计算机网络技术专业毕业论文39503.doc

《计算机网络技术专业毕业论文39503.doc》由会员分享，可在线阅读，更多相关《计算机网络技术专业毕业论文39503.doc（26页珍藏版）》请在三一办公上搜索。

1、毕 业 论 文基于802.1X的高校校园网AAA认证设计与实现姓 名： 学 号： 指导老师： 系 名： 专 业： 计算机网络技术 班 级： 二0一 年 月 日摘要随着计算机网络技术的飞速发展，并成为信息技术的重要支柱。校园网也成为走向信息化时代发展的必然趋势，也可促使我国教育管理向智能化发展。而又面对具有群体的特殊性和复杂性的高校校园网，这让高校校园网入网认证和管理等方面都面临着较大的困难。在分析了高校校园网的入网认证、管理和安全方面等所面临的系列问题，对比了现有的各种不同的认证方式，阐述了802.1x在高校校园网入网认证方面具有的独特优势。通过验证，使用了基于802.1x的AAA认证模式设计

2、的高校校园网，在实施真实、安全和可信的网络接入和计费方式都有不少的优点，而且有效解决了高校校园网在网络上接入认证和安全、维护管理方面等遇到的系列问题。对高校校园网入网、认证、管理和维护都有良好的借鉴作用。关键词：校园网；802.1x；radius服务器；AAA认证AbstractAlong with the computer network technology rapid development, and become an important pillar of the information technology. The campus network has become a tren

3、d of the development trend of the times, also can make our country education management to the intelligent development. But faced with groups of the particularity and complexity of the campus network in Colleges and universities, which makes campus network access authentication and management aspect

4、s are facing greater difficulties. On the analysis of the campus network management and security of authentication, such as facing a series of problems, as compared with the existing various methods of authentication, elaborated 802.1x in campus network access authentication has unique advantages. T

5、hrough verification, used is based on the 802.1x AAA authentication mode design of campus network in colleges, in the implementation of true, safe and credible network access and accounting mode has many advantages, but also resolve the campus network in the network access authentication and securit

6、y, maintenance and a series of problems encountered. On the college campus network access, certification, management and maintenance of a good reference.Keywords: campus network;. 802.1X; Radius server;AAA authentication目 录引 言1第一章 高校校园网的现状21.1使用静态IP地址入网21.2校园网校内的开放和访问21.3校园网内基于MAC地址的身份认证21.4使用PPPOE拨

7、号认证访问31.5 802.1X的网络访问技术3第二章 802.1X协议的介绍42.1 基于以太网端口认证的802.1x协议的优势42.2 基于以太网端口认证的802.1x协议的特点42.3 802.1x的组成52.4 802.1x的扩展协议EAP的工作过程52.5基于802.1x的AAA认证过程6第三章 AAA的简介83.1 什么是AAA83.2 AAA的三种服务 93.3 AAA的优点93.4 AAA认证9第四章 RADIUS协议104.1 什么是RADIUS协议104.2 RADIUS协议简介104.3 RADIUS的历史104.4 RADIUS的基本工作原理114.5 RADIUS的基

8、本消息交互流程124.6 客户端/服务器模式 13第五章 实现基于802.1X校园网的AAA认证145.1设备选型145.2校园网中基于802.1x的设计与实现14总 结18参考文献19致谢20 引 言在校园网中有效的身份认证是能够实现校园网对有限资源的重分配，真实可靠的网络身份认证体系一方面能够让具有恶意行为的恶意者在做有害的行为之前有所顾忌，可杜绝对校园网的一些危害；另一方面也可以让校园网网络管理者在安全事件发生后能准确及时地找到肇事者，是在一定程度上防止具有恶意行为的事件的再次发生。系统在获取用户的帐号与密码等身份后，可以根据用户身份的不同，分配不同的资源使用权限，这样即避免网络资源的滥

9、用也可以使管理者不会造成管理混乱。而且高校校园网是高校信息化建设的基础，只有在一个安全可靠、性能良好和管理完善的校园网络，才能使高校的信息化建设顺利进行。经过多年的发展，大多数高校的校园网都已经规模化，不少校园网已延伸到学生宿舍或正在向学生宿舍延伸。学生宿舍上网的最大问题就是上网的认证方式和计费管理。第一章 高校校园网的现状随着国内和国外的网络安全事件在不断的升级和网络应用的普及，由于用户群密集且活跃，现代校园网的安全方面己成为大家所关注的大问题，管理者在管理也越来越复杂、困难。这种状况表现有：1) 校园网必须要求实现实名制入网，防止他人盗用，禁止发生各种带有恶意操作的行为；2) 校园网应该要

