MAC-address xxxx.xxxx.xxxx 　　 //xxxx.xxxx.xxxx就是你要關(guān)聯(lián)的MAC地址。</p><p>　　隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對(duì)端口加以控制以實(shí)現(xiàn)用

65、戶級(jí)的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network Access Contro1)而定義的一個(gè)標(biāo)準(zhǔn)。</p><p>　　4.802.1x認(rèn)證技術(shù)簡(jiǎn)介</p><p><b>　　4.1 引言</b></p><p>　　802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議

66、，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANS witch)，就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。</p><p>　　4.2 802.1x協(xié)議簡(jiǎn)介</p><p>　　802.1x協(xié)議是基于Client/Server的訪

67、問控制和認(rèn)證協(xié)議。可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。它具有完備的用戶認(rèn)證、管理功能，可以很好地支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求，對(duì)寬帶IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的

68、運(yùn)營(yíng)和管理具有優(yōu)勢(shì)。IEEE802.1x協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化，解決了傳統(tǒng)PPPOE和WEB/PORTAL認(rèn)證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。 網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE（端口訪問實(shí)體）。在訪問控制流程中，端口訪問實(shí)體包含3部分：認(rèn)證者--對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；請(qǐng)求者--被認(rèn)證的用戶/設(shè)備；認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。<

69、;/p><p>　　4.3 802.1x認(rèn)證體系</p><p>　　802.1x是一種基于端口的認(rèn)證協(xié)議，是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。端口可以是一個(gè)物理端口，也可以是一個(gè)邏輯端口(如VLAN)。對(duì)于無線局域網(wǎng)來說，一個(gè)端口就是一個(gè)信道。802.1x認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，如果認(rèn)證成功那么就“打開”這個(gè)端口，允許所有的報(bào)文通過；如果認(rèn)證不成功就使這個(gè)端口?！?/p>

70、關(guān)閉”，即只允許802.1x的認(rèn)證協(xié)議報(bào)文通過。802.1x認(rèn)證體系分為請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分：</p><p><b>　　(1)請(qǐng)求者系統(tǒng)</b></p><p>　　請(qǐng)求者是位于局域網(wǎng)鏈路一端的實(shí)體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對(duì)其進(jìn)行認(rèn)證。請(qǐng)求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動(dòng)客戶端軟件發(fā)起802.lx認(rèn)證，后文的

71、認(rèn)證請(qǐng)求者和客戶端二者表達(dá)相同含義。</p><p><b>　　(2)認(rèn)證系統(tǒng)</b></p><p>　　認(rèn)證系統(tǒng)對(duì)連接到鏈路對(duì)端的認(rèn)證請(qǐng)求者進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請(qǐng)求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LAN Switch和AP)上實(shí)現(xiàn)802.1x認(rèn)證。后文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備

72、三者表達(dá)相同含義。</p><p>　　(3)認(rèn)證服務(wù)器系統(tǒng)</p><p>　　認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體，建議使用RADIUS服務(wù)器來實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。請(qǐng)求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的EAPO (Extensible Authentication Protocolover LAN)協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí)，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EA

73、P協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器；當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí)，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如RADIUS)，傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時(shí)保證接收認(rèn)證請(qǐng)求者發(fā)出的EAPoL認(rèn)證報(bào)文；受控端口只有在認(rèn)證通過的狀態(tài)

74、下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。</p><p>　　4.4 802.1x認(rèn)證特點(diǎn)</p><p>　　基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1x的認(rèn)證體系結(jié)構(gòu)

75、中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無線LAN具有安全的認(rèn)證接入功能

76、。</p><p>　　4.5 802.1x認(rèn)證流程</p><p>　　基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認(rèn)

77、證方法。 以EAP-MD5為例，描述802.1x的認(rèn)證流程。EAP-MD5是一種單向認(rèn)證機(jī)制，可以完成網(wǎng)絡(luò)對(duì)用戶的認(rèn)證，但認(rèn)證過程不支持加密密鑰的生成。基于EAP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧如圖2所示。基于EAP-MD5的802.1x認(rèn)證流程如圖3所示，認(rèn)證流程包括以下步驟：</p><p>　　圖4-1　基于EAP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧 </p>

78、<p>　　(1)  客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開始802.1x認(rèn)證接入；(2)  接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來；(3)  客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求，其中包括用戶名；(4)  接入設(shè)備將EAP-Respon

79、se/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；(5)  認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；(6)  接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；

80、(7)  客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；(8)  接入設(shè)備將Chall</p><p>　　4.6 802.1x配置</p><p>　　先配置switch到

81、radius server的通訊</p><p>　　全局啟用802.1x身份驗(yàn)證功能</p><p>　　Switch# configure terminal</p><p>　　Switch(config)# aaa new-model</p><p>　　Switch(config)# aaa authentication dot1x

