802.1X与EAP

802.1XEAP Over Eth、EAP Over LAN

用于在pc与交换机之间承载EAP协议

EAP协议:可扩展认证协议

 

C/S架构,客户端----EAPOL-----设备----RADIUS-------服务器

 

802.1X封装:DMAC==01:80:C2:00:00:03 )Type:0x888E

 

RADIUS:通过UDP封装EAP==AVP属性79进行EAP传递。

 

EAP的透传认证:(EAP-MD5方式)

交换机作为NAS设备,对终端来的802.1X中EAP解封装,通过RADUIS重封装给server。通过server的授权信息,ACL添加在本交换机,从而进行访问授权控制。

缺点: 过程明文传输

 

EAP-TLS:

引入TLS的握手协议,要求client与server都要证书。

握手后数据包在TLS隧道中进行加密传递。

缺点:每个client都需要证书

 

EAP-PEAP with  MS-CHAPv2 

仅需要Server有证书,Client不需要证书。

建立TLS握手时候,仅对server进行证书认证(可以自签名)。

在隧道建立后,Server在加密隧道中通过Chap对client进行认证。

802.1X与EAP_第1张图片

 

802.1X

数据包封装

802.1X与EAP_第2张图片

 

 

EAPOL封装如下:

 

802.1X与EAP_第3张图片

 

EAP封装如下: 当Type=0时,封装EAP数据

 

 

802.1X与EAP_第4张图片

 

 此时EAP-DATA中为 EAP-Method

802.1X与EAP_第5张图片

EAP透传交互过程

802.1X与EAP_第6张图片

 

你可能感兴趣的:(网络)