10、求能够有效地防止用户对其它入网用户、网络设备进行非法操作和欺骗攻击，如arp攻击和广播风暴；3) 校园网应该要求能够有效地防止某些非法授权，以防他人使用次身份或二次代理现象；4) 校园网应该要求入网认证本身对现有的网络带宽有较小的占用率，而内网用户应该不受限制地使用网络；5) 校园网要能够实现有线无线的一体化入网认证方式；6) 校园网的业务数据和管理数据的必须分开管理。现代高校校园网经过多年的发展，已经逐渐形成了许多有效的身份认证技术和管理系统技术。但由于政策和管理模式的各有不同，所采取的技术方案和管理制度也较为相同。1.1使用静态IP地址入网使用静态IP地址分配模式进行组网，往往是采用二级网

11、络模式，核心以下的都在一个vlan里面。主要是受制于学校的设备缺陷，其更新速度慢、设备参数较低、会使大量的IP地址出现盗用现象，如arp攻击猖獗、广播风暴明显，这样就会给用户和管理者带来诸多的不便。1.2校园网校内的开放和访问只在用户访问校外资源时进行认证，一般在校园网出口处安装认证网关设备。这种方法比较适合CERNET流量计费政策，但是无法防止用户通过代理访问外部资源，不能防止外来用户滥用校园网中的资源，对于校内发生的安全事件也无法追查和落地。1.3校园网内基于MAC地址的身份认证可在三层交换机上绑定用户的MAC地址，只有授权的主机才可以访问外网资源，可在用户数量较多的高校，有些用户还可能频

12、繁地修改mac地址，所以这种管理方式对于管理者来说有很大的难度。1.4使用PPPOE拨号认证访问由于PPPOE采用的是动态分配IP地址上网形式，所以用户拨号后无需手动配置IP地址、网关、域名等，它们都是自动生成，便不会存在有用户自行更改IP地址的问题，这样对用户管理比较方便。但存在的不足是PPPOE拨号认证会在包头和用户数据直接插入了PPPOE和PPP封装，这对一些特殊业务和网络利用率都有一定影响。1.5 802.1X的网络访问技术802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议， 制订802.1x协议之初的原因是为了解决无线网接入认证的问题。IEEE802协议定义的局域

13、网并不能够提供接入认证，用户只要接入了局域网的控制设备(如LANS witch) ，用户就可以访问局域网中的设备或资源。有线LAN在早期的企业网中的应用环境下，安全隐患并不明显。但是随着移动办公设备及驻地网运营等应用的大规模发展下，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。IEEE 802.1X是根据用户ID或设备，对网络客户端进行鉴权的标准。该流程被称为“端口

14、级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。802.1X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。第二章 802.1x协议的介绍2.1 基于以太网端口认证的802.1x协议的优势1IEEE802.1x协议是属于二层协议，不需要到达三层，并且对设备的整体性能

15、要求不是很高，可以有效的减少组网成本；2可借用EAP（扩展认证协议），为其提供良好的扩展性和适应性，并兼容传统的PPP认证架构体系；3802.1X的认证体系结构中采用了“受控端口”和“非控端口”的逻辑功能，可实现业务与认证的分离，由于对用户的认证与控制是RADIUS和交换机利用不可控的逻辑端口来共同完成的，所以业务报文直接承载着正常的二层报文上通过可控端口进行交换，而其通过认证后的数据包是无需封装的纯数据包；4.其进行后台认证系统降低部署的成本的使用，并且还有丰富的业务支持；5.可以使用映射不同的用户认证等级到不同的VLAN中；6.可以使交换端口和无线LAN都具有安全的认证接入功能。2.2 基

16、于以太网端口认证的802.1x协议的特点1.简洁高效：以纯以太网技术的内核，保持了使用IP地址网络连接特性，是不需要进行协议间的多层封装，使其减少了不必要的开销和冗余；也消除了网络认证计费瓶颈和单点故障，更便于支持多业务和新兴流媒体业务。 2.容易实现：可在普通L3、L2、IPDSLAM上实现，网络的综合造价成本低，传统AAA认证的网络架构也得了保留，这样便可以利用现有的RADIUS设备了。 3.安全可靠：在二层的网络上实现用户认证，结合了MAC地址、端口号、账户、VLAN和密码等；便成了安全性较高的绑定技术，在无线局域网网络环境中的802.1x结合EAPTLS，EAPTTLS,可以实现对WE