82、{default} method1[method2...]</p><p>　　指定radius服務(wù)器和密鑰</p><p>　　switch(config)#radius-server host IP_add key string</p><p>　　2、在port上起用802.1x</p><p>　　Switch# configure

83、terminal</p><p>　　Switch(config)# interface fastethernet0/1</p><p>　　Switch(config-if)# switchport mode access</p><p>　　Switch(config-if)# dot1x port-control auto</p><p&g

84、t;　　Switch(config-if)# end</p><p>　　配置關(guān)鍵點(diǎn)：1、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)端口號(hào)和RADIUS服務(wù)器一致；2、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)加密密碼與RADIUS服務(wù)器一致；3、要是RADIUS服務(wù)器非直連，那么要保證RADIUS服務(wù)器與交換機(jī)是路由可達(dá)的。</p><p>　　有些時(shí)候，即使我們做了一系列的防范工作，還會(huì)有一些病毒和

85、木馬對(duì)我們的網(wǎng)絡(luò)安全工作帶來威脅。這就需要我們了解病毒等的基本知識(shí)，運(yùn)用一些防火墻或殺毒軟件阻止和消滅它們。</p><p>　　5.病毒、木馬、防火墻</p><p>　　5.1 計(jì)算機(jī)病毒及特點(diǎn)</p><p>　　計(jì)算機(jī)病毒是一種人為編寫的程序。是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

86、其過程可分為：程序設(shè)計(jì)--傳播--潛伏--觸發(fā)、運(yùn)行--實(shí)行攻擊。計(jì)算機(jī)病毒的特點(diǎn)有傳染性、隱蔽性、潛伏性、破壞性。</p><p>　　5.2 計(jì)算機(jī)病毒的傳播</p><p>　　計(jì)算機(jī)病毒的傳播途徑主要有： 通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳利用系統(tǒng)配置缺陷傳播，如弱口令、完全

87、共享等；利用欺騙等社會(huì)工程的方法傳播。</p><p>　　5.3 防火墻與查殺軟件</p><p>　　防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁

88、止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。</p><p>　　防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。</p><p>　　防火墻有不同類型。一個(gè)防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。防火墻也可

89、以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻。最后，直接連在因特網(wǎng)的機(jī)器可以使用個(gè)人防火墻</p><p>　　殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級(jí)等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能。 后兩者同時(shí)具有黑客入侵，網(wǎng)絡(luò)流量控制等功能。國(guó)內(nèi)常用的殺毒軟件有瑞星、金山、江民、趨勢(shì)、東方微點(diǎn)和費(fèi)爾斯特。</p&

90、gt;<p><b>　　5.4 病毒的清除</b></p><p>　　1. 如果所使用的操作系統(tǒng)的文件已經(jīng)感染病毒，那么每次啟動(dòng)系統(tǒng)時(shí)，病毒也會(huì)隨之運(yùn)行。系統(tǒng)啟動(dòng)完成后，病毒也被激活，駐留在內(nèi)存中，監(jiān)視系統(tǒng)的運(yùn)行，并伺機(jī)進(jìn)一步感染或者發(fā)作破壞。此時(shí)，不能在這種帶毒系統(tǒng)下進(jìn)行病毒清除工作，必須使用磁盤版的殺毒軟件啟動(dòng)計(jì)算機(jī)系統(tǒng)，或者使用無毒的系統(tǒng)軟盤啟動(dòng)機(jī)器，然后運(yùn)行殺毒軟件

91、進(jìn)行病毒清除工作。</p><p>　　2. 蠕蟲／黑客程序侵入系統(tǒng)時(shí)，一般要修改注冊(cè)表，并將自身拷貝在硬盤中，或者用自身的程序替換操作系統(tǒng)中的一些核心文件。這樣，每次系統(tǒng)啟動(dòng)，蠕蟲／黑客程序也將被激活運(yùn)行，伺機(jī)進(jìn)行破壞。要清除這些有害程序，必須用DOS啟動(dòng)系統(tǒng)，這樣可以保證蠕蟲／黑客程序處于靜態(tài)，然后使用殺毒軟件進(jìn)行清除，也可采用手工方法，刪除系統(tǒng)的蠕蟲／黑客程序，恢復(fù)被修改的注冊(cè)表。但是，對(duì)于采用替換操作系統(tǒng)

92、文件方式侵入系統(tǒng)的蠕蟲／黑客程序，只有用同樣的系統(tǒng)文件將蠕蟲／黑客程序覆蓋即可。</p><p>　　3. 若系統(tǒng)感染了宏病毒，可在當(dāng)前系統(tǒng)下直接運(yùn)行殺毒軟件進(jìn)行檢測(cè)、清除。</p><p><b>　　6. 結(jié)束語</b></p><p><b>　　6.1論文總結(jié)</b></p><p>　　在

