一号多机 校园网 802.1 x

用交换机可以实现了,我们宿舍就是这样用的!

步骤:

1一个二层交换机

2把从你们学校分得的端口接到交换机上

3其他机器都直接连接到交换机上

4在其中的一台机器上装上8021x客户端,并认证,称这台机器为服务器server

5在server机器上装上一个代理上网的软件sygate ( 软件自己上网找,有破解版本),设置一下!

具体如下:

软件安装破解后,打开软件

选择高级工具菜单--->配置--->单一网卡模式

再设置一个内部使用的网段 如192168401

室友的机器要配置在这个网段内

如其中的一台机器这样配置:

ip:192168405

mask:2552552550

gateway:192168401

dns:要和你server分配的dns用一个IP

其他兄弟就能上了!这样每个月省了不少的网费哦!

QQ:450536609

祝你好运!

sygate参考资料介绍:http://baikebaiducom/view/600078htm

http://wwwsoft999com/asp/showstudyaspid=141

http://wwwdlinkbbscom/thread-27136-1-1html

1 技术背景介绍

11 Windows域

Windows域是一种应用层的用户及权限集中管理技术。当用户通过Windows系列操作系统的登录界面成功登录Windows域后，就可以充分使用域内的各种共享资源，同时接受Windows域对用户访问权限的管理与控制。目前，很多企业、机构和学校都使用域来管理网络资源，用于控制不同身份的用户对网络应用及共享信息的使用权限。

12 8021x

8021x是一种网络接入层的用户访问控制和认证技术，可以限制未经授权的用户访问企业局域网络。在用户认证通过之前，8021x协议只允许认证报文通过以太网端口；认证通过以后，正常的数据报文才可以顺利地通过以太网端口。8021x技术在以太网络环境中提供了一种灵活的、认证和业务分离的网络接入控制手段。

13 Windows域和8021x统一认证面临的难题

随着企业信息化进程的深入推进，很多企业已经建立了基于Windows域的信息管理系统，通过Windows域管理用户访问权限和应用执行权限。然而，基于Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，任何用户均可随意接入企业网络，就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，企业网络的管理者希望借助8021x认证实现对网络接入用户的身份识别和权限控制。

但是，将8021x接入认证与域认证结合以加强网络安全的方案在具体的实施过程中却遇到了棘手的问题：

问题一：Windows域登录认证要求用户必须首先接入网络，建立用户与域控制器间的网络连接，然后才可以登录并进入桌面。而一般的8021x认证需要用户首先进入桌面，然后才可以进行网络接入认证、建立网络连接。两种认证之间的时序依赖关系产生了尖锐的矛盾，导致使用8021x进行网络接入认证的用户无法登录到Windows域。

问题二：Windows域与8021x认证服务器各自拥有专用的用户身份识别和权限控制信息，造成用户接入网络和登录Windows域时需要使用两套用户名和密码，给用户的使用带来不少操作上的麻烦。

如何解决目前Windows域登录与8021x认证之间存在的尖锐矛盾，统一企业网中8021x接入认证与Windows域认证，全面简化用户操作，实现网络接入与Windows域的单点一次性统一认证登录，是目前许多企业网用户迫切需要解决的问题。

2 解决方案介绍

通过对8021x认证流程和Windows域登录流程的深入研究，杭州华三通信技术有限公司提出了Windows 域与8021x统一认证解决方案，平滑地解决了两种认证流程之间的矛盾，成功实现了单点认证功能，极大的简化了客户的认证操作流程，避免了用户二次认证的烦琐。是认证技术领域内的一次技术突破。该解决方案的关键在于两个“同步”过程：

