CCNP学习之路之802.1x协议
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
协议
网络访问技术的核心部分是EAP(端口访问实体)。在 访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问 网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端
编辑本段认证特点
基于 以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和 交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务 报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的 数据包是无需 封装的纯数据包;可以使用现有的 后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的 用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
编辑本段工作过程
(1.当用户有上网需求时打开802.1X 客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时, 客户端程序将发出请求认证的 报文给 交换机,开始启动一次认证过程。
(2.交换机收到请求认证的 数据帧后,将发出一个请求帧要求用户的 客户端程序将输入的用户名送上来。
(3. 客户端程序响应交换机发出的请求,将用户名信息通过 数据帧送给交换机。交换机将 客户端送上来的 数据帧经过 封包处理后送给认证服务器进行处理。
(4.认证服务器收到 交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给 客户端程序。
(5. 客户端程序收到由 交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种 加密算法通常是不可逆的),并通过交换机传给认证服务器。
(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向 交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
编辑本段环境特点
(1)交换式以太网络环境
对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下, 网络管理控制的关键是用户 接入控制,802.1x不需要提供过多的安全机制。
(2)共享式网络环境
当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户 接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密 封装。在实际网络环境中,可以通过加速WEP 密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。
编辑本段安全性
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。
编辑本段认证优势
综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。
简洁高效:纯 以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层 封装,去除了不必要的开销和 冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
容易实现:可在普通L3、L2、IPDSLAM上实现, 网络综合造价成本低,保留了传统 AAA认证的网络架构,可以利用现有的RADIUS设备。
安全可靠:在二层网络上实现 用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在 无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书 密钥的动态分配,克服无线局域网接入中的 安全漏洞。
行业标准:IEEE标准,和 以太网标准同源,可以实现和 以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括 路由器、 交换机和无线AP上都提供对该协议的支持。在 客户端方面 微软WindowsXP 操作系统内置支持,Linux也提供了对该协议的支持。
应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对 接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
易于运营: 控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。
编辑本段认证标准
IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写,详细请参看IEEE关于命名的解释)。它的全称是“基于端口的网络接入控制”。于2001年标准化,之后为了配合 无线网络的接入进行修订改版,于2004年完成。
IEEE 802.1X协议在用户接入网络(可以是 以太网,也可以是Wi-Fi网)之前运行,运行于网络中的MAC层。 EAP协议 RADIUS协议。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X
IEEE802.1x协议具有完备的 用户认证、管理功能,可以很好的支撑 宽带网络的计费、安全、运营和管理要求,对 宽带IP 城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带 以太网中的使用。
编辑本段认证模式
(1端口认证模式
在模式下只要连接到端口的某个设备通过认证,其他设备则不需要认证,就可以访问 网络资源。
(2 MAC认证模式
该模式下连接到同一端口的每个设备都需要单独进行认证。
编辑本段交换机
(config)#aaa new-model '启动AAA。
(config)#radius-server host 192.168.1.100 key netdigedu '配置RADIUS服务器地址及 密钥。
(config)#aaa authentication dot1x default group radius '配置802.1x默认认证方法为RADIUS。
(config)#dot1x system-auth-control '在 交换机上全局启用802.1x认证。
(config)#int fa0/24
(config-if)#switchport mode access
(config-if)#dot1x port-control auto '设置接口的802.1x状态。
这个命令一定要注意;
状态有三种:
force-authorized:端口始终处于认证状态并转发流量,这个是默认状态。
force-unauthorized:端口始终处于未认证状态并不能转发流量。
auto:端口通过使用802.1x与 客户端交换消息在认证和未认证状态间切换。这个是我们需要的,所以dot1x port-control 命令后一定要用auto。
(config-if)#dot1x host-mode multi-host ' 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。
#show dot1x all '查看802.1x配置。
编辑本段认证方式
|
类型代码
|
身份验证协议
|
说明
|
|
4
|
MD5 challenge
|
EAP中类似于CHAP的认证方式
|
|
6
|
GTC
|
原本打算与RSA SecurID之类的令牌卡一起使用
|
|
13
|
EAP-TLS
|
以数字证书相互认证
|
|
18
|
EAP-SIM
|
以移动电话的SIM卡(用户识别模块卡)进行身份验证
|
|
21
|
TTLS
|
隧道式TLS;以TLS加密保护较弱的身份验证方式
|
|
25
|
PEAP
|
防护型EAP;以TLS加密保护较弱的EAP认证方式
|
|
29
|
MS-CHAP-V2
|
微软的经加密的密码身份验证,与windows域兼容
|