93、這次設(shè)計(jì)中我們有喜悅也有辛酸，高興的是我們能夠在老師的指導(dǎo)與期望中完成本次設(shè)計(jì)，并從中學(xué)到了不少知識(shí)，在設(shè)計(jì)過程中我們雖然跌倒過無數(shù)次，但是我們還是努力的爬起，勇敢的與困難做斗爭(zhēng)，最終將困難一個(gè)個(gè)攻破，最終感受到了成功的喜悅！在這次設(shè)計(jì)中使我深深感受到“只要努力什么都有可能”，在以后的工作和學(xué)習(xí)生活中我們一定要努力發(fā)揚(yáng)這種精神，對(duì)每一件事都抱著認(rèn)真負(fù)責(zé)的態(tài)度努力去完成，俗話說的好“失敗乃成功之母”，在這次設(shè)計(jì)中我們通過自己的努力對(duì)每次的

94、失敗都做了認(rèn)真的總結(jié)，將自己的不足之處彌補(bǔ)了起來，在這個(gè)過程中也使我們慢慢成長(zhǎng)起來，相信以我們現(xiàn)在的這種熱情與負(fù)責(zé)一定會(huì)在以后的生活中立于不敗之地，我們相信只要努力了就一定能夠得到回報(bào)，同時(shí)我們也深信我們的未來不是夢(mèng)，在以后的生活中我們也一定會(huì)像本次設(shè)計(jì)一樣最終嘗到成功的喜悅！展望未來我們知道我們還有很長(zhǎng)的一段路要走，一定會(huì)有很多挫折和困難等著我們但是我們不會(huì)因?yàn)槔щy就停止不前，因?yàn)橥ㄟ^本次設(shè)計(jì)就可以看出我們是生活的主宰者我們一定會(huì)為自

95、己的明天努力打拼的。</p><p><b>　　6.2工作展望</b></p><p>　　本次設(shè)計(jì)使我意識(shí)到社會(huì)對(duì)人才的需求變得日益強(qiáng)烈起來，能否在以后的社會(huì)發(fā)展當(dāng)中立于不敗之地，怎樣在激勵(lì)的競(jìng)爭(zhēng)當(dāng)中獲得一席之地似乎已經(jīng)成為了一個(gè)值得我們深思的問題！我們都知道要想在當(dāng)今日趨激烈的社會(huì)競(jìng)爭(zhēng)中贏得成功，擁有強(qiáng)大的知識(shí)做后盾是必不可少的，但光這些是不夠的我們還要不斷的在

96、各方面努力提高自己的各項(xiàng)技能，努力學(xué)好書本上的知識(shí)并運(yùn)用所學(xué)的知識(shí)為社會(huì)貢獻(xiàn)自己的力量，因此我們必須從現(xiàn)在開始努力掌握各項(xiàng)技能，并將其熟練掌握，才不會(huì)被社會(huì)所淘汰。</p><p>　　作為一名即將踏入社會(huì)的計(jì)算機(jī)專業(yè)的大學(xué)生，我所擁有的是年輕和知識(shí)，使我不畏困難，善于思考，但年輕也意味著閱歷淺，更需要虛心好學(xué)。同時(shí)，我也深知，畢業(yè)只是求學(xué)的一小步，社會(huì)才是一所真正的大學(xué)。我今天的求知也正是希望得到一個(gè)更好的學(xué)習(xí)

97、機(jī)會(huì)，從而能以更好的工作成績(jī)?yōu)閲?guó)家和單位貢獻(xiàn)力量，同時(shí)去實(shí)現(xiàn)人生價(jià)值。</p><p><b>　　參考文獻(xiàn)、資料索引</b></p><p><b>　　致　　謝</b></p><p>　　首先衷心地感謝我的導(dǎo)師xx老師。本文從選題到完成，從理論上的探討到實(shí)際問題的解決，無處不飽含著王老師的心血。王老師的悉心指導(dǎo)和建議

98、給了我極大的幫助和支持，使我受益匪淺，在此論文完成之際，謹(jǐn)向xx老師致以深深的謝意和崇高的敬意。</p><p>　　從開始寫論文到論文的完成，王老師給了我很多的幫助和意見，使我受益匪淺。當(dāng)然，我的伙伴們也給了我精神和實(shí)際上的幫助、支持和鼓勵(lì)，我很感謝大家，沒有你們我的論文也不會(huì)這么順利的完成，謝謝大家。</p><p>　　向王老師及合作的伙伴們致以深深的謝意和崇高的敬意，向王老師說一聲