您好,欢迎访问三七文档
使用集中式802.1X构建校园网认证系统柳斌华中科技大学网络与计算中心运行部2014.8802.1X认证体系结构2•客户端系统:终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1x协议的认证过程。客户端系统需支持EAPOL(ExtensibleAuthenticationProtocolOverLAN)协议。•认证系统:通常为支持IEEE802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等逻辑端口。•认证服务器通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。802.1X认证部署方式-分布式部署3•可以对用户进行精细化的管理和控制。•大量的接入层设备给网络管理和认证管理带来不便。•接入交换机作为NAS设备与后台的认证系统联系比较密切,这导致数量众多的接入交换机在购置,更新选型时受制于认证系统。802.1X认证部署方式-集中式部署4•NAS设备数少,这有利于管理。•集中式部署无法对用户终端进行物理的定位,所有认证用户都从一个NASIP(一台汇聚或核心交换机),一个NASport(一个端口)上来.解决集中式802.1X模式下终端定位问题Port+Vlan的方式进行用户终端位置的标识。(port,vlan)二元组表示用户位置SuperVlan每个SubVLAN与普通VLAN具有相同的功能,不同的SubVLAN属于不同的广播域,二层相互隔离无法互访;当SubVLAN需要三层通讯时,依靠SuperVLAN的虚拟接口的IP地址作为网关地址进行寻址转发;SubVLAN间需要互访时,需要通过SuperVLAN下的ARP代理与ND代理来实现互通。基于Port+Vlan的IP地址管理IP地址段的管理(port1,vlan1),(port2,vlan1)5集中式802.1X在校园网中的部署6N18000汇聚汇聚接入接入接入接入VL2VL3VL4VL5VL2VL3VL4VL5VL2-3VL4-5VL2-3VL4-5接入设备部署有线部分:每个与终端相连的端口都配置成Access口,并且每个端口都属于一个VLAN,上联汇聚的端口配置成属于这些VLAN的Trunk口。无线部分:每个AP或者同一区域的多个AP都属于一个VLAN。AP内要求STA之间通信隔离。AC上配置不允许同一个VLAN的AP之间通信。7核心设备部署通过SuperVlan作为网关,SuperVlan配置多个IP网段,每个接入的终端属于一个SubVlan,核心不同端口下的终端允许在同一个SubVlan内,这样每个端口都要配置成属于所有SubVlan的trunk口,为了确保这些终端之间二层通信隔离,开启这些端口的二层端口保护功能。8汇聚设备部署和核心相连的上链口配置成属于所有SubVLAN的trunk口,而下联接入的端口也配置成Trunk口,并根据接入设备所分配的VLAN范围进行裁剪9SuperVlan基本配置SuperVlan配置Vlan161SuperVlanSubVlan561,661;interfaceVLAN161ipaddress10.12.113.254255.255.254.0;10IP地址管理配置Ruijie(config)#address-manageRuijie(config-address-manage)#matchip10.1.5.0255.255.255.0Gi5/3Vlan1005来自Gi5/3且Vlan号为1005分配10.1.5.0这段地址。11802.1X认证配置aaanew-modelaaaaccountingnetworkdefaultstart-stopgroupradiusaaaauthenticationweb-authdefaultgroupradiusinterfacexxxdot1xport-controlauto12免认证方法1:安全通道N18K配置安全通道,基于ACL的方式放行需要免认证的设备。方法2:MAC认证13运行情况14上网用户数15设备信息:162)高峰期设备资源(1)ARP表,高峰期在六点,最大ARP表项为17.46K,N18K不会成为瓶颈。(2)CPU使用率,平均CPU使用率在3%左右,总体比较平滑。凌晨2点的时候,SAM会与N18K进行设备同步,CPU使用率会飙高到10%左右。3)高峰期设备转发性能最高峰为1.2G结论随着核心设备性能的不断提高,集中式认证将是校园网接入认证发展的趋势。接入设备不再是NAS。NAS设备与后台计费能充分融合。同时支持多种认证方式。解决了用户终端定位问题,集中式的802.1X也是准入认证的一种选择。17
本文标题:柳斌博士论文答辩
链接地址:https://www.777doc.com/doc-4186547 .html