本篇文章為企業(yè)系統(tǒng)管理員從PPP、EAP和802.1X三方面解析IEEE 802.X標(biāo)準(zhǔn)為何物，并進(jìn)一步探尋IEEE 802.X網(wǎng)絡(luò)的安全機(jī)制。使得企業(yè)管理人員進(jìn)一步提升安全意識，為保護(hù)企業(yè)安全提供更好的保證。

多數(shù)人都熟悉PPP(點(diǎn)到點(diǎn)的協(xié)議)。該協(xié)議多用于撥號上網(wǎng)，它還被一些ISP以PPPoE的形式用于DSL和cable modem的認(rèn)證。PPP是第二層隧道協(xié)議的一部分，它是微軟的Windows 2000及以后的各個(gè)Windows版本的安全的遠(yuǎn)程訪問解決方案的核心部分。

PPP的發(fā)展超過了其最初作為撥號訪問方法的應(yīng)用領(lǐng)域，現(xiàn)在已經(jīng)被全面用于互聯(lián)網(wǎng)中。PPP的一部分定義了一種身份驗(yàn)證機(jī)制。對于撥號訪問，這種認(rèn)證就是用戶名和口令。PPP認(rèn)證用于這種場合：在給與PPP用戶訪問權(quán)限之前，先對其進(jìn)行確認(rèn)。

多數(shù)企業(yè)都想做得更安全些，而不是僅僅靠用戶名和口令進(jìn)行訪問控制，所以一種新的認(rèn)證協(xié)議稱為擴(kuò)展認(rèn)證協(xié)議(EAP)應(yīng)運(yùn)而生。EAP隸屬于PPP的認(rèn)證協(xié)議，它提供了幾種不同認(rèn)證方法的概括化的框架。EAP的目的是阻止私有的認(rèn)證系統(tǒng)，并使得從口令到公鑰基礎(chǔ)架構(gòu)證書的一切都能夠順暢運(yùn)行。

借助于標(biāo)準(zhǔn)化的EAP，認(rèn)證方法的協(xié)同性和兼容性就變得更為簡單了。例如，在用戶撥號訪問一臺遠(yuǎn)程訪問服務(wù)器并使用EAP作為PPP連接的一部分時(shí)，遠(yuǎn)程訪問服務(wù)器就沒有必要了解用戶認(rèn)證系統(tǒng)的任何細(xì)節(jié)。唯一需要的是用戶和認(rèn)證服務(wù)器之間的協(xié)調(diào)。通過支持EAP認(rèn)證，遠(yuǎn)程訪問服務(wù)器將不再充當(dāng)中間人，而是包裝和重新包裝數(shù)據(jù)包，并將其轉(zhuǎn)交給RADIUS服務(wù)器，以執(zhí)行實(shí)際的認(rèn)證。

這又把我們帶到了IEEE 802.X標(biāo)準(zhǔn)，這是一個(gè)可以在有線或無線局域網(wǎng)上傳遞EAP的標(biāo)準(zhǔn)。借助于802.1x，用戶用以太網(wǎng)幀的形式對EAP消息進(jìn)行打包，并不使用PPP。它用于認(rèn)證而不是其它方面。在并不需要PPP的其余部分的情況下，這樣做很值得的，在這里你使用的不是TCP/IP協(xié)議，或者說，使用PPP的成本和復(fù)雜性太高了。

802.1x使用三個(gè)重要的概念。需要驗(yàn)證的用戶或客戶端稱為請求者。真正的服務(wù)器執(zhí)行認(rèn)證，這種服務(wù)器一般就是RADIUS服務(wù)器，稱為認(rèn)證服務(wù)器。而介于它們之間的設(shè)備，如一個(gè)無線接入點(diǎn)，稱為認(rèn)證者。如下圖所示：
 

802.1x的一個(gè)關(guān)鍵點(diǎn)是認(rèn)證者可以很簡單，所有的“聰明才智”都得位于請求者和認(rèn)證服務(wù)器中。這就使得802.1x適合于無線訪問點(diǎn)AP，一般來說，無線AP的內(nèi)存和處理能力都非常有限。

802.1x中的這個(gè)協(xié)議稱為LAN上的EAP封裝(EAPOL)。目前，它是為以太網(wǎng)之類的局域網(wǎng)而定義的，包括802.11無線網(wǎng)以及令牌環(huán)網(wǎng)等。EAPOL并不十分復(fù)雜。有很多操作模式，但最常使用的情況是如下的方式：

1、請求者向認(rèn)證者發(fā)送一個(gè)“EAP-響應(yīng)/身份”數(shù)據(jù)包，并由認(rèn)證者傳遞給認(rèn)證服務(wù)器(RADIUS)。

2、身份認(rèn)證服務(wù)器向認(rèn)證者返回一個(gè)挑戰(zhàn)回應(yīng)，例如，用一個(gè)令牌口令系統(tǒng)。認(rèn)證者從IP中解開它，然后將它重新包裝成EAPOL，并將其發(fā)送給請求者。EAP僅支持客戶端的認(rèn)證和強(qiáng)健的雙向認(rèn)證。通常認(rèn)為只有強(qiáng)健的雙向認(rèn)證才適合于無線網(wǎng)絡(luò)。

3、請求者通過認(rèn)證者對挑戰(zhàn)作出響應(yīng)，并將響應(yīng)傳遞給認(rèn)證服務(wù)器。

4、如果請求者提供了正確的身份，認(rèn)證服務(wù)器就用一個(gè)成功消息作出響應(yīng)，然后再將消息傳遞給認(rèn)證者。認(rèn)證者準(zhǔn)許其訪問LAN，其根據(jù)就是由認(rèn)證服務(wù)器返回的屬性。例如，認(rèn)證者有可能將請求者轉(zhuǎn)交給一個(gè)特別的虛擬局域網(wǎng)(VLAN)中或者是安裝一套防火墻規(guī)則。

許多無線局域網(wǎng)廠商都堅(jiān)持采用802.1x標(biāo)準(zhǔn)，以有助于實(shí)施認(rèn)證并且保障有線和無線網(wǎng)絡(luò)的安全。
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 安全技巧：交換機(jī)應(yīng)用中的六種安全設(shè)置介紹
5. 美國虛擬主機(jī)linux系統(tǒng)下的安全設(shè)置