《毕业设计答辩PPT.ppt》由会员分享,可在线阅读,更多相关《毕业设计答辩PPT.ppt(24页珍藏版)》请在三一办公上搜索。
1、毕业设计答辩,专业:计算机科学与技术801 姓名:邢成学号:08030068指导老师:胡朋,题目:基于校园网的802.1X认证的分析和Radius服务器构建,目录,研究目的及研究任务,三种接入认证技术的浅析,IEEE 802.1X认证技术,具体实例设计,致谢,总结,研究目的将8021X设计到现有的校园网认证管理方案中去,实现对局域网内用户接入认证、访问授权、安全鉴别等服务,使内网管理系统具有更强的终端安全管理的功能。研究任务分析目前校园网传统身份认证方式(PPOE和WEB/PORTAL)的弊端。IEEE802.1X认证原理分析,给出测试配置模型。最后设计校园网络基于IEEE802.1X认证的可
2、行方案。,研究目的及研究任务,接入认证简介对用户的认证管理(即通常所说的AAA)包含3个方面,即认证(Authentication)、授权(Authorization)和计费(Accounting)。Authentication是指验证用户对网络的访问权限;Authorization是授权用户可以使用的服务;Accounting是记录用户使用网络资源的情况,包括收发字节数、收发数据包数、上网时长等。,三种接入认证的浅析,PPPoE认证PPPoE(PPP over Ethernet)是一种在以太网上进行PPP点对点拨号连接的协议。PPPoE是一种灵活的ADSL接入方式。,ADSL应用最广的桥接接
3、入,三种接入认证的浅析,WEB认证WEB认证最初是一种业务类型的认证,通过启动一个WEB页面,输入用户名、密码,实现用户认证。WEB认证目前已经成为运营商网络平台的认证方式,通过WEB页面实现对用户是否有使用网络权限的认证。,三种接入认证的浅析,三种接入认证的浅析,802.1X认证802.1X是一种以太网的认证技术,是基于端口的接入控制,称为Port-Based Network Access Control。在认证过程中没有PPP的打包过程,没有IP地址的参与,无法穿越3层网络进行认证。,三种认证技术的比较,三种接入认证的浅析,IEEE 802.1x认证的优势IEEE 802.1x协议具有完备
4、的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。协议对认证方式和认证体系结构上进行了优化,解决了传统认证方式带来的问题,更加适合在宽带以太网中的使用。,IEEE 802.1X认证技术,IEEE 802.1x认证体系结构,IEEE 802.1X认证技术,IEEE802.1x认证过程图解,IEEE 802.1X认证技术,IEEE 802.1X认证技术,RADIUS认证机制,RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对 NAS 进行类似的认证;如
5、果合法,给 NAS 返回Access-Accept数据包,允许用户进行下一步工作,否则返回 Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应 Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。,具体实例设计,校园网的总体设计思想,进行对象研究和需求调查,明确系统建设的需求和条件;需求分析的基础上,确定系统建设的具体目标;确定网络拓朴结构和功能;确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;规划安排校园网建设的实施步骤。,
6、具体实例设计,Radius服务器架设实例操作,搭建环境:Linux 系统、mysql(建议)、freeradius-server(必须)、freeradius-client(可选)软件安装:进入linux 控制台,引导至root 管理模式;执行#yuminstall mysql-server;执行#yuminstall freeradius-mysql。,具体实例设计,配置Radius 服务器,1、进入控制台root 权限,配置mysql;2、freeradius 和mysql 的集成;3、修改freeradius 配置文件;1)编辑/etc/raddb/sql.conf;2)编辑/etc/r
7、addb/sites-enabled/default;3)编辑/etc/raddb/sites-enabled/inner-tunnel;4)编辑/etc/raddb/eap.conf;5)编辑/etc/raddb/clients.conf,加入授权client;6)编辑/etc/raddb/radiusd.conf。,具体实例设计,校园网拓扑图,具体实例设计,基于802.1x的校园网上的实现,802.1X认证和Redius服务器为主的缩略示意图,具体实例设计,这种解决方案的优势,在此解决方案中,采用了基于MAC地址的端口访问控制模式,所有的认证都是在接入层采用分布式认证。在接入交换机(EDS
8、-1624)上就做认证,网络安全效果最佳,既提高了认证效率,同时也减轻了上层交换机的负担,这将降低建网成本、降低认证服务器的性能要求。,具体实例设计,该解决方案的特点,解决了用户帐号和密码被盗的问题。解决了DHCP受攻击的问题。具有良好的可扩展性,管理方便。核心交换机可以作为学生宿舍子网的核心设备提供业务流分类、端口反查和自动准确关闭端口等功能,阻止病毒在内网的泛滥。,具体实例设计,radius-server host 192.168.11.10aaa authentication dot1xaaa accounting server 192.168.11.10aaa accountingin
9、terface fastEthernet 0/1dot1x port-control autointerface gigabitEthernet 1/1switchport mode trunk,interface vlan 100no shutdownip address 192.168.12.110 255.255.255.0dot1x client-probe enabledot1x probe-timer interval 10dot1x probe-temer alive 30no dot1x re-authenticationradius-server key jyuip defa
10、ult-gateway 192.168.12.1snmp-server community public ro,认证交换机上的主要配置:,具体实例设计,service dhcpip helper-address 192.168.11.5ip aceess-list extended deny_msblastdeny tcp any any eq 135deny tcp any any eq 136permit udp any host 192.168.11.5 eq bootpspermit udp any host 192.168.11.5 eq bootpcdeny ip any host
11、 192.168.11.5permit udp any host 192.168.11.1 eq 1813permit udp any host 192.168.11.1 eq 1812,deny ip any host 192.168.11.1permit ip any anyinterface GigabitEthernet 1/1speed 1000duplex fullswitchport trunk native valn 3ip access-group dent_msblast ininterface Vlan 1ip address 192.168.11.2 255.255.2
12、55.0ip route 0.0.0.0 0.0.0.0 Vlan 8 210.38.163.141 1 enabled,核心交换机上的主要配置:,总结,本次设计将802.1X认证技术应用到现有的校园网认证管理中,对比分析了目前校园网传统身份认证方式(PPOE和WEB/PORTAL)的弊端。IEEE802.1X认证原理分析,给出测试配置模型。设计出了基于IEEE802.1X认证的校园网认证的解决方案,完成了主要研究任务。IEEE 802.1x这项新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,校园网便不再是一道敞开的门,解决了现阶段所面
13、临的用户身份认证和应用终端的安全性问题,增强了网络安全性。802.1x本身也成为安全架构的一个重要部分,有助于消除来自校园网内部的安全威胁。通过对本课题的研究和设计,使我对在IEEE802.1X认证体系下网络的设计有了一个较为具体的理解。对接入认证体系的了解达到了入门级的程度。使我今后对接入认证技术的深入学习和研究提供了一个基础。同时提高了我对新知识的学习、掌握、提高的独立解决能力。,致谢,在设计的几个月里,我得到了胡朋老师的细心指导,胡老师的指导我及时的更改开题报告及论文里的错误,并且在理论的分析,设计过程中,老师多次指正,使自己从中受益少走了许多弯路,同时自己也从胡老师身上学到了很多的东西,无论是理论还是实践都使我的知识有很大的提高.借此我特提出感谢.,谢 谢!,恳请老师给予指正和批评,
