802.1X认证技术与MAC认证技术

一、介绍
  • 802.1X技术作为局域网一种普遍端口(二层设备端口)接入控制机制在以太网中被广泛应用,主要用以解决以太网内认证和安全方面的问题
  • MAC认证是一种基于端口和MAC地址对于用户的网络访问控制权限进行控制和认证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址,用于哑终端的接入认证(打印机、IP话机)

准入控制概述
802.1X认证技术与MAC认证技术_第1张图片

  1. 802.1X认证:
    802.1X协议起源于WLAN的802.11协议,用于控制无限用户的链路层接入和身份认证。经过扩展后,802.1X也可以使用以太网帧作为承载报文,从而可适用于以太网及其他的有线接入方式。
  • 认证场景:应用在接入层设备
    802.1X认证,又称EAPOE(Extensible Authentication Protocol Over Ethernet)认证,可以用于有线环境解决局域网用户的接入问题。
    802.1X系统为典型的Client/Server结构,包括三个实体:终端、接入控制设备和RADIUS服务器。
    802.1X认证技术与MAC认证技术_第2张图片
  • 基本概念:
    基于接口:只有接口内有一个用户认证通过,那么通过该接口的其他用户也可以访问
    强制授权:需要绑定mac地址,用户没有做认证,直接授权放行
    强制非授权:接口逻辑down,不给发送
    EAP终结认证:由网络接入设备终结用户的EAP报文,解析出用户名和密码,并对密码进行加密,再发送到AAA服务器进行认证。
    EAP透传认证:也叫EAP中继认证,由网络接入设备直接把802.1X用户的认证信息以及EAP报文直接封装到RADUIS报文的属性字段中,发送给RADUIS服务器,而无需将EAP报文转换成标准RADUIS报文再发送给RADUIS服务器来完成认证。(协议转换)
    802.1X认证技术与MAC认证技术_第3张图片
  1. MAC认证
    MAC认证就是以终端MAC地址作为身份凭证到系统进行认证,启用MAC认证之后,当终端接入网络时,网络准入设备提取终端MAC地址,并将该MAC地址作为用户名和密码进行认证。
  • 应用场景:
    MAC旁路认证适用于802.1X认证环境中,如无法安装802.1X认证客户端的终端(哑终端),以mac地址作为用户名和密码自动接入网络的场景。
  1. Portal认证
    Portal认证通常称为web认证,一般将Portal认证网站称为门户网站,用户上网时,必须在门户网站进行认证,认证之后才能适应网络资源。
  • Portal认证系统的组成
    客户端:安装有运行HTTP协议浏览器的主机
    接入设备:交换机、路由器等
    - 在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器
    - 在认证过程中,与Portal服务器、Radius服务器交互,完成对用户身份认证、授权与计费的功能
    - 在认证通过之后,允许用户访问被管理员授权的互联网资源

  • 应用场景:一般建立在汇聚设备
    Portal认证无需客户端支持,部署简单,广泛应用于园区网中
    用户部署安全管理组件,需要客户端支持,此时可采用具有客户端的Portal认证方式

你可能感兴趣的:(安全与协议)