1、 同步Windows域登录与8021x认证流程——H3C公司的CAMS综合访问管理服务器系统与iNode客户端配合实现认证流程的同步。

2、 同步Windows域用户与8021x接入用户的身份信息（用户名、密码）——CAMS综合访问管理服务器通过LDAP接口实现用户信息的同步。

Windows域与8021x单点统一认证的流程如下：

1 8021x接入认证阶段

1) 安装有H3C iNode智能客户端的用户终端开机后进入普通的域登录界面

2) 用户按一般的域登录流程输入用户名、密码和域名，点击登录按钮

3) iNode智能客户端截获Windows域登录请求，使用域登录输入的用户名、密码同步发起8021x认证

4) 8021x认证请求通过交换机转发到CAMS综合访问管理服务器服务器，进行8021x接入身份认证

2 认证转发阶段

1) CAMS将用户认证请求通过LDAP接口转发到Windows域控制器，进行Windows域用户名、密码验证

2) 通过Windows域控制器的身份认证后，再由CAMS向用户终端授权网络访问权限

3 域认证阶段

1) 认证通过并获得网络访问权限的用户终端通过iNode客户端的控制，继续进行域登录认证

2) Windows操作系统继续完成普通的域登录流程，获取应用资源访问权限

通过以上的统一认证流程，用户只需按照正常的域登录操作，即可同时完成8021x接入认证和Windows域登录认证，达到了统一认证和单点登录的目的。

3 实际组网应用

在实际的组网应用中，必须通过H3C iNode智能客户端和CAMS综合访问管理服务器的配合才能完成Windows域与8021x统一认证的实施，将8021x认证无缝的集成到用户现有的网络体系当中，在不改造现有网络应用环境的前提下，轻松实现Windows域和8021x的单点统一认证功能。

实施Windows 域与8021x统一认证，只需在CAMS系统中进行以下简单操作：

1、 安装CAMS服务器平台、LAN接入和LDAP组件——由于Windows域控制器使用微软的Active Directory（Active Directory是微软管理Windows域的一种LDAP服务器）管理用户及权限信息，只有安装LDAP组件，CAMS系统才能实现与Windows域同步用户信息；

2、 在LDAP服务器管理界面中配置域控制器信息；

3、 将Windows域用户信息同步至CAMS服务器——使用LDAP用户导出功能，将Windows域用户的信息导出到文件，然后使用CAMS系统的用户信息批量导入功能将Windows域用户信息加入到CAMS系统中；

4、 在用户终端安装H3C iNode智能客户端；

5、 按一般的8021x认证的要求配置接入交换机。

4 实施效果

在应用H3C 的Windows域与8021x单点统一认证解决方案后，企业网络应用的安全性和可管理性将极大增强：

1、增强了网络接入的安全性，有效杜绝非法用户接入，实现对非法用户的物理隔离。

2、增强了Windows域的安全性，用户必须通过8021x认证才能访问并登录到Windows域中，提高了域内应用资源的安全性。

3、解决了Windows域登录与8021x不能兼容的矛盾。

4、透明的统一认证流程，与通常的域认证过程完全一致，无需额外培训。

5、实现了网络接入与Windows域的单点登录，方便用户的使用与操作，减少用户同时记忆两套用户名与密码的烦琐。

6、实现用户密码的统一、集中维护（由域控制器维护），提高了用户密码保护的安全性。

5 结论

H3C公司的Windows域与8021x统一认证技术，是安全认证技术领域内的一次新突破，解决了企业复杂IT环境中的多层次安全认证的统一问题。Windows域与8021x统一认证技术是H3C CAMS综合访问管理服务器众多领先技术中的一项，CAMS将持续秉承“客户第一”的设计理念，“想客户之所想，做客户之所需”，凭借对企业IT应用的深入理解，为企业打造稳定、安全的可信IT应用环境。

8021x是在接入交换机做接入控制的，网络基础就有讲过，所有的接入，认证操作最好的方式是在接入层做的，而8021X更是如此，一般基于接入交换机的端口或逻辑端口，结合MAC等数据做认证。

过程如下：8021X客户端发认证信息给接入交换机------》接入交换机收到信息以后，要求8021X客户端提供用户名密码等信息，-----》接入交换机收到此信息以后，发送到接入认证服务器，服务器查找你的用户名密码，通过以后，把信息反馈给接入交换机，接入交换机就会打开端口，并通知8021X客户端认证通过，即可上网。

8021x协议起源于80211协议，后者是IEEE的无线局域网协议， 制订8021x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LANS witch) ，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必 要对端口加以控制以实现用户级的接入控制，802lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。

IEEE 8021X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。

8201X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 8021X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。 整个8021x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。

一下分别介绍三者的具体内容:

请求者系统

请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持8021x认证的用户终端设备，用户通过启动客户端软件发起8021x认证，后文的认证请求者和客户端二者表达相同含义。

认证系统

认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802 1x协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以 是逻辑端口，一般在用户接入设备 (如LAN Switch和AP) 上实现8021x认证。文的认证系统、认证点和接入设备三者表达相同含义。

认证服务器系统

认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。

请求者和认证系统之间运行8021x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。

认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

整个8021x的认证过程可以描述如下

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始8021x认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备

(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证

(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;

(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。