作者：美國福祿克網絡公司

    無線網絡的開放性為網絡治理員和用戶增加了不確定性。

    網絡治理員希望只答應授權用戶訪問其網絡，而用戶則需要確保自己訪問的是恰當的網絡。本文深入討論了典型的無線局域網客戶登錄過程以及802.1x和 EAP 驗證過程。網絡治理員和網絡用戶都關心網絡訪問權限和安全性。網絡治理員希望確保請求訪問網絡的客戶端確實是其本身——是已授權用戶而非冒名頂替的用戶。而網絡用戶所希望的是當筆記本電腦連接到無線網絡時，他確實連接到了自己的網絡——而不是由黑客建成，用于收集用戶信息的假冒網絡。對網絡治理員和用戶來說，他們最基本的需要是對網絡的信任。

    事實證實，初期開發的一些安全和保密性方案所提供的信任，對于黑客的攻擊是脆弱的。例如：802.11的有線等效保密協議(WEP)。今天的網絡治理員正在體現802.1X，希望它可以提供一個可靠的安全環境。到目前為止，802.1X還能滿足這個諾言。

    在2004年12月13日，IEEE 發布了 802.1X 標準“基于端口的網絡訪問控制”。 可以訪問http://standards.ieee.org /getieee802/802.1.Html 獲取相關信息。802.1X 標準對于嘗試連接到局域網的設備，提供了認證和授權的方法。防止認證和授權失敗的用戶訪問局域網。

    由于無法將WLAN像有線網一樣從物理上放到墻后或用門鎖上，這使他們更加輕易受到攻擊。無線局域網的治理員是第一批實施802.1X 的人。現在 802.1X 的應用，已經擴展到有線網絡，作為補充的安全措施。

    IEEE802.1X是從點對點協議(PPP) 和擴展的認證協議 (EAP) 演變而來。PPP 通常用于因特網 (Internet） 撥號訪問。它包括認證機制，含有用戶名和密碼。EAP 的出現，提供了更豐富的安全機制。EAP 駐留在 PPP 認證協議中，為幾個不同的認證方法提供廣義的框架。EAP 在 IETF's RFC 3748 中定義 EAP，可以從http://www.ietf.org/rfc 獲取相關信息。IEEE 802.1X 是在有線或無線局域網上傳遞 EAP 的標準。802.1X 不使用 PPP；而是把 EAP 消息被封裝在以太網幀中。封裝的 EAP 包被稱為局域網上的 EAP 或 EAPOL (EAP Over LAN)。

    IEEE802.1X定義三個必要的角色完成認證交換。1.認證者是網絡設備（例如：接入點、交換機）希望在答應訪問前增強認證。2. 請求者是網絡設備（例如客戶端 PC、PDA）正在請求訪問。3. 認證服務器，典型的是 RADIUS 服務器，執行必要的認證功能，代替認證者檢查請求者的認證證書，指示是否請求者已被授權訪問認證者的服務。僅管一臺設備可能既是認證者又是認證服務器，但通常情況下，它們都是獨立的設備。獨立的認證服務器最有效是當大多數的認證工作可以在被請求者（無線筆記本電腦）上實現時，認證服務器可以具有較小的處理能力和內存，節省成本。

    圖1：802.1X角色

    揭密無線網絡訪問和802.1x安全性的迷惑

    以下是通過802.1x成功認證的典型過程。一旦請求者檢測到以激活的鏈接，則啟動本過程（例如筆記本電腦和接入點關聯）。

    現在存在許多版本的EAP。他們的差別在于論證(challenge)過程的復雜性和安全性的不同。一些論證過程僅認證客戶端，而其他論證則需要客戶端和網絡互相認證。一些論證要求對請求和響應加密。最常見的EAP類型是建立在交換機、路由器和操作系統上的，因為在這些環境中通常最輕易實現。以下表格列出了與 802.1x 共同使用的一些常見的 EAP 類型。

    以下是幾個最常用EAP類型的認證過程舉例：EAP-TLS、LEAP和 PEAP-MSCHAP-V2。在第一個例子中，我們將添加無線局域網關聯過程和 ip 地址解析過程，因為這些過程與認證過程都是最典型的客戶端登錄過程。

    圖2：典型的WLAN客戶端登錄過程

    例1：包含EAPTLS 認證的 WLAN 登錄過程

    802.11關聯過程

    802.1XEAP-TLS認證過程

    DHCPIP地址解析過程

    例2：802.1XLEAP認證

    本例中，僅描述了LEAP認證過程。WLAN關聯和 DCHP 過程不變。

    例3：802.1XPEAP-MS-CHAP-V2認證過程

    本例中，僅描述了PEAP-MS-CHAP-V2認證過程。WLAN關聯和DCHP 過程不變。

    總結

    了解關聯、認證和IP地址解析過程有助于對客戶端登錄問題進行故障診斷。現在有網絡分析工具可以監測和記錄整個客戶端到網絡的登錄過程。假如有無線筆記本電腦用戶無法訪問網絡，可以連接網絡分析儀到您的網絡中，觀察整個登錄過程。您將能夠知道登錄過程失敗在哪里。一旦通過觀察這些過程分離出問題，您就能夠知道什么地方出現了問題，需要如何解決或修復此過程。

    認證，證實身份的過程，是網絡安全的基本途徑。通過執行IEEE802.1X認證，網絡治理員能夠有效控制對網絡的訪問。選擇 EAP 類型時要考慮；有些 EAP 視為無線和有線局域網開發的，另一些只能用于其中一種網絡。在對類型進行選擇前，事先做一些研究，因為它們各自有自己的優勢和不足。理解認證和登錄相關的過程，將幫助您對用戶訪問問題進行故障診斷。同時，對新出現的安全問題保持關注——是維持網絡的信譽最好的方法。

    參考

    IEEEStd802.1X-2004,局域網和城域網 IEEE 標準，基于端口的網絡訪問控制。

    IETFRFC3748,擴展認證協議 (EAP), Blunk, L., Vollbrecht, J., Aboba, B., Carlson, J., Levkowetz, H., June 2004

    Geier,Jim.“802.1XOffers Authentication and Key Management.” Wi-Fi Planet 7 May 2002. Snyder, Joel. “What is 802.1X?” Network

    WorldFusion6May 2002

    “802.1XPortaccessControl for WLANs.” Wi-Fi Planet.com 5 September 2003

    “Deploying802.1XforWLANs: EAP Types.” Wi-Fi Planet.com 10 September 2003