AAA认证详解

802.1x(基于端口的认证)
802.1x 的主要功能:对接入的用户做认证,防止未授权的用户访问网络
802.1x 起源于无线
当用户插上网线时,交换机会提示用户执行 802.1x 认证(输入用户名和密码),当开启 802.1X 认证的交换机,在端口检测到有网卡接入的时候,交换机会想接入该端口的主机发送 EAPOL 数据帧,要求进行认证
在交换机认证成功之前(802.1x)只允许三种流量通过:
    1. EAPoL(基于局域网的扩展认证协议)
    2. CDP
    3. STP 

Client<--->Switch<--->AAA server

1. client 用户与交换机之间使用 EAPOL
2. 交换机与 AAA server 之间使用 RADIUS

Access Control Server是cisco的AAA服务器软件产品,实现radius和tacacs+的AAA功能,有windows和unix两种版本。
AAA:认证 (Authentication)、授权 (Authorization)和计费 (Accounting)

802.1x 的角色:
    client(用户),请求访问网路的设备并且响应交换机的回应(PC 插上网线,交换机提示 PC
进行 802.1x 认证)——client 得支持 802.1x 认证
    认证服务器:AAA  server(RADIUS)——802.1x只有RADIUS才支持执行对客户端认证,验证客户端身份,授权,通知交换机是否允许用户访问网络
    交换机:作为一个proxy响应客户端的连接请求,并且把用户信息传给 AAA server过程如下:


用户行为所导致的结果:
	1. 用户不支持 802.1x 认证,丢到 guest VLAN
	2. 用户认证失败,丢到限制 VLAN
Guest VLAN:
 	当交换机 802.1x 认证超时后(客户端不支持 802.1x 认证),如果配置了 guest VLAN,那
么交换机会将该端口丢到guest VLAN;如果交换机开启了MAC authentication bypass特性,
那么交换机会等待客户端发来的 ethernet packet(等待客户端发来的 ethernet packet 是为了得
到客户端的 MAC 地址)得到用户 MAC,然后把 MAC 封装在 RADIUS-access-request 数据
帧里,发给 RADIUS 服务器,认证成功——允许用户访问;认证失败——丢到 guest VLAN。
Guest VLAN 里一般都有一台服务器,提供 802.1x 客户端的下载(服务器连在交换机的另一
个接口,并且划分在 guest VLAN 里)
 注意:RSPAN VLAN,VOICE VLAN 都不能作为 guest VLAN
Restricted VLAN(限制 VLAN):
 	当用户认证失败时(用户名和密码输入错误多次),如果交换机配置了限制 VLAN,那么
交换机会将连接用户的端口丢到限制 VLAN 里。
 注意:默认三次输入用户名和密码错误就丢到限制 VLAN(前提是设置了限制 VLAN)
##每隔 60 秒,交换机端口将进行重认证,如果重认证还是失败,则端口继续留在限制 VLAN
(交换机唤醒功能)
Inaccessible authentication bypass 特性
   当交换机与 AAA server 之间的链路出现问题时(即交换机数次发送 RADIUS access-request,但是没受到 RADIUS 服务器的回复),如果交换机开启了 inaccessible authentication bypass 特性,这时交换机会自动将端口状态转到授权状态,允许用户访问网络;
如果没有开此特性,那么用户认证会一直失败。

802.1x 认证过程
第一步:交换机和客户端都可以发起做认证;当交换机端口开启了 802.1x 认证(dot1x port-control auto),交换机检测到 PC 连上后(端口链路状态 up),这时交换机就会发送一个EAP request/identity 消息提示用户认证。
第二步:如果客户端有能力回应(支持 802.1x 认证),那么客户端会回复一个 EAP response/identity;如果客户端没有能力回复,比如刚刚开机的时候,电源一通电,网卡启动,交换机就检测到 PC,然后发出 EAP request/identity,这时客户端还没有能力回复,那么交换机会发生数次(通常为 3 次),还没收到客户端的回复,那么认为 802.1X 认证超时,交换机就不再发送 EAP request/identity 消息请求用户认证;这时 PC 进入系统,可以发起 802.1x认证,客户端向交换机发送一个 EAP start报文,交换机收到后,会再次发生EAP request/identi开始 802.1x 认证。

注意:用户不支持 802.1x 认证时,并且交换机开启了 MAC authentication bypass 特性,使用 MAC认证过程:
第一步:交换机发送数次(通常为 3 次)EAP request/identity 请求用户认证——没有收到客户端的回复,使用 MAC 地址认证
第二步:交换机等待客户端的 ethernet packet,得到客户端的 MAC 地址,封装在 RADIUS access-request 消息发给 RADIUS server
第三步:RADIUS server 返回消息指示认证是否成功(成功允许用户访问网络,失败丢到 guest VLAN)
注意:交换机之所以要等待客户端传来的 ethernet packet 数据包是为了得到客户的 MAC 地址;如果交换机在等待客户端 ethernet packet 数据包时,收到客户端发来的 EAPOL start,那么交换机会马上转换认证方式,使用 802.1x 认证。

