基于802.1X协议的网络准入控制不需要网络设备的支持

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

华中科技大学

硕士学位论文

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

姓名：周晓

申请学位级别：硕士

专业：通信与信息系统

指导教师：王芙蓉

20060428

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

摘要

随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了防火墙、访问控制等各种网络安全技术的蓬勃发展。出于网络安全和计费的需要，基于端口控制的802.1X技术成为主流的身份验证机制，与此同时，以“集中式管理、分布式防护”为理念的分布式防火墙也以有效的端点防护成为企业网络安全重要解决方案。如今，有70%以上的安全威胁来自于企业内部，那些通过身份认证的主机往往有意无意地充当着攻击源，使得管理员防不胜防。企业希望能够以基于身份验证和主机安全状态的新型信任模式来控制终端接入内网。论文主要针对802.1X认证技术和分布式防火墙技术协同工作开展深入研究，并给出一种具体的解决方案。

首先，对802.1X协议及相关的EAP协议和RADIUS协议进行系统的研究。通过分析802.1X技术所采用的安全技术和工作原理，实现802.1X的从基于端口到基于用户的扩展。分析整理

升级步骤：

1、 停用需要安装新版本的上的交换机的802.1X认证协议，进入到交换机全局配置模式下，undo dot1x即可。 全局配置模式下： undo dot1x

2、 交换机上的802.1X认证停用后就可以安装新的代理程序（安装时自动卸载6.2的客户端）。

3、 删除交换机上老的认证IP地址，添加新的认证IP地址。命令如下： 全局模式下：

radius scheme system

undo primary authentication undo primary accounting

primary authentication 172.16.10.5 1812 primary accounting 172.16.10.5 1813

4、 开启策略的802.1X认证（已开启）。

5、 开启交换机上的802.1X认证，命令如下： 全局配置模式下：

domain default enable system dot1x

dot1x authentication-method eap 6、 代理自动认证，上网成功；

配置详细命令如下：

H3C交换机进行相关配置，常用的命令如下： //设置交换机ip system-view

interfac

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

篇一：牛叉的人生不需要解释

牛叉的人生不需要解释

俗话说的好，“山外青山楼外楼，一山更比一山高”。人类是渺小的，但是有时又是强大的，有些人的强悍让我们惊颤啊！

篇二：剽悍的人生不需要解释

剽悍的人生不需要解释

作者：马昌博

来源：《视野》2006年第01期

当老罗在电子屏幕上写下自己名字的时候，台下不由发出一阵轻笑。

“罗永浩，以前听说过吧?”镜片后的一双小眼睛目光凌厉地扫过教室。“都是成年人了，拜托合作点，现在大家是不是应该鼓掌呢?”在新东方第一教学区的一间教室里，学生们以这种方式迎来了“传说中的罗胖子”的课。

“很多学生记得我扯的淡但是忘了我讲的内容，快考试了还问要看哪本参考书。听过我的课还看参考书简直是对我智商的侮辱，经常弄得我感慨万千，夜不能寐，所以我每次讲这个的时候都充满了绝望的心情。”老罗作悲伤状。

“还有人仗着有钱再报一期，一看题讲得不怎么样，但是扯的淡还是一样，结果听得上吐下泻。有人写信抗议说你为什么不能扯点新淡。我是干嘛的，讲题为主扯淡为主?唉！很悲壮的感觉。”讲台下终于忍不住一片暴笑。

连我这种人都误会，你还能干啥？

新东方的GRE培训老师罗永浩是个有趣的人。也许很多人还没听说过他，但键入他的名字，搜索引擎给出的相关网页已经逼近两万个，你可以找到

【tips】本税法知识是由梁志飞老师精心收编整理！

企业年金需不需要缴税

企业年金要不要缴税

某企业职工年金账户中每月个人缴费100元、企业缴费400元，这些收入哪些要交税，哪些可以不交税?

其100元的个人缴费不得在工薪所得税前扣除，属于个人税后工薪的缴费;企业缴人其个人账户的400元不并入当月工资、薪金，直接以400元对应工资、薪金所得税率表的适用税率计算应扣缴的税款。

关于企业年金的税收问题，2009年12月11日，国家税务总局发布《关于企业年金个人所得税征收管理有关问题的通知》。通知规定，企业年金的个人缴费部分，不得在个人当月工资、薪金计算个人所得税时扣除。企业年金的企业缴费计人个人账户的部分是个人因任职或受雇而取得的所得，属于个人所得税应税收人，在计人个人账户时，应视为个人一个月的工资、薪金(不与正常工资、薪金合并)，不扣除任何费用，按照“工资、薪金所得”项目计算当期应缴个人所得税款，并由企业在缴费时代扣代缴。

