3月2日

　　今天我來到*****，開始了我為期三個月的工作實習。

　　晉城煤業(yè)集團成莊礦信息中心是為加強我礦信息網站的建設、管理與應用，確保網站安全、高效運行，成為政務信息公開、對外宣傳、互動交流、在線辦事的重要平臺，提高全礦政務信息化水平而設立的一級組織。負責我礦網絡信息化、辦公自動化的全面管理，全面維護我礦網絡服務器，及全礦網絡的信息安全。

　　3月3日

　　今天在師傅的指導下，重新全面學習了網絡服務器的相關知識。

　　網絡服務器是局域網的核心，根據(jù)它在網絡中所起的作用，還可以進一步分為文件服務器、打印服務器和通信服務器。文件服務器能講大容量磁盤空間提供給網上客戶機使用，接收客戶機提出的數(shù)據(jù)處理和文件存取請求，向用戶(客戶機)提供各種服務。打印服務器接收來自客戶機的打印任務。通信服務器主要負責網與網之間的通信和提供各種調制解調器等多種接口。

　　3月4日

　　今天學習了我礦局域網寬帶的使用方式。

　　局域網寬帶是當今較流行、較成熟的互聯(lián)網接入方式，它采用的是FTTX+LAN的組網方式，就是常說的千兆到樓，百兆入戶，它和以前的DSLAM接入方式相比，具有以下特點：1、網絡穩(wěn)定性強，可擴展性好。2、安裝簡單，用戶只需要配備一塊10/100Mbps自適應的網卡就能接入到局域網。3、操作簡單，用戶只需安裝局域網寬帶客戶端后，通過撥號便能接入到互聯(lián)網。

　　3月5日

　　今天繼續(xù)學習了昨天的局域網寬帶的連接方式。FTTX+LAN是光纖+局域網的英文簡稱，利用光纖+5類線方式實現(xiàn)"千兆到小區(qū)、百兆到大樓、十兆到家庭"的寬帶接入方案，小區(qū)內的交換機和局端交換機以光纖相連，小區(qū)內采用綜合布線，用戶上網速率可達10M/100Mbps。此方式適用于住宅小區(qū)、智能大廈、現(xiàn)代寫字樓 、政府、企業(yè)、各類數(shù)據(jù)中心、學校、酒店。速率高是FTTX+LAN方式的最大特點，因此如VOD、視頻會議等一些只有在高速率下才能實現(xiàn)的網絡應用在 FTTX+LAN方式看來顯得綽綽有余。

　　3月6日

　　我礦局域網采用IEEE802.1x認證協(xié)議，今日在師傅的指導下，深入了解了IEEE802.1x的相關知識。

　　802.1x 協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端口;認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網端口。

　　網絡訪問技術的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包含3部分：認證者--對接入的用戶/設備進行認證的端口;請求者--被認證的用戶/設備;認證服務器--根據(jù)認證者的信息，對請求訪問網絡資源的用戶/設備進行實際認證功能的設備。

　　以太網的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權狀態(tài)。認證者的PAE根據(jù)認證服務器認證過程的結果，控制"受控端口"的授權/未授權狀態(tài)。處在未授權狀態(tài)的控制端口將拒絕用戶/設備的訪問。

　　基于以太網端口認證的802.1x協(xié)議有如下特點：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本; 借用了在RAS系統(tǒng)中常用的EAP(擴展認證協(xié)議)，可以提供良好的擴展性和適應性，實現(xiàn)對傳統(tǒng)PPP認證架構的兼容;802.1x的認證體系結構中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現(xiàn)業(yè)務與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務支持;可以映射不同的用戶認證等級到不同的VLAN;可以使交換端口和無線LAN具有安全的認證接入功能。

　　3月7日

　　今天深入學習了IEEE802.1x應用環(huán)境的特點：

　　(1)交換式以太網絡環(huán)境

　　對于交換式以太網絡中，用戶和網絡之間采用點到點的物理連接，用戶彼此之間通過VLAN隔離，此網絡環(huán)境下，網絡管理控制的關鍵是用戶接入控制，802.1x不需要提供過多的安全機制。

　　(2)共享式網絡環(huán)境

　　當 802.1x應用于共享式的網絡環(huán)境時，為了防止在共享式的網絡環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實體由物理端口進一步擴展為多個互相獨立的邏輯端口。邏輯端口和用戶/設備形成一一對應關系，并且各邏輯端口之間的認證過程和結果相互獨立。在共享式網絡中，用戶之間共享接入物理媒介，接入網絡的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全，可以采用的安全措施是對EAPoL和用戶的其它數(shù)據(jù)進行加密封裝。在實際網絡環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態(tài)分配秘鑰導致的安全性的缺陷。

　　3.802.1x認證的安全性分析

　　802.1x協(xié)議中，有關安全性的問題一直是802.1x反對者攻擊的焦點。實際上，這個問題的確困擾了802.1x技術很長一段時間，甚至限制了802.1x技術的應用。但技術的發(fā)展為這個問題給出了答案：802.1x結合EAP，可以提供靈活、多樣的認證解決方案。

　　4.802.1x認證的優(yōu)勢