802.1X、MAC认证方式

接入认证:802.1X、Portal认证、MAC地址认证结合端口安全


802.1X是为了解决无线局域网安全问题提出来的,后来被以太网广泛应用 、2004年完成标准化
802.1X协议是一种基于端口的网络接入控制协议
802.1X通常与radius配合使用对接入用户的认证授权
802.1X技术可以扩展到基于MAC地址对用户接入进行控制,对同一个物理口上的多个用户分别进行认证控制
vlan最常用的划分方式是基于端口划分,该方式对于从同一端口进入的untagged报文添加相同的vlan标签,同一vlan内进行转发处理,一般场合用于固定的办公环境


802.1X两个端口角色:
1、非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧保证客户端始终能够出或认证报文,只有在通过认证后才会切换到授权状态
2、受控端口始终处于双向连通状态,用于传递业务报文,在非授权状态下禁止从客户端接收任何报文

EAP认证机制用于无线网,也可以用于有线局域网
EAP报文四种消息 1 request  2 response  3 success  4 failure

802.1X、MAC认证方式_第1张图片


客户端必须支持EAPOL(局域网上的可扩展认证协议),802.1X认证系统使用EAP,来实现客户端、设备端和认证服务器之间的认证信息的交换,EAP协议报文使用EAPOL封装格式,一种是EAPOR封装格式承载于radius协议中,另一种是EAP协议报文由设备进行终结

802.1X、MAC认证方式_第2张图片

以上不足就是相对安全移动性差,MAC vlan就是弥补端口vlan不足点,基于源MAC地址决定给报文添加某个vlan的标签,一般和802.1X联合使用


802.1X配置

dot1x 开启802.1X特性
dot1x interface g0/1 开启端口的802.1X特性
dot1x authentication-method chap 设置802.1X认证方式
dot1x port-method 设置端口接入控制方式
dot1x guest-vlan 2 interface g0/24 指定来宾vlan和接口
vlan 10
local-user zhangsan
authorization-attribute vlan 10


MAC认证是一种基于端口和MAC地址对用户访问权限进行控制的认证方式,不需要安装任何客户端软件

MAC地址认证方式:
1、远程radius认证
2、本地认证


mac-authentication 启用全局的MAC地址认证

mac-authentication interface G0/0 启动G0/0接口MAC地址认证

mac-authentication user-name-format fix aaa password simple 123456 配置MAC地址认证用户名密码

mac-authentication domain H3C 配置MAC认证用户使用的认证域


MAC vlan优点:
1、能够实现精确的接入控制,它能精确定义某个终端和VLAN的绑定关系,从而实现将指定终端的报文在指定vlan中转发
2、能够实现灵活的接入控制,同一终端通过不同端口接入设备时,设备会给终端分配相同的vlan

运行机制:当端口收到一个untagged报文后,以报文的源MAC地址为匹配关键字,通过查找MACvlan表项来获知该终端绑定的vlan,从而实现将指定的报文在指定的vlan中转发

MAC vlan表项有两种:静态配置、动态配置
静态配置:手工添加表项、工作量大
动态配置:基于MAC的接入认证,用户会发起认证请求、认证服务器会对认证用户名和密码进行验证,如果通过,则会下发vlan信息

应用限制:
1、MAC VLAN只能在Hybrid端口使用
2、同一个mac地址只能绑定一个vlan
3、采用动态方式配置MAC VLAN时需要结合AAA认证服务器
4、建议不要在聚合成员端口配置MAC VLAN功能

mac-vlan mac-address 0000-dddd-cccc vlan 100

MAC地址表管理
包含设备的端口号以及所属的vlanid

在PC机上安装INode智能管理客户端
节约vlan资源、简化网络配置,安全可靠


端口安全:是一种基于MAC地址对网络接入进行控制的安全机制,对802.1X认证和MAC地址认证的扩充

端口安全功能:让设备学习到合法的源MAC地址,已达到相应的网络管理效果


配置端口安全需要关闭802.1X认证和MAC认证

port-security enable 开启端口安全

port-security trap intrusion 打开入侵检测trap开关

port-security max-mac-count 8 定义端口安全最大MAC的数量

port-security mode autolearn 定义端口安全模式

port-security intrusion-mode blockmac 触发入侵检测的动作










本文转自 周小玉 51CTO博客,原文链接:http://blog.51cto.com/maguangjie/1795964,如需转载请自行联系原作者

你可能感兴趣的:(操作系统)