无线802.1x认证过程

客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址：01-80-C2-00-00-03。

设备端收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求

用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地址，

客户端程序响应设备端发出的请求，将用户名信息通过数据帧（EAP-Response/Identity

报文）发送给设备端

设备端将客户端发送的数据帧经过封包处理后（RADIUS Access-Request报文）送给认证

服务器进行处理。

（4）RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表对

比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。

(5) 客户端程序收到由设备端传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对密码部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response

升级步骤：

1、 停用需要安装新版本的上的交换机的802.1X认证协议，进入到交换机全局配置模式下，undo dot1x即可。 全局配置模式下： undo dot1x

2、 交换机上的802.1X认证停用后就可以安装新的代理程序（安装时自动卸载6.2的客户端）。

3、 删除交换机上老的认证IP地址，添加新的认证IP地址。命令如下： 全局模式下：

radius scheme system

undo primary authentication undo primary accounting

primary authentication 172.16.10.5 1812 primary accounting 172.16.10.5 1813

4、 开启策略的802.1X认证（已开启）。

5、 开启交换机上的802.1X认证，命令如下： 全局配置模式下：

domain default enable system dot1x

dot1x authentication-method eap 6、 代理自动认证，上网成功；

配置详细命令如下：

H3C交换机进行相关配置，常用的命令如下： //设置交换机ip system-view

interfac

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

华中科技大学

硕士学位论文

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

姓名：周晓

申请学位级别：硕士

专业：通信与信息系统

指导教师：王芙蓉

20060428

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

摘要

随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了防火墙、访问控制等各种网络安全技术的蓬勃发展。出于网络安全和计费的需要，基于端口控制的802.1X技术成为主流的身份验证机制，与此同时，以“集中式管理、分布式防护”为理念的分布式防火墙也以有效的端点防护成为企业网络安全重要解决方案。如今，有70%以上的安全威胁来自于企业内部，那些通过身份认证的主机往往有意无意地充当着攻击源，使得管理员防不胜防。企业希望能够以基于身份验证和主机安全状态的新型信任模式来控制终端接入内网。论文主要针对802.1X认证技术和分布式防火墙技术协同工作开展深入研究，并给出一种具体的解决方案。

首先，对802.1X协议及相关的EAP协议和RADIUS协议进行系统的研究。通过分析802.1X技术所采用的安全技术和工作原理，实现802.1X的从基于端口到基于用户的扩展。分析整理

Secospace系统802.1X认证配置指导书

华为技术有限公司 Huawei Technologies Co., Ltd.

版权所有 侵权必究 All rights reserved

目 录

1.

802.1X认证简介 ...................................................................................................................1 1.1.1 概述 .............................................................................................................................1 1.1.2 基本原理 ......................................................................................................................2 1.1.3 与Secospace系统结合认证 .........

无线督导认证

考生状态：

共有试题 60 道

第1题 单选题(2分)

在无线工程中馈线入机房之前，应先做(2 )? 1) “进水弯” 2) “滴水弯” 3) “转弯”

第2题 单选题(2分)

在无线施工中室外接地铜排有专用的可靠通路引至地下接地网，线径要大于（1 ）mm2? 1) 50mm2 2) 60mm2 3) 70mm2 4) 80mm2 5) 90mm2

第3题 单选题(2分)

在无线施工中实际使用的（ 4）线的型号要与网络规划一致？ 1) 地线

2) -48V电源线 3) 馈线 4) 天线

第4题 单选题(2分)

在无线施工中室外接地铜排有专用的可靠通路引至（ 4）的接地网，线径要大于50mm2? 1) 机房 2) 机柜 3) 地面上 4) 地下

第5题 单选题(2分)

在无线工程中主馈线的布放要有整体规划，机柜正面与馈线入室方向平行或机柜背面正对馈线入室方向时一个扇区排成（ 1）行，每行的排放次序应一致? 1) 一行 2) 二行 3) 三行 4) 四行 5) 五行

第6题 单选题(2分)

在无线施工中固定安装（3 ）的抱杆必须接地?