17、P证书密钥的动态分配，克服了无线局域网在接入中存在的安全漏洞。 4.行业标准：IEEE标准，和以太网标准同源，可以实现和以太网技术的无缝融合，几乎所有的主流数据设备厂商都在其设备上，包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软windows XP操作系统内置支持，Linux也提供了对该协议的支持。 5.应用灵活：可以灵活控制认证的颗粒度，用于对单个用户的连接、用户ID或者是对接入设备进行认证，认证的层次可以进行灵活的组合，可满足特定的接入技术或者是业务的需要。 6.易于运营：控制流和业务流的完全分离，易于多业务跨平台实现与运营，少量的改造传统包月制等单一收费制网络即可升

18、级成运营级网络了，而且网络的运营成本也有所降低。2.3 802.1x的组成IEEE802.1X定义了下列几个角色：请求者：它是连接到网络和请求其服务的设备，通常是终端站。它是最终用户所扮演的角色，一般是个人的PC机。它会请求对网络服务的访问，并对所有的认证者的请求报文进行应答。恳请者所使用的软件必须是符合IEEE 802.1X客户端的标准软件。认证者：认证者一般都是作为交换机等接入设备。该设备的职责是根据客户端当前的认证状态来控制其与网络的连接状态。该设备所扮演的是中介者的角色，从客户端要求使用用户名与密码，来核实从服务器端所接收到的认证信息，再转发给客户端。因此，设备扮演着两种角色，一是IE

19、EE802.1X的认证者的角色，二是扮演着RADIUS Client角色。该种设备有两种类型的端口：受控端口（controled Port）和非受控端口（uncontrolled Port）。而要访问网络资原的用户只有在连接到受控端口才可使其访问；如要让用户无须经过认证便可以直接访问网络资源便使其连接到非受控端口便可。验证服务器：它是负责向验证者提供申请验证服务的实体，RADIUS服务器一般都会作为认证服务器，认证过程中与认证者配合，为用户提供认证服务。认证服务器会保存用户的用户名和密码，以及相应的授权信息，一台服务器还可以对多台认证者提供认证服务，这样就可以实现对多用户的集中管理。认证服务器

20、还会负责管理从认证者所发来的记帐数据。在实际应用中者为工作站（client）、交换机（network access server）和RadiusServer。2.4 802.1x的扩展协议EAP的工作过程IEEE有一种自定义的封装模式，是允许EAP通过LAN传输数据，EAP over LAN (EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行，包括用户名口令、Kerberos、数字证书和一次性口令等服务。EAP数据包是在请求者和验证者之间的链路层上传输数据，并通过验证者与验证服务器之间的IP/RADIUS的连接。图2.1个角色之间的关系图.2EAP和EAPol工作过程EAP本身并不

21、为流量传输明确规定任何保护机制，相反，EAP内运行的验证协议（在RFC2284当中定义为验证类型）为安全操作提供了数据的机密性和完整性。2.5基于802.1x的AAA认证过程1) 客户端在开启认证后，即发送EAPOL-Start报文，则开始向802.1X认证接入；2) 在接入设备收到EAPOL-Start报文后，便会向所连接的客户端发送 EAP-Request/Identity报文，并要求客户端将用户的账号信息传送过来；3) 客户端在接收到数据后会回应一个EAP-Response/Identity给接入设备的请求，其中包括用户的账号信息；4) 接入设备会将接收到的EAP-Response/Id

22、entity数据报文封装到 RADIUS access-Request报文中，并发送给认证服务器；5) 认证服务器还会产生一个Challenge，通过接入设备RADIUS access -Challenge报文发送给客户端，其中有EAP-Request/MD5-Challenge；6) 接入设备会通过EAP-Request/MD5-Challenge发送给客户端，并会要求客户端进行认证；7) 客户端在收到EAP-Request/MD5-Challenge发送过来的报文后，则将密码和Challenge做MD5算法后的ChallengedPassword，在EAP-Request/MD5-Chal

