【TechTarget中国原创】本系列文章的{dy}部分《LAN 边缘交换机安全特性》中我们主要介绍了智能边缘交换机和如何更好地使用，以及如何过滤端口流量和使用交换机 ACL。在第二部分，我们将阐述如何使用边缘交换机实现网络访问认证。

　　边缘交换机是深度网络防御的一个重要部分，对于保护边缘节点不受其它节点影响尤为重要，同时它们能够降低网络内部安全设备的低端工作量，并且更专注于高级威胁。

　　在 LAN 数据设备中的智能边缘交换机上，在所有未使用的安全特性中，提升 LAN 安全最重要的一个可能是认证的网络访问。

　　在数据中心中，IT 能够xx控制谁可以接入网络以及谁可以与网络中的设备进行物理连接。但是在数据中心外部，情况就不是这样了。在 LAN 中，需要使用认证的网络访问。它可以保证用户连接交换机时需要提供认证信息，才能实现与网络的其它设备进行通信。

　　基于交换机的网络访问认证是如何工作的？

【TechTarget中国原创】本系列文章的{dy}部分中我们主要介绍了智能边缘交换机和如何更好地使用，以及如何过滤端口流量和使用交换机 ACL。在第二部分，我们将阐述如何使用边缘交换机实现网络访问认证。

　　边缘交换机是深度网络防御的一个重要部分，对于保护边缘节点不受其它节点影响尤为重要，同时它们能够降低网络内部安全设备的低端工作量，并且更专注于高级威胁。

　　在 LAN 数据设备中的智能边缘交换机上，在所有未使用的安全特性中，提升 LAN 安全最重要的一个可能是认证的网络访问。

　　在数据中心中，IT 能够xx控制谁可以接入网络以及谁可以与网络中的设备进行物理连接。但是在数据中心外部，情况就不是这样了。在 LAN 中，需要使用认证的网络访问。它可以保证用户连接交换机时需要提供认证信息，才能实现与网络的其它设备进行通信。

　　基于交换机的网络访问认证是如何工作的？

　　IEEE 802.1X 标准管理着认证的访问，而有线和无线网络在实现连接时要求进行 802.1X 认证。这个标准定义了三种实体之间的流量：请求者、认证器和认证服务器。

　　请求者是尝试通过认证器 —— 交换机或接入端实现连接的设计机（或其它设备）。它们使用 Extensible Access Protocol (EAP) 进行通信。交换机或接入端使用 Remote Authentication Dial-In User Service (RADIUS) 协议来将身份信息发送到认证服务器（AS），然后服务器检查这些认证信息，之后返回一个成功或失败消息，即接受或拒绝这个请求者。

　　选择正确的 RADIUS 服务器并在其中配置 802.1X 和 EAP

　　为了实现认证网络访问，网络需要一个支持 EAP 的 RADIUS 服务器。在一台 Windows 服务器上启用 Network Policy Server（Internet Authentication Service，先于 Windows 2008）以便在一个 Windows 域中提供服务。除此之外还有提供许多其它的 RADIUS 服务器的网络供应商，包括Alcatel-Lucent、Cisco 和 Juniper。Freeware 也同样是适用的。长期可管理性的关键是保证 RADIUS 服务连接到您的域认证服务（可以是 Active Directory、Lightweight Directory Access Protocol，等等），并且维护一致的认证信息。

　　为了实现 RADIUS 服务器支持 802.1X，管理必须创建一个密钥并获得数字证书。（这可能已经在一些其它安全设备的支持中实现了，如 VPN 集线器。）任何 OpenSSL 客户端或者 Windows IIS 服务器都能够请求一个正确设置的证书。大多数安全的系统使用 EAP-TTLS 或 PEAP，这样，在客户端主机上也需要证书，但这是可选的。EAP-TTLS 并不强制要求在客户端上安装证书。

　　同时，请求者必须支持 EAP 和妥善处理从不可信状态（黑洞 VLAN 和地址）到可信状态（可用的 IP 地址和 VLAN）的传输。有一些较老的桌面操作系统并不支持这一点，但是只要使用 Windows XP (SP1) 就足够了。

　　启用 LAN 交换机安全

　　下一步是在交换机上启用安全性。启用的方法根据交换机供应商的不同而有所差别，但是它们应该都类似于这些（来替换实际的 IP 地址）：

　　它们的作用是：

　　配置交换应该连接的 RADIUS 服务器。

　　配置交换机使用支持 802.1X 的 RADIUS 认证。

　　在交换机上打开 802.1X。

　　配置交换机通过 g2 到 g28 的端口发送 802.1X 请求。

　　这里可能还有许多不同的情况；例如，有人可能希望用一个不需要认证的 VLAN，但是只允许访问 Internet，而不允许访问其余企业 LAN。

　　为特定的用户组指定网络访问认证

　　选择是否使用网络认证，以及与未认证访问请求的关系，都是由用户数量的仔细衡量而决定的，而且也可以允许特定的用户组或场景。一个组织可能希望将移动网络、临时 Internet 访问无限制地开放给诸如咨询公司或专业服务人员，但是却禁止数据中心访问。同一个组织可能还希望对接入常规办公网络接口的用户的任何访问要求认证，这样能保证只有公司员工才能进行这些访问。

　　随着交换机、RADIUS 服务器和相关的 VLAN 越来越多，维护标准的“黄金”交换机配置，以及使用自动配置工具和坚持运行配置审核，也变得越来越重要。