1) 避雷器 2) 信号电缆 3) 天线 4) GPS

第7题 单

无线督导认证

考生状态：

共有试题 60 道

第1题 单选题(2分)

在无线工程中馈线入机房之前，应先做(2 )? 1) “进水弯” 2) “滴水弯” 3) “转弯”

第2题 单选题(2分)

在无线施工中室外接地铜排有专用的可靠通路引至地下接地网，线径要大于（1 ）mm2? 1) 50mm2 2) 60mm2 3) 70mm2 4) 80mm2 5) 90mm2

第3题 单选题(2分)

在无线施工中实际使用的（ 4）线的型号要与网络规划一致？ 1) 地线

2) -48V电源线 3) 馈线 4) 天线

第4题 单选题(2分)

在无线施工中室外接地铜排有专用的可靠通路引至（ 4）的接地网，线径要大于50mm2? 1) 机房 2) 机柜 3) 地面上 4) 地下

第5题 单选题(2分)

在无线工程中主馈线的布放要有整体规划，机柜正面与馈线入室方向平行或机柜背面正对馈线入室方向时一个扇区排成（ 1）行，每行的排放次序应一致? 1) 一行 2) 二行 3) 三行 4) 四行 5) 五行

第6题 单选题(2分)

在无线施工中固定安装（3 ）的抱杆必须接地?

1) 避雷器 2) 信号电缆 3) 天线 4) GPS

第7题 单

无线督导认证

考生状态：

共有试题 60 道

第1题 单选题(2分)

在无线工程中馈线入机房之前，应先做(2 )? 1) “进水弯” 2) “滴水弯” 3) “转弯”

第2题 单选题(2分)

在无线施工中室外接地铜排有专用的可靠通路引至地下接地网，线径要大于（1 ）mm2? 1) 50mm2 2) 60mm2 3) 70mm2 4) 80mm2 5) 90mm2

第3题 单选题(2分)

在无线施工中实际使用的（ 4）线的型号要与网络规划一致？ 1) 地线

2) -48V电源线 3) 馈线 4) 天线

第4题 单选题(2分)

在无线施工中室外接地铜排有专用的可靠通路引至（ 4）的接地网，线径要大于50mm2? 1) 机房 2) 机柜 3) 地面上 4) 地下

第5题 单选题(2分)

在无线工程中主馈线的布放要有整体规划，机柜正面与馈线入室方向平行或机柜背面正对馈线入室方向时一个扇区排成（ 1）行，每行的排放次序应一致? 1) 一行 2) 二行 3) 三行 4) 四行 5) 五行

第6题 单选题(2分)

在无线施工中固定安装（3 ）的抱杆必须接地?

1) 避雷器 2) 信号电缆 3) 天线 4) GPS

第7题 单

所属 篇

课程名称

课件类 别

大纲要求

备注说明

《移动通信基本原理》

《CDMA2000 1X网络无线技术》

技术原 《CDMA2000 EVDO rev.A网络无线技术》 理篇

要求掌握： 1、无线电波传播基本理论 2、移动通信的发展简史 3、CDMA的特点及基本原理 正式教材 4、CDMA频段的划分 5、CDMA网络基本架构 6、编号计划 7、常用名称解释 要求掌握： 1、CDMA2000 1X网络概述 2、CDMA2000 1X网络原理 正式教材 3、CDMA2000 1X网络无线信道结构与调制技术 4、CDMA2000 1X网络关键技术 5、CDMA2000 1X网络信令流程 要求掌握： 1、CDMA2000 EVDO rev.A网络概述 2、CDMA2000 EVDO rev.A网络原理 正式教材 3、CDMA2000 EVDO rev.A网络无线信道结构与调制技术 4、CDMA2000 EVDO rev.A网络关键技术 5、CDMA2000 EVDO rev.A网络信令流程 要求掌握： 1、CDMA网络无线接口协议概述 正式教材 2、无线空中接口部分 3、A接口部分 4、Abis接口部分 要求掌握： 1、CDMA20001X网络无线参数介绍