23、lenge回应给接入设备；8) 接入设备将Challenge，ChallengedPassword和用户的用户名一起传送到RADIUS服务器，并由RADIUS服务器进行数据认证；9) RADIUS服务器会根据用户的相关信息，做MD5算法，判断用户是否合法，然后将回应认证成功失败报文到接入设备。如果成功，则携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束；10) 认证通过，则用户通过标准的DHCP协议（可以是DHCP Relay，通过所连的接入设备来获取合法的IP地址；11) 如果认证通过，接入设备则发起计费开始请求给RADIUS用户认证服务器；12) 用户认证服务器

24、会回应计费开始的请求报文。到此，用户上线认证完毕，并获得授权，则开始正常使用网络资原。第三章 AAA的简介3.1 什么是AAAAAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称，是网络安全的一种管理机制，它提供了认证、授权、计费三种安全功能。AAA一般采用的模式是客户机/服务器结构，客户端是运行于NAS（Network Access Server 网络接入服务器）上，服务器上则能集中管理用户信息。NAS对于用户来说是服务器，可对服务器来说则是客户端。AAA的基本组网结构如下图.图3.1 AAA的基本组网结构示意图在用户想要通过某网络

25、与NAS建立连接，从而获得访问其它网络的权利或取得某些网络资源的权利时，NAS就起到了验证用户或对应连接的作用。NAS会负责把用户的认证、授权、计费信息透传给服务器（RADIU服务器），RADIUS协议会规定NAS与服务器之间是如何传递用户信息。 图3.1的AAA基本组网结构中有两台服务器，用户可以根据实际组网需求来决定认证、授权、计费功能是分别由通过哪个的服务器来实现。例如，可以选择RADIUS server1来实现认证和授权，而RADIUS server2则用来实现计费。 3.2 AAA的三种服务 认证：是确认远端访问用户的身份，判断访问者是否为合法的网络用户； 授权：则是对不同用户赋予不

26、同的权限，和限制用户可以使用的服务。例如用户成功登录服务器后，管理员则可对授权用户分配权限，即可对服务器中的文件进行访问和打印等操作； 计费：则是记录用户在使用网络服务中的所有操作，包括使用的服务类型、起始时间和数据流量等，它不仅是一种计费手段，还能对网络安全起一定的监视作用。 当然，用户可以只使用AAA提供的一种或两种安全服务。例如，公司仅仅想让员工在访问某些特定资源的时候进行身份认证，那么网络管理员只需要对其配置认证服务器即可。但是如果希望对员工是否会访问网络资原的情况进行记录，那么则还需要配置计费服务器。总结上述所说，AAA是一种管理框架，它是提供了授权部分实体去访问特定的资源，同时还可

27、以记录这些实体操作行为的一种安全机制，因其具有良好的可扩展性，并且容易实现用户信息的集中管理从而被广泛的使用。 AAA可以通过多种协议来实现，目前设备支持基于RADIUS协议来实现AAA，在实际应用中，最常使用RADIUS协议3.3 AAA的优点 灵活易控 标准化的认证方式 多重备用系统3.4 AAA认证 对enablef进行认证：用户从用户状态转入到特权状态时，网络设备需要的一种安全论证方法。 对login进行认证：用户从未登录状态到用户登陆状态进行配置时需要进行的一种操作。 对ppp进行认证：链路建立阶段进行的认证，验证成功之后才会进入NCP（如IPCP、IPXCP、BCP）的协商过程。包

28、括chap和pap认证，chap认证是在整个通信过程进行，pap认证则是在PPP建立连接时进行。第四章 RADIUS协议4.1 什么是RADIUS协议图4.1 radius的认证过程RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。4.2 RADIUS协议简介 RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受来自没有授权的

29、网络用户访问的干扰，常常应用在既要有较高安全性、又允许可以用户远程访问的各种网络环境中。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，并规定UDP端口1812、1813分别作为认证、计费端口。 RADIUS最初只是针对用户拔号的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入的上网方式，如以太网接入、ADSL接入。它都通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。4.3 RADIUS的历史RADIUS协议是最初由Livingston公司提出来的，前期的目的是为让拨号用户进行认证和计费。后来经过多次改进，便形成了一项可以通用的认证

