畢業(yè)設(shè)計(jì)答辯

1、畢業(yè)設(shè)計(jì)答辯,專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)801 姓名：邢成學(xué)號(hào)：08030068指導(dǎo)老師：胡朋,題目：基于校園網(wǎng)的802.1X認(rèn)證的分析和Radius服務(wù)器構(gòu)建,目錄,,,,,研究目的及研究任務(wù),三種接入認(rèn)證技術(shù)的淺析,IEEE 802.1X認(rèn)證技術(shù),具體實(shí)例設(shè)計(jì),,,致謝,總結(jié),研究目的將802．1X設(shè)計(jì)到現(xiàn)有的校園網(wǎng)認(rèn)證管理方案中去，實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)用戶接入認(rèn)證、訪問授權(quán)、安全鑒別等服務(wù)，使內(nèi)網(wǎng)管理系統(tǒng)具有更強(qiáng)的終端安全管理的功能

2、。研究任務(wù)分析目前校園網(wǎng)傳統(tǒng)身份認(rèn)證方式（PPOE和WEB/PORTAL）的弊端。IEEE802.1X認(rèn)證原理分析，給出測試配置模型。最后設(shè)計(jì)校園網(wǎng)絡(luò)基于IEEE802.1X認(rèn)證的可行方案。,研究目的及研究任務(wù),接入認(rèn)證簡介對(duì)用戶的認(rèn)證管理（即通常所說的AAA）包含3個(gè)方面，即認(rèn)證（Authentication）、授權(quán)（Authorization）和計(jì)費(fèi)（Accounting）。Authentication是指驗(yàn)證用戶對(duì)網(wǎng)絡(luò)的訪問

3、權(quán)限；Authorization是授權(quán)用戶可以使用的服務(wù)；Accounting是記錄用戶使用網(wǎng)絡(luò)資源的情況，包括收發(fā)字節(jié)數(shù)、收發(fā)數(shù)據(jù)包數(shù)、上網(wǎng)時(shí)長等。,三種接入認(rèn)證的淺析,PPPoE認(rèn)證PPPoE（PPP over Ethernet） 是一種在以太網(wǎng)上進(jìn)行PPP點(diǎn)對(duì)點(diǎn)撥號(hào)連接的協(xié)議。PPPoE是一種靈活的ADSL接入方式。,ADSL應(yīng)用最廣的橋接接入,三種接入認(rèn)證的淺析,WEB認(rèn)證WEB認(rèn)證最初是一種業(yè)務(wù)類型的認(rèn)證，通過啟動(dòng)一個(gè)W

4、EB頁面，輸入用戶名、密碼，實(shí)現(xiàn)用戶認(rèn)證。WEB認(rèn)證目前已經(jīng)成為運(yùn)營商網(wǎng)絡(luò)平臺(tái)的認(rèn)證方式，通過WEB頁面實(shí)現(xiàn)對(duì)用戶是否有使用網(wǎng)絡(luò)權(quán)限的認(rèn)證。,三種接入認(rèn)證的淺析,三種接入認(rèn)證的淺析,802.1X認(rèn)證802.1X是一種以太網(wǎng)的認(rèn)證技術(shù)，是基于端口的接入控制，稱為Port-Based Network Access Control。在認(rèn)證過程中沒有PPP的打包過程，沒有IP地址的參與，無法穿越3層網(wǎng)絡(luò)進(jìn)行認(rèn)證。,三種認(rèn)證技術(shù)的比較,三種接

5、入認(rèn)證的淺析,IEEE 802.1x認(rèn)證的優(yōu)勢IEEE 802.1x協(xié)議具有完備的用戶認(rèn)證、管理功能，可以很好地支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營和管理要求，對(duì)寬帶IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營和管理具有極大的優(yōu)勢。協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化，解決了傳統(tǒng)認(rèn)證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。,IEEE 802.1X認(rèn)證技術(shù),IEEE 802.1x認(rèn)證體系結(jié)構(gòu),IEEE 802.1X認(rèn)證技術(shù),IEEE802.1x認(rèn)證

6、過程圖解,IEEE 802.1X認(rèn)證技術(shù),IEEE 802.1X認(rèn)證技術(shù),RADIUS認(rèn)證機(jī)制,RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì) NAS 進(jìn)行類似的認(rèn)證；如果合法，給 NAS 返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回 Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求A

7、ccount-Require，RADIUS服務(wù)器響應(yīng) Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。,具體實(shí)例設(shè)計(jì),校園網(wǎng)的總體設(shè)計(jì)思想,⑴進(jìn)行對(duì)象研究和需求調(diào)查，明確系統(tǒng)建設(shè)的需求和條件；⑵需求分析的基礎(chǔ)上，確定系統(tǒng)建設(shè)的具體目標(biāo)；⑶確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能；⑷確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；⑸規(guī)劃安排校園網(wǎng)建設(shè)的實(shí)施步驟。,具體實(shí)例設(shè)計(jì),R

8、adius服務(wù)器架設(shè)實(shí)例操作,搭建環(huán)境：Linux 系統(tǒng)、mysql（建議）、freeradius-server（必須）、freeradius-client（可選）軟件安裝： ⑴進(jìn)入linux 控制臺(tái)，引導(dǎo)至root 管理模式； ⑵執(zhí)行# yuminstall mysql-server； ⑶執(zhí)行# yuminstall freeradius-mysql。,具體實(shí)例設(shè)計(jì),配置Radius 服務(wù)器,1、進(jìn)入控制臺(tái)r