通知还规定，设立企业年金计划的企业，应按照和税收征收管理法的有关规定，实行全员全额扣缴明细申报制度。企业要加强与其受托人的信息传递，并按照主管税务机关的要求提供相关信息。对违反有关税收规定的，按照税收征收管理法有关规定予以

此刻，不是很明白自己的心情，没有过分的大起大落，看着群里大家的祝福，眼睛有些发胀。

本来也应该说声恭喜的，打出恭喜二字，却迟迟没有按下回车键，此刻的你，应该是幸福的模样吧。

如果不是当初的选择，现在陪在你身边的也许会是我。

不过，缘分这个东西太难琢磨，即使曾经刻骨铭心，以后也未必会在一起看未来每一天的日出日落。

终于相隔天涯的我们，连再见也懒得说。

就如此刻，曾心心念念的过往，也许也是如此那般的微不足道。 那时的我们，确信说了在一起就是一辈子的事情。 想想那时好傻，牵个手都会面红耳赤。

拿奖学金拿到手软的你，天天让我陪你去图书馆学习。 你说，为了我们的未来，让我努力一点。

我重重的点头，心花朵朵开，原来你早已把我列入你的未来。 那时的天空好蓝，日子却过得一点都不慢。

那时最重要的事情就是晚上绕着操场走了一圈又一圈。

在熄灯铃声想起的那一刻，把我送到宿舍门口的你狂奔回宿舍。 你说，下一个百米世界冠军非你莫属。 我说也好也好，嫁个运动员是我的梦想。 后来，毕业实习，你南下，我独自留在北方。

你问我为什么会放弃实习机会，我说我想留在故乡。 你问我为什么不早说，我说我们分开吧。 你哑然失笑，原来一直都是我一厢情愿。

你哪里知道，我的父亲那个秋

人们常用的网络设备及其功能

目录

一、路由器 (2)

1、路由器的功能及特点 (2)

2、路由器的种类 (2)

（1）．接入路由器 (2)

（2）．企业级路由器 (2)

（3）．骨干级路由器 (3)

（4）．太比特路由器 (3)

（5）、无线路由器 (4)

二、HUB 集线器 (5)

1、集线器的功能及特点 (5)

2、集线器的种类 (5)

（1）独立型HUB： (5)

（2）模块化HUB： (5)

（3）可堆叠式HUB： (5)

三、交换机 (7)

1、交换机的功能及特点 (7)

2、交换机的种类 (7)

四、网关（Gatway) (8)

1、网关的功能及特点 (8)

2、网关的种类 (8)

（1）语音网关 (8)

（3）家用网关 (8)

1 / 8

常用的网络设备及其功能

一、路由器

1、路由器的功能及特点

路由器工作在OSI体系结构中的网络层，这意味着它可以在多个网络上交换和路由数据数据包。路由器通过在相对独立的网络中交换具体协议的信息来实现这个目标。比起网桥，路由器不但能过滤和分隔网络信息流、连接网络分支，还能访问数据包中更多的信

息。并且用来提高数据包的传输效率。路由表包含有网络地址、连接信息、路径信息和发送代价等。路由器比网桥慢，主要用于广域网或广域网与局域网的互连。

2、路由器的种类

（1

客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址：01-80-C2-00-00-03。

设备端收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求

用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地址，

客户端程序响应设备端发出的请求，将用户名信息通过数据帧（EAP-Response/Identity

报文）发送给设备端

设备端将客户端发送的数据帧经过封包处理后（RADIUS Access-Request报文）送给认证

服务器进行处理。

（4）RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表对

比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。

(5) 客户端程序收到由设备端传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对密码部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response

网络设备配置技术

一、 交换机、路由器的几种配置模式及模式转换

（1）用户模式：登录到交换机（路由器）时会自动进入用户模式，提示符为switchname>。在该模式下只能够查看相关信息，对IOS的运行不产生任何影响。

（2）特权模式：用户模式下，键入“enable”即可进入特权模式，提示符为switchname#。在该模式下可以完成任何操作，包括检查配置文件、重启交换机等，它是命令集在用户模式下的超集。

（3）全局配置模式：在特权模式下键入“config terminal”命令进入全局配置模式，提示符为“switchname（config）#”。

（4）局部(子)配置模式：在全局模式下键入特定配置命令（如interface ethernet0/1 等），即可进入以太网端口等局部配置模式，提示符为“switchname（config-xx）”。该模式用于单独对组件、端口、进程等进行配置。

图1 几种配置模式的相互转换

二、 基本配置 （1） 口令与主机名 在全局配置模式下：

hostname hostname :设置设备名称

usernaeme username password password : 设置访问用户及密码（明文）

passw