30、计费协议软件。 密执安大学创立于1855年，并且是的一家非营利公司，其业务是运行维护该校的网络互联MichNet。1987年，Merit在美国NSF（国家科学基金会）的招标中胜出，赢得了NSFnet（即Internet前身）的运营合同。因为NSFnet是基于IP的网络，而且又是MichNet却基于专有的网络协议，所以Merit面对着如何将MichNet的专有网络协议演变为IP协议的责任，同时也要把MichNet上的大量拨号业务以及其相关专有协议移植到IP网络上来。 1991年，Merit便决定招标拨号服务器供应商，几个月后，一家叫Livingston的公司提出了建议，冠名为RADIUS，然后便

31、为此获得了合同。 1992年秋天，IETF的NASREQ工作组便正式成立了,随之提交了RADIUS并作为了草案。很快，RADIUS成为事实上的网络接入标准，几乎同时所有的网络接入服务器厂商均实现了该协议运行。 1997年，RADIUS RFC2058发表，随后是RFC2138，于是乎最新的RADIUS RFC2865发表于2000年6月。 4.4 RADIUS的基本工作原理 由用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户的密码都是经过MD5进行加密的，并且双方是使用共享密钥，但是这个密钥是不经过网络传播；RA

32、DIUS服务器是对用户的用户名和密码进行合法性的检验，而且在必要时还可以提出一个Challenge，要求用户进一步进行用户认证，也可以对NAS进行类似的认证；如果用户合法，则给NAS返回Access-Accept数据包，允许用户可以进行下一步的认证工作，否则返回Access-Reject数据包，拒绝用户的访问；如果允许访问，则NAS向RADIUS服务器提出计费请求Account- Require，如果RADIUS服务器响应了Account-Accept，就开始对这个用户的计费，同时用户还可以对自己进行有关的操作。 并且RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他

33、RADIUS服务器的代理，负责转发RADIUS的认证和计费数据包。而所谓漫游功能，则就是代理的一个具体实现，这样可以让用户本身通过本来和其无关的RADIUS服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812是端口负责认证，而1813端口则是负责计费工作。采用UDP的 基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，而UDP的使用也更加快捷方便，而且UDP是无连接的，会减轻RADIUS的压力，也会更安全。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器

34、提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份的RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份的RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。4.5 RADIUS的基本消息交互流程 RADIUS服务器对用户的认证过程通常需要利用NAS等设备的代理认证功能，RADIUS客户端和RADIUS服务器之间是通过共享密钥认证相互间交互的消息，用户的密码采用了密文方式在网络上传输，这样便增强了安全性。RADIUS协议合并了认证和授权过程，即响应了报文中携带的授权信息。 基本交互步骤如下： 1. 用户输入用户名和

35、口令； 2. RADIUS客户端根据获取的用户名和口令，向RADIUS服务器发送认证请求包（access-request）。 3. RADIUS 服务器将该用户信息与users数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包(access-accept）发送给RADIUS客户端；如果认证失败，则返回access-reject响应包。 4. RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户，则RADIUS客户端向RADIUS服务器发送计费开始请求包（accounting-request），status-type 取值为start； 5. RADIUS 服

36、务器返回计费开始响应包（accounting-response）； 6. RADIUS客户端向RADIUS服务器发送计费停止请求包（accounting-request），status-type取值为stop； 7. RADIUS服务器返回计费结束响应包（accounting-response）。4.6 客户端/服务器模式 客户端：RADIUS客户端一般位于NAS设备上，这样便可以遍布整个网络，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器上返回的信息进行相应处理（如接受/拒绝用户接入）。 服务器：RADIUS服务器运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息

37、，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS服务器通常要维护三个数据库，如图4.2所示图4.2 RADIUS服务器的组成l “Users”:用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置信息）。 l “Clients”:用于存储RADIUS客户端的信息（如接入设备的共享密钥、IP地址等）。 l “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息第五章 实现基于802.1X校园网的AAA认证图5.1 基于802.1X校园网的AAA认证拓扑图5.1设备选型实施中存在接入设备支持方面的问题，使得在全校

38、范围内推广实施802.1X接入控制有一定的难度。表现在，校园网早期购买交换机品牌较多，有的交换机支持802.1X,有的交换机不支持；802.1X分基本功能与扩展功能两部分，许多802.1X控制功能是由其私有的扩展功能来实现的。不同厂家交换机的802.1X扩展部分的功能是不一样的，这样便给全校实施802.1X控制措施带来了困难。在实施工程中，我们选用了同一家的产品，对不同厂商的网络设备需要进行更换或改造。选择锐捷的RG-S3550-24系列交换机作为汇聚，RG-S2126系列交换机作为接入层设备。5.2校园网中基于802.1x的设计与实现1.基于802.1X的AAA认证配置实例相关命令:Swit