9、oot 權(quán)限，配置mysql；2、freeradius 和mysql 的集成；3、修改freeradius 配置文件； 1） 編輯/etc/raddb/sql.conf； 2） 編輯/etc/raddb/sites-enabled/default； 3） 編輯/etc/raddb/sites-enabled/inner-tunnel； 4） 編輯/etc/raddb/e

10、ap.conf； 5） 編輯/etc/raddb/clients.conf, 加入授權(quán)client； 6) 編輯/etc/raddb/radiusd.conf。,具體實(shí)例設(shè)計(jì),校園網(wǎng)拓?fù)鋱D,具體實(shí)例設(shè)計(jì),基于802.1x的校園網(wǎng)上的實(shí)現(xiàn),802.1X認(rèn)證和Redius服務(wù)器為主的縮略示意圖,具體實(shí)例設(shè)計(jì),這種解決方案的優(yōu)勢,在此解決方案中，采用了基于MAC地址的端口訪問控制模式，所有的認(rèn)證都是在接入層采用

11、分布式認(rèn)證。在接入交換機(jī)（EDS-1624）上就做認(rèn)證，網(wǎng)絡(luò)安全效果最佳，既提高了認(rèn)證效率，同時(shí)也減輕了上層交換機(jī)的負(fù)擔(dān)，這將降低建網(wǎng)成本、降低認(rèn)證服務(wù)器的性能要求。,具體實(shí)例設(shè)計(jì),該解決方案的特點(diǎn),解決了用戶帳號(hào)和密碼被盜的問題。解決了DHCP受攻擊的問題。具有良好的可擴(kuò)展性，管理方便。核心交換機(jī)可以作為學(xué)生宿舍子網(wǎng)的核心設(shè)備提供業(yè)務(wù)流分類、端口反查和自動(dòng)準(zhǔn)確關(guān)閉端口等功能，阻止病毒在內(nèi)網(wǎng)的泛濫。,具體實(shí)例設(shè)計(jì),radius-s

12、erver host 192.168.11.10aaa authentication dot1xaaa accounting server 192.168.11.10aaa accountinginterface fastEthernet 0/1dot1x port-control auto…interface gigabitEthernet 1/1switchport mode trunk,interface vlan

13、 100no shutdownip address 192.168.12.110 255.255.255.0dot1x client-probe enabledot1x probe-timer interval 10dot1x probe-temer alive 30no dot1x re-authenticationradius-server key jyuip default-gateway 192.168.12.1

14、snmp-server community public ro,認(rèn)證交換機(jī)上的主要配置：,具體實(shí)例設(shè)計(jì),service dhcpip helper-address 192.168.11.5ip aceess-list extended deny_msblastdeny tcp any any eq 135deny tcp any any eq 136…permit udp any host 192.168.11.5 eq

15、bootpspermit udp any host 192.168.11.5 eq bootpcdeny ip any host 192.168.11.5permit udp any host 192.168.11.1 eq 1813permit udp any host 192.168.11.1 eq 1812,deny ip any host 192.168.11.1permit ip any anyinterface

16、GigabitEthernet 1/1speed 1000duplex fullswitchport trunk native valn 3ip access-group dent_msblast in…interface Vlan 1ip address 192.168.11.2 255.255.255.0…ip route 0.0.0.0 0.0.0.0 Vlan 8 210.38.163.141 1 enable

17、d…,核心交換機(jī)上的主要配置：,總結(jié),本次設(shè)計(jì)將802.1X認(rèn)證技術(shù)應(yīng)用到現(xiàn)有的校園網(wǎng)認(rèn)證管理中，對(duì)比分析了目前校園網(wǎng)傳統(tǒng)身份認(rèn)證方式（PPOE和WEB/PORTAL）的弊端。IEEE802.1X認(rèn)證原理分析，給出測試配置模型。設(shè)計(jì)出了基于IEEE802.1X認(rèn)證的校園網(wǎng)認(rèn)證的解決方案，完成了主要研究任務(wù)。 IEEE 802.1x這項(xiàng)新標(biāo)準(zhǔn)定義了為LAN實(shí)施訪問控制的機(jī)制，允許授權(quán)用戶進(jìn)來，而把非授權(quán)用戶拒之門外。因此

18、，有了802.1x，校園網(wǎng)便不再是一道敞開的門，解決了現(xiàn)階段所面臨的用戶身份認(rèn)證和應(yīng)用終端的安全性問題，增強(qiáng)了網(wǎng)絡(luò)安全性。802.1x本身也成為安全架構(gòu)的一個(gè)重要部分，有助于消除來自校園網(wǎng)內(nèi)部的安全威脅。 通過對(duì)本課題的研究和設(shè)計(jì),使我對(duì)在IEEE802.1X認(rèn)證體系下網(wǎng)絡(luò)的設(shè)計(jì)有了一個(gè)較為具體的理解。對(duì)接入認(rèn)證體系的了解達(dá)到了入門級(jí)的程度。使我今后對(duì)接入認(rèn)證技術(shù)的深入學(xué)習(xí)和研究提供了一個(gè)基礎(chǔ)。同時(shí)提高了我對(duì)新知識(shí)的學(xué)習(xí)