华为无线802.1X认证浅析

1、802.1X简介

IEEE802 LAN/WAN委员会为解决无线局域网安全问题，提出了802.1X协议。

后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，对所接入的用户设备通过认证来控制对网络资源的访问。

如图1所示，802.1X系统为典型的Client/Server结构，包括三个实体：终端、RADIUS客户端和RADIUS服务器。

图1 802.1X认证系统示意图

• 终端是位于局域网段一端的一个实体，由该链路另一端的接入控制设备（RADIUS客户端）对其进行认证。终端必须支持局域网上的可扩展认证协议EAPOL（Extensible Authentication Protocol over LAN），用户可以在终端通过AnyOffice或者自带802.1X客户端发起认证。
• 接入控制设备是位于局域网段一端的另一个实体，对所连接的终端进行认证。接入控制设备通常为支持802.1X协议的交换机或AC，为终端提供接入局域网的接口。
• RADIUS服务器是为接入控制设备提供认证服务的实体。RADIUS服务器用于对用户进行认证、授权和计费，Agile Controller-Campus的SC包含RADIUS服务器。

802.1X认证是RADIUS协议的一种认证方式。在802.1X认证系统中Agile Controller-Campus作为RADIUS服务器，为用户提供认证和授权，确保网络安全。

2、无线802.1X认证

无线802.1X认证场景认证点建议选择挂接于汇聚层交换机上的AC。汇聚层交换机将用户流量引流到AC认证。

建议采用AC集中管理AP的方式（AC+Fit AP），规划两个VLAN分别作为管理VLAN（管理ap、建议capwap隧道）和业务VLAN。

图3 无线802.1X认证

2.1、规划分域

• 认证前域：指用户认证通过前可以访问的资源。如一些对外开放的公共资源，用户认证过程中需使用的DHCP服务器、DNS服务器、Portal服务器（SC服务器即为Portal服务器）等。
• 认证后域：指只有用户认证通过才能访问的资源。如财务系统、考勤查询系统等重要系统。（认证成功后，匹配授权规则，下发ACL等）
• 隔离域：只有使用AnyOffice客户端才支持隔离域。指身份认证通过但终端安全检查不通过时可以访问的资源，用于修复终端安全检查的问题。如补丁服务器、病毒库服务器等。

3、认证流程

使用操作系统自带802.1X客户端和AnyOffice的802.1X认证流程分别如图2和图3所示，主要区别在于使用AnyOffice的终端除在RADIUS服务器上下线外还需在AuthServer（Agile Controller-Campus服务器的另一模块）上下线，用于终端管理。

图2 802.1X认证流程（操作系统自带802.1X客户端）

上线流程：

1. 用户发起认证请求，向RADIUS客户端发送帐号和密码。
2. RADIUS客户端根据获取到的帐号和密码，向RADIUS服务器发送认证请求（Access-Request），其中密码在共享密钥的参与下进行加密处理。
3. RADIUS服务器对帐号和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受报文（Access-Accept）；如果认证失败，则返回认证拒绝报文（Access-Reject）。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。
4. RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求报文（Accounting-Request）。
5. RADIUS服务器返回计费开始响应报文（Accounting-Response），并开始计费。

   说明：

   Agile Controller-Campus作为RADIUS服务器不支持计费功能，通过计费报文判断用户是否在线，计费报文的发送周期在接入控制设备和Agile Controller-Campus上必配且必须一致。

   开始计费后将用户同时加入RADIUS客户端和RADIUS服务器的在线用户列表，用户访问网络资源时在RADIUS客户端的在线用户列表查找用户信息，如果存在则无需再次认证。

6. 用户根据授权开始访问网络资源。

用户主动下线流程：

1. 用户执行注销操作，请求下线。
2. RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文（Accounting-Request）。
3. RADIUS服务器返回计费结束响应报文（Accounting-Response），并停止计费。

   说明：

   停止计费后同时在RADIUS客户端和RADIUS服务器在线列表中将用户删除。

4. 用户访问结束。

管理员在Agile Controller-Campus上强制用户下线流程：

1. RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM（Disconnect Message）-Request，该报文中包含Session ID、帐号和终端IP地址等信息。
2. RADIUS客户端根据DM-Request报文中的信息查找在线用户列表，将符合条件的用户下线，并向RADIUS服务器发送下线成功响应报文DM-ACK。
3. RADIUS客户端向RADIUS服务器发送计费停止请求报文（Accounting-Request）。
4. RADIUS服务器返回计费结束响应报文（Accounting-Response），并停止计费。

   说明：

   停止计费后同时在RADIUS客户端和RADIUS服务器在线列表中将用户删除。

5. 用户访问结束。

参考文献：华为Agile Controller-Campus产品文档