簡介
傳統的乙太網具有開放的特性,用戶只要連線到網橋上,就可以通過網橋進入任何網路服務。IEEE802.1x標準在IEEE 802網路結構的基礎上,定義了一種基於工作站/伺服器模式的輸入控制機制和認證協定,約束網路服務只向那些允許進行訪問的用戶提供,克服傳統網橋的安全性弱點。該認證機制可以使用在包括IEEE 802.1D網橋,IEEE 802.11無線網路等典型網路類型中。
角色說明
角色分類我們可以用右圖來說明IEEE802.1x典型套用的角色分類: 圖中可以看到懇請者、認證者、認證伺服器三個角色。下面分別對這三個角色的職責、基本工作原理以及推薦使用的軟體等進行詳細說明。
1.1 懇請者
懇請者即IEEE802.1x標準描述中的Supplicant,是最終用戶所扮演的角色。它請求對網路服務的訪問,並對認證者的協定請求報文進行應答。懇請者必須運行符合IEEE 802.1x客戶端標準的軟體,目前最典型的就是Windows XP作業系統自帶的IEEE802.1x客戶端支持,另外,中興通訊公司推出的ZTE Supplicant軟體也符合該客戶端標準。
1.2 伺服器
認證伺服器是最終用戶的認證服務的實際提供者。它認證用戶的身份並將認證結果通知認證者。伺服器必須是支持擴展EAP(Extensible Authentication Protocol)協定的RADIUS(Remote Authentication Dial-In User Service)安全系統。典型的伺服器軟體如Windows 2000 Server作業系統自帶的IAS服務(Internet Authentication Service)。
1.3 認證者
認證者控制懇請者對網路服務的訪問。它實際在認證過程中只是一個認證信息交換的途徑,負責與懇請者通信,將懇請者的認證請求發往認證伺服器,而後根據認證伺服器的指示執行對懇請者的授權。認證者一般為交換機等接入控制設備。此時交換機除了支持IEEE802.1x規定的Authenticator標準,還必須支持RADIUS Client。懇請者和認證者之間通過EAPOL協定交換信息,而認證者和認證伺服器通過RADIUS協定交換信息。當收到懇請者發來的EAP的報文,如果要往認證伺服器轉發,認證者就將其中的報文實體封裝到RADIUS報文中,即轉換成認證伺服器認識的報文,而後再轉發給伺服器。同樣,認證者收到認證伺服器發來的要往懇請者轉發的RADIUS報文時,也要將其轉換成懇請者認識的EAP報文再轉發給懇請者。通過這種轉換,保證了認證過程的正常執行。中興通訊公司的交換機完全符合IEEE802.1x標準對認證者系統的要求,為用戶提供了完善的IEEE802.1x安全認證解決方案。
認證過程
工作過程觸發認證過程可以有兩種可能。其一,當交換機剛上電,或者交換機探測到連線埠狀態從未連線改變為已連線時,交換機將傳送一個EAP-request/identity報文給客戶端,請求回應,此時客戶端應回送一個EAP-response/identity報文以表示可以開始後續的認證過程。其二,如果用戶的PC上電後沒有收到交換機發來的EAP-request/identity,則用戶可以從懇請者客戶端程式傳送一個EAPOL-STAR報文,交換機收到這個報文後,將按照上述從交換機發起的過程,傳送一個EAP-request/identity報文給客戶端,客戶端再回送一個EAP-response/identity報文,開始後續的認證過程。 在客戶端傳送了EAP-response/identity報文後,交換機就開始其認證信息交換途徑的功能,為客戶端和認證伺服器轉發認證報文。如果認證成功,交換機將允許該用戶使用網路,否則,用戶將無法正常使用全部網路服務。另外,交換機還可以根據逾時時間設定,定時要求認證重新進行,以保證用戶實時性。用戶如果需要退出認證狀態,可以傳送一個EAPOL-Logoff報文通知交換機,交換機收到此報文後,將自動將此用戶從認證狀態中退出。
一個典型的認證過程中的報文互動如右圖所示。
參數設定
設定說明
參數設定1. 在網路連線對話框裡點擊“設定”,彈出設定參數對話框,如右圖所示。
2. 用戶參數設定包括:
Authentication timeout:用戶發出用戶名和密碼的確認信息,等待認證者回響認證是否成功的時間。
Held timeout:認證沒有得到回響或認證失敗後,需要重新發出認證的等待時間。
Start timeout:發出認證請求後,等待認證者回響的時間。
Number of Start attempts:認證請求回響之前,請求認證的最多次數。
3. 認證觸發方式包括以下幾種方式:
不選擇啟用私有認證,則使用標準的組播認證地址。
選擇啟用私有認證,而沒有在認證地址框中輸入認證地址,則使用ZTE中興的私有組播認證地址。
選擇啟用私有認證,而同時在認證地址框中輸入12位MAC組播地址,則使用自定義的組播認證地址。
