3月2日

　　今天我來到*****，開始了我為期三個月的工作實習。

　　晉城煤業(yè)集團成莊礦信息中心是為加強我礦信息網(wǎng)站的建設(shè)、管理與應(yīng)用，確保網(wǎng)站安全、高效運行，成為政務(wù)信息公開、對外宣傳、互動交流、在線辦事的重要平臺，提高全礦政務(wù)信息化水平而設(shè)立的一級組織。負責我礦網(wǎng)絡(luò)信息化、辦公自動化的全面管理，全面維護我礦網(wǎng)絡(luò)服務(wù)器，及全礦網(wǎng)絡(luò)的信息安全。

　　3月3日

　　今天在師傅的指導(dǎo)下，重新全面學(xué)習了網(wǎng)絡(luò)服務(wù)器的相關(guān)知識。

　　網(wǎng)絡(luò)服務(wù)器是局域網(wǎng)的核心，根據(jù)它在網(wǎng)絡(luò)中所起的作用，還可以進一步分為文件服務(wù)器、打印服務(wù)器和通信服務(wù)器。文件服務(wù)器能講大容量磁盤空間提供給網(wǎng)上客戶機使用，接收客戶機提出的數(shù)據(jù)處理和文件存取請求，向用戶(客戶機)提供各種服務(wù)。打印服務(wù)器接收來自客戶機的打印任務(wù)。通信服務(wù)器主要負責網(wǎng)與網(wǎng)之間的通信和提供各種調(diào)制解調(diào)器等多種接口。

　　3月4日

　　今天學(xué)習了我礦局域網(wǎng)寬帶的使用方式。

　　局域網(wǎng)寬帶是當今較流行、較成熟的互聯(lián)網(wǎng)接入方式，它采用的是FTTX+LAN的組網(wǎng)方式，就是常說的千兆到樓，百兆入戶，它和以前的DSLAM接入方式相比，具有以下特點：1、網(wǎng)絡(luò)穩(wěn)定性強，可擴展性好。2、安裝簡單，用戶只需要配備一塊10/100Mbps自適應(yīng)的網(wǎng)卡就能接入到局域網(wǎng)。3、操作簡單，用戶只需安裝局域網(wǎng)寬帶客戶端后，通過撥號便能接入到互聯(lián)網(wǎng)。

　　3月5日

　　今天繼續(xù)學(xué)習了昨天的局域網(wǎng)寬帶的連接方式。FTTX+LAN是光纖+局域網(wǎng)的英文簡稱，利用光纖+5類線方式實現(xiàn)"千兆到小區(qū)、百兆到大樓、十兆到家庭"的寬帶接入方案，小區(qū)內(nèi)的交換機和局端交換機以光纖相連，小區(qū)內(nèi)采用綜合布線，用戶上網(wǎng)速率可達10M/100Mbps。此方式適用于住宅小區(qū)、智能大廈、現(xiàn)代寫字樓 、政府、企業(yè)、各類數(shù)據(jù)中心、學(xué)校、酒店。速率高是FTTX+LAN方式的最大特點，因此如VOD、視頻會議等一些只有在高速率下才能實現(xiàn)的網(wǎng)絡(luò)應(yīng)用在 FTTX+LAN方式看來顯得綽綽有余。

　　3月6日

　　我礦局域網(wǎng)采用IEEE802.1x認證協(xié)議，今日在師傅的指導(dǎo)下，深入了解了IEEE802.1x的相關(guān)知識。

　　802.1x 協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機端口;認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

　　網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包含3部分：認證者--對接入的用戶/設(shè)備進行認證的端口;請求者--被認證的用戶/設(shè)備;認證服務(wù)器--根據(jù)認證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進行實際認證功能的設(shè)備。

　　以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認證者的PAE根據(jù)認證服務(wù)器認證過程的結(jié)果，控制"受控端口"的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶/設(shè)備的訪問。

　　基于以太網(wǎng)端口認證的802.1x協(xié)議有如下特點：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本; 借用了在RAS系統(tǒng)中常用的EAP(擴展認證協(xié)議)，可以提供良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認證架構(gòu)的兼容;802.1x的認證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持;可以映射不同的用戶認證等級到不同的VLAN;可以使交換端口和無線LAN具有安全的認證接入功能。

　　3月7日

　　今天深入學(xué)習了IEEE802.1x應(yīng)用環(huán)境的特點：

　　(1)交換式以太網(wǎng)絡(luò)環(huán)境

　　對于交換式以太網(wǎng)絡(luò)中，用戶和網(wǎng)絡(luò)之間采用點到點的物理連接，用戶彼此之間通過VLAN隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶接入控制，802.1x不需要提供過多的安全機制。

　　(2)共享式網(wǎng)絡(luò)環(huán)境

　　當 802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時，為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實體由物理端口進一步擴展為多個互相獨立的邏輯端口。邏輯端口和用戶/設(shè)備形成一一對應(yīng)關(guān)系，并且各邏輯端口之間的認證過程和結(jié)果相互獨立。在共享式網(wǎng)絡(luò)中，用戶之間共享接入物理媒介，接入網(wǎng)絡(luò)的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全，可以采用的安全措施是對EAPoL和用戶的其它數(shù)據(jù)進行加密封裝。在實際網(wǎng)絡(luò)環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。

　　3.802.1x認證的安全性分析

　　802.1x協(xié)議中，有關(guān)安全性的問題一直是802.1x反對者攻擊的焦點。實際上，這個問題的確困擾了802.1x技術(shù)很長一段時間，甚至限制了802.1x技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個問題給出了答案：802.1x結(jié)合EAP，可以提供靈活、多樣的認證解決方案。

　　4.802.1x認證的優(yōu)勢