交换机端口的状态:
1. 非授权状态:开启交换机端口 802.1x 认证功能时,端口默认是非授权,这是端口只允许EAPOL,CDP,STP 数据通过。认证之前或失败,并且没有配置成 voice VLAN 端口都只允许这三种流量通过(如果配置成 voice VLAN 端口,那么端口还会允许 VOIP 流量通过,因为电话和传真机时不能做认证的)
2. 授权状态:当用户通过 802.1x 认证的时,端口由非授权状态转换为授权状态,这时端口会允许用户所有流量通过
注意:
	1. 当交换机端口开启了 802.1x 认证,但客户端不支持 802.1x 认证,交换机会不允许客户端访问网络
	2. 当客户端支持 802.1x 认证,而交换机没开启 802.1x 认证,当客户端发送 EAP-start 报文请求交换机做认证的时候(数次),还没收到交换机的回复,那么客户端会认为端口已授权(客户端支持 802.1x 而交换机端口不支持,那么交换机将不会向客户端发送 EAP request/identity 消息)
在开启交换机端口 802.1x 认证时(dot1x port-control ?),命令后面有三个选项:
		1. force authorized 强制授权,指得是端口不做认证就可以使用,这是交换机默认配置
		2. force unauthorized 强制非授权,端口一直处于非授权状态,忽略所有认证请求
		3. auto ,开启了 802.1x 认证,端口默认处在非授权状态,只允许 EAPOL,,CDP,STP 流
	量通过;认证成功后,端口状态转换为授权状态,允许所有流量通过。
交换机在两种情况下,会向客户端发送 EAPOL request/identity 消息,请求认证:
1. 端口链路状态由 DOWN 变为 UP
2. 收到客户端发来的 EAPOL start 消息后

802.1x 的主机模式:
1.single-host 单主机模式,只能连一个客户端,客户端离开后,端口马上变为非授权状态(单
主机模式下交换机会记录主机的 MAC 地址)
2.multiple-host 多主机模式,多主机模式下,只要一个客户端能认证成功,其他客户端都可
以上。如下图:
认证成功后的 VLAN 指定:
 RADIUS server 数据户维持着用户名和 VLAN 的映射,当用户认证成功后,端口会被分配
到指定的 VLAN 中(根据用户名)
AV pairs:
64 指明 tunnel-type=VLAN:认证成功后丢到 VLAN 这个动作
65 指明 tunnel-medium-type=IEEE 802 :协议类型
81 指明 tunnel-private-group ID=VLAN name VLAN ID:丢到哪个 VLAN
上图是 ACS 用户设置里面截图,意思是:
27 session-timeout 600:设置重认证时间,多长时间后发生重认证这个动作
29 termination action,有两个选项;default——重认证时所有连接丢失
 RADIUS-request——重认证不影响连接
64 tunnel-type VLAN:指定认证成功后执行丢到 VLAN 这个动作
65 tunnel-medium-type 802:指定协议类型(IETF——802)
81 tunnel-private-group-id :指定 VLAN 名称(该丢到哪个 VLAN——名称)

 802.1x 实验:
client---------------->switch---------->AAA server
 192.168.1.108   192.168.1.9        192.168.1.88
 需求:
      用户认证成功丢到VLAN 2
      用户不支持认证的时候丢到VLAN 3(guest vlan)
      用户认证失败的时候丢到VLAN 4(限制 vlan)
注意:模拟器不能做这个实验。

实验步骤:
第一步:用 console 线接到交换机的 console 口,开始配置;要保证交换机能与 AAA server
通讯,那么得给交换机配置一个 IP 地址。
SWitch:
Enable
Config t
Hos SW
Int vlan 1
Ip add 192.168.1.9 255.255.255.0
No sh
Exit
第二步:在交换机上开启 AAA
SW:
aaa new-model
aaa authentication login nocon none (console 口不需要认证)
Line console 0
Login auth nocon
exit
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server host 192.168.1.88 key cisco
第三步:在 ACS 里设置
1.network configuration选项中添加一个 AAA client 
2.点击 ADD entry
3.然后到 user group中新建一个用户
4.点击 ADD/EDIT
5.然后到 interface confuration的advanced options中选的基于用户的 TACACS/RADIUS属性——提交
6.然后到interface configuration勾上RADIUS(IETF)然后进入到我们之间新建的用户有如下参数:
  session-timeout 600:设置重认证时间,多长时间后发生重认证这个动作
  termination action,有两个选项:
     default——重认证时所有连接丢失
     RADIUS-request——重认证不影响连接
  tunnel-type VLAN:指定认证成功后执行丢到 VLAN 这个动作
  tunnel-medium-type 802:指定协议类型(IETF——802)
  tunnel-private-group-id :指定 VLAN 名称(该丢到哪个 VLAN——名称)
(注意,这里 VLAN 名称时,填的是 VLAN 的名字,所以我们得在交换机上新建一个名字为 VLAN 0002 的 VLAN)
第四步:在交换机上新建 VLAN 并开启 802.1x 认证
SWitch:
 Vlan database
 Vlan 2 name VLAN0002
 Vlan 3
 Vlan 4
 exit
Config t
dot1x system-auth-control 交换机全局开启 802.1x 认证
int f0/1
switchport mode access    设置交换机端口为 access 模式(其它模式开启 802.1x 时会报错)
dot1x port-control auto   接口开启 802.1x 认证
dot1x guest-vlan 3        指定 guest VLAN 为 VLAN 3
dot1x auth-fail vlan 4    指定限制 VLAN 为 VLAN 4
dot1x auth-fail max-attempts 3   设置用户最多输错3次(用户名或者密码 )然后丢限制VLAN
dot1x re-req 3       设置交换机最多发 3 个 EAP request/identity 消息
dot1x re-authentication    开启端口 802.1x 的重认证
dot1x re-auth-req 3    在重认证的时候,交换机最多发 3 个 EAP request/identity 消息
no shutdown

 

你可能感兴趣的:(AAA认证详解)