39、ch#configure terminalSwitch(config)#hostname Switch1Switch1(config)#int f 0/20Switch1(config-if)#no switchportSwitch1(config-ip)#ip add 192.168.100.2 255.255.255.0Switch1(config)#aaa authentication dot1xSwitch1(config)#endSwitch1#configure terminalSwitch1(config)#interface f 1/1Switch1(config-if)#do

40、t1x port-control autoSwitch1(config)#endSwitch1(config)# interface vlan 1Switch1(config-if)#ip address 192.168.10.254 255.255.255.0Switch1(config-if)#no shutdownSwitch1(config-if)#exit记帐服务:Switch1#configure terminalSwitch1(config)#aaa accounting server 192.168.10.1Switch1(config)#aaa accounting serv

41、er 192.168.10.2 backupSwitch1(config)#aaa accounting acc-port 1200Switch1(config)#aaa accountingSwitch1(config)#endSwitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1路由器配置Router1(config)#int f 0/0Router1(config-if)#ip add 192.168.100.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)

42、#exitRouter1(config)#int f 0/1Router1(config-if)#ip add 192.168.200.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2Router1(config)#ip route 192.168.300.0 255.255.255.0 192.168.200.2Router2(config)int f 0/0Router2(config-if)ip add 192.168

43、.200.2 255.255.255.0Router1(config-if)#no shutdownRouter2(config)int f 0/1Router2(config-if)ip add 192.168.300.1 255.255.255.0Router1(config-if)#no shutdownRouter2(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1第一步 添加帐号liuwei密码123组名lw图 5.2第二步 帐号添加成功图 5.3第三步 客户端用帐号liuwei密码123登录图 5.4第四步 连接成功图 5.5第五步 服务

44、器显示用户(liuwei)认证通过图 5.6总 结经过三年的学习我们己对交换机、路由器不再陌生，更是学了许多关于交换机与路由器方面的理论知识，但很少应用到实践中去，通过本次毕业设计了解了一些基于802.1X的AAA认证的设计与实现的配置方法，这便是对学习交换机与路由器知识的再次系统的学习，也是一次更加完整的学习。在完成毕业设计期间让我学到了很多实际应用的知识。知道如何将理论应用于实践，在这次配置基于802.1X的AAA认证的设计与实现之前我对学校网络情况做了一定的分析与考察,并询问了相关问题。这为以后我配置基于802.1X的AAA认证的设计与实现提供了有利的依据。让我在以后的设计中以建立网络教

45、学的上网认证为目标，从经济性、实用性、扩展性的原则来设计上网认证方式。整个认证方式基本做到量体设计，并且对以后在进行上网认证的再扩展也有较强的扩展性。通过此次配置基于802.1X的AAA认证的设计与实现，让我对交换机与路由器的配置有了更深的了解与体会，使我遇到了很多是基于802.1X的AAA认证的设计与实现深层次的问题。特别在交换机、路由器方面，我有了更加丰富的理论和实践经验。参考文献1 彭伟 使用802.1X实现校园网认证J.计算机应用,20032 王军 思科IOS网络安全全息教程 电子工业出版社,20033 高祥、周林 802.1X协议及其在宽带接入中的应用J.重庆邮电学院学报：自然科学版

46、,20044 张敬伟、周娅、周德新 RADIUS 在端口认证中的应用及其实现J.计算机应用,20045 吴伟斌 校园网AAA 系统设计与实现J.中国教育网络,20076 张国清、孙丽萍、崔升广 网络安全设备配置与调试项目实训 电子工业出版社,20087 丰艳 基于Radius协议的VOIP认证计费系统的设计与实现J.计算机工程与设计,20088 周鹏、李英、李志蜀 基于AAA机制的校园网安全计费管理系统设计J.天中学刊,20109 北京邮电大学 CCNA安全 人民邮电出版社,201110崔北亮 CCNA的学习与实验指南 电子工业出版社,2012致谢经过一个月紧张的努力，毕业设计已经接近尾声，但由于我的经验缺乏，在完成毕业设计过程中难免会遇到难题。但经过与老师和同学的交流，让我清楚明白的解决了问题。再此，我衷心的感谢在我设计过程中帮助过我的同学和老师。在我论文完成的过程中，曾东波老师给我