局域网安全17 dot1x

1、基础

端口安全认证

 

2、身份的基本概念

1）身份标识：数字标识身份

2）认证：身份证实

3）授权

 

3、扩展认证协议：EAP

1）不依赖IP封装，支持所有链路层协议

2）EAP类型

（1）EAP-MD5：MD5的挑战响应方式

（2）EAP-MSCHAPv2：username/password的挑战响应

（3）EAP-TLS：证书+TLS

（4）PEAP：证书+其他认证

（5）EAP-FAST：TLS（无证书）

3）选择因素

（1）C/S是否都支持

（2）网络安全策略

（3）对后台目录基础设施的支持。（并非每种身份存储都支持所有的EAP）

4）EAP成帧格式

（1）数据包类型

·    EAP数据包(0)：认证信息帧，用于承载认证信息

·    EAPOL Start(1)：认证发起帧

·    EAPOL Logoff(2)：退出请求帧

·    EAPOL 密钥(3)：交换机发给申请者，用于在TLS认证时包含一个密钥

 

4、IEEE 802.1X

1）角色

（1）Supplicant（请求者）：PC

（2）Authenticator（认证者）：交换机

（3）Authentication Server（认证服务器）：AAA服务器

         

2）802.1X安全

（1）非受控端口

仅为认证流量提供一条用于传送EAPOL流量的路径

（2）受控端口

提供数据平面（须认证后）

3）认证模式

（1）单主机认证（single-auth）模式。（默认）

遏制流氓设备，hub（后面连多用户）

（2）多主机模式（Multihost）

Switch(config-if)#dot1x host-mode multi-host

一个MAC认证后，其他MAC都可以通过

 

5、使用无802.1X的设备

1）设备

打印机、IP电话、传真机

2）MAC认证旁路（MAB）

根据MAC地址控制不支持802.1X的设备对网络的认证

3）Guest-VLAN

为不支持802.1X且不知道MAC的客户访问

交换机主动发出身份请求，3次失败后（3*30s），端口移入Guest-VLAN

Switch(config-if)#dot1x max-reauth-req 3

Switch(config-if)#dot1x timeout tx-period 30

Switch(config-if)#dot1x port-control auto

Switch(config-if)#dot1x guest-vlan 10

 

6、MAC地址认证

1）port security

2）VMPS

3）用户注册工具（User-Registration Tool，URT），采用vlan查询协议（VQP），与VMPS相同

 

7、MAB

Switch(config-if)#dot1x mac-auth-bypass

Switch(config-if)#dot1x pae authenticator

Switch(config-if)#dot1x port-control auto

802.1X未失败（超时或没开启802.1X）--->MAC认证--->Guest-VLAN

仅802.1X认证失败或旁路没开启才会拒绝访问