提示
協定設定參數應根據網路環境進行設定,參數值不宜設定過小。
啟用私有地址的目的:如果PC通過其他的HUB或交換機再連線到認證的交換機,而其他的HUB或交換機不支持標準組播的透傳時使用。
啟動程式
啟動
啟動啟動ZTE Supplicant程式,網路連線對話框提供認證授權的用戶名以及用戶密碼輸入,您可以選擇保存用戶名和密碼以便程式再次運行時使用已保存的用戶信息進行認證,如右圖所示。
提示
1. 用戶名不超過20位,而密碼不能超過20位。
2. 勾選“開機自動運行”表示下次開機時將會自動啟動ZTE Supplicant,顯示出啟動的主視窗。
3. 網卡選擇下拉框顯示系統中所有可以連線的網路設備,需要您在下拉框中選定認證的網路設備。
4. 點擊“設定”按鍵,在設定對話框裡可以設定詳細的網路信息。
5. 有關的信息設定後,點擊“連線”按鍵,程式開始認證的過程。在認證的過程中,可能需要您對用戶名和密碼進行確認。您可以通過連線信息和連線圖示看出認證成功與否。
6. 點擊“退出”按鍵,不進行任何認證而退出程式。
用戶注意
WinXP作業系統用戶注意:
WinXP在使用802.1x認證
客戶端軟體時,
請在網卡屬性中的
“身份認證”對話框中,
禁止使用IEEE802.1x的
網路訪問控制,
如左圖所示。
Win2K作業系統用戶注意:
Win2K在使用802.1x認證客戶端軟體時,
請在網卡屬性中的“身份認證”對話框中,
禁止使用IEEE802.1x的網路訪問控制,
如右圖所示。
win7,vista用戶注意:
安裝後要記得關掉用戶帳戶控制(uac),然後重啟。
若沒關掉就重啟,運行客戶端時系統會提示無網卡。
win7用戶只要以管理員身份運行即可(不用關閉UAC,這樣很不安全)。安裝後需重啟計算機。
認證
請求認證
認證1. 相關的用戶名、密碼等配置信息設定完後,在網路連線對話框中按“連線”按鍵發出認證請求。您可以在連線狀態顯示框或顯示圖示中看出網卡連線是否正常、與認證者是否建立連線、認證是否成功等信息。還可以查看當前網路的詳細信息,如右圖所示。
2. 在連線狀態顯示框中,如果您點擊“下線”按鍵,懇請者將向認證者發出關閉認證信息,將把該登入用戶置於未認證狀態。
2. 勾選“開機自動運行”表示下次開機時將會自動啟動ZTE Supplicant,顯示出啟動的主視窗。
認證問題
違反策略在認證軟體運行過程中,如運行違反伺服器防代理策略的軟體或設定,則會彈出訊息框,有
"本機啟動了代理服務,和伺服器的要求不符"
"本機有多個網卡,和伺服器的要求不符"
"本機有多個IP位址,和伺服器的要求不符"
"本機修改公網IP位址,和伺服器的要求不符"
"本機使用的TCP連線數過多,和伺服器的要求不符"
"本機使用的UDP連線埠數過多,和伺服器的要求不符"
"本機啟動了Windows ICS服務,和伺服器的要求不符"
類似的信息出現,表示了衝突的原因,並直接將客戶端退出。如啟動代理服務軟體CCProxy等,則出現如右圖所示情況。
關閉認證
允許您隨時關閉認證。您可以在連線狀態顯示框中點擊“下線”按鍵向認證者發出關閉認證的命令,認證者將把該登入用戶置於未認證用戶。
退出程式
在網路連線對話框裡點擊“退出”或在系統列程式圖示右鍵選單中選擇“退出”,程式將必然關閉認證後退出程式。
提示:
如果登入用戶已成功認證,系統異常關機造成認證者未收到關閉認證的請求,因此在一定的時間內,登入用戶還處於已授權認證狀態。
著作權
著作權所有(C) Copyright 2005 ZTE CORPORATION。保留所有權利。
下載地址
這不讓貼URL,如有人需要就到281754179的百度空間吧,他那有提供下載地址。
用戶評價
評分:1.4 (滿分10分)。
500人投票
11% 好用
5% 一般
84% 差勁
用戶評價列表:
校刊
學校校園網必須裝的軟體,不然連不起網,悲哀,我們學校太黑了,居然和網通、電信合作搞壟斷,每年給電信給一筆錢,我們就是想安電信的寬頻都不行,只能用網通的破校園網,鄙視壟斷行業,網速垃圾的要死
超音ICQ
每天的掉線時期我就會想起來這點一下,
不錯的提醒,的確是個好軟體。
¥豬公¥回復超音ICQ
說得太對了...
哪位同志突然卡機或者當機了...
請別著急...
如果裝了這個lz..
記得來點下喔!
包你一點就沒事 ...
頂你中興
世上存在最垃圾的軟體,只要你安裝了,機子完全沒有性能可言
超音ICQ
托它的福,我沒事幹了,只好在無聊中又來這給個差評^-^!!!
老炎123
很爛的一款軟體。按了覺對後悔。哎,我是沒辦法學校必須安著個才能聯網,要不打死我也不會用著垃圾.
wuudzz
史上最不穩定,最無語,最欠扁的軟體。由中興出品,散花……
超音ICQ
標準的垃圾軟體,如果不是沒軟體用,我絕不會用這垃圾。說起來我就火大。
評價引自:360軟體百科。
