802.1x协议解析
dot1x认证原理
dot1x认证原理
dot1x(IEEE 802.1X)是一种网络认证协议,用于控制局域网(LAN)端口的访问权限。
它的原理如下:
1. 开机认证:当设备(如计算机)连接到局域网的交换机端口时,交换机会对该端口进行认证过程。
初始状态下,交换机的此端口为“未授权”状态。
2. 通信开始:设备尝试通过端口进行通信,发送一个EAPOL (EAP Over LAN)Start消息给交换机。
EAPOL Start消息用于指示设备准备就绪,请求进行认证。
3. 交换机发起认证:交换机收到EAPOL Start消息后,会发送一个EAPOL Request/Identity消息给设备,要求设备提供身份标识。
4. 设备认证:设备收到EAPOL Request/Identity消息后,会向交换机发送一个EAPOL Response/Identity消息,其中包含设备的身份标识。
5. 认证服务器验证:交换机将EAPOL Response/Identity消息转发到认证服务器,认证服务器接收到设备的身份标识后,会对其进行验证。
6. 认证结果:认证服务器验证设备的身份,并返回一个认证结果给交换机,该结果可以是“通过”或“拒绝”。
7. 端口授权:如果设备通过认证,交换机将该端口标记为“授权”状态,并允许设备进行正常通信。
否则,端口会继续保持
为“未授权”状态,拒绝设备的通信。
8. 会话维持:一旦设备通过认证,交换机会继续监听设备的网络活动,以便在会话超时或其他认证条件变化时重新进行认证。
通过以上的认证过程,dot1x能够有效地控制网络的访问权限,提供更安全的局域网环境。
802.1x重认证原理
802.1x重认证原理标题:802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要,802.1x协议作为一种可扩展的身份验证协议,被广泛应用于无线网络接入控制。
它能有效防止未经授权的设备访问网络资源,保护网络的安全性。
本文将详细介绍802.1x重认证原理。
二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议,由IEEE(电气电子工程师学会)制定。
它定义了用户接入网络时的身份认证过程,包括用户身份的鉴别、授权和计费等功能。
在802.1x协议中,主要涉及到三个角色:客户端、认证服务器和交换机。
三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后,由于某些原因需要重新进行认证的过程。
这个过程中,客户端会发送一个EAP-Request/Identity给认证服务器,认证服务器接收到请求后,会发送一个EAP-Response/Identity给客户端,然后客户端根据接收到的信息判断是否需要重新认证。
重认证的主要原因是保持用户的在线状态,防止用户的非法使用。
例如,如果用户的账号密码发生了改变,或者用户的权限发生了变化,就需要重新进行认证。
此外,如果用户的设备更换或者移动到另一个位置,也需要重新进行认证。
四、802.1x重认证流程1. 客户端发起重认证请求:客户端向交换机发送一个EAP-Request/Identity消息,表示需要进行重认证。
2. 交换机转发请求:交换机接收到请求后,将其转发给认证服务器。
3. 认证服务器响应:认证服务器接收到请求后,会发送一个EAP-Response/Identity消息给交换机,表明接受重认证请求。
4. 交换机转发响应:交换机接收到响应后,将其转发给客户端。
5. 客户端进行重认证:客户端接收到响应后,会进行重新认证,包括输入新的账号密码等信息。
6. 认证服务器验证:认证服务器接收到客户端的新信息后,会进行验证。
7. 交换机控制端口状态:如果验证成功,交换机会打开相应的端口,允许客户端访问网络;如果验证失败,交换机会关闭相应的端口,阻止客户端访问网络。
迈普路由器 第22章 802.1x配置
第22章802.1X配置本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。
章节主要内容:●802.1X介绍●802.1X配置●802.1X应用举例●监控与维护22.1802.1X介绍22.1.1802.1X简介802.1X是IEEE在2001年6月提出的宽带接入认证方案,它定义了基于物理端口的网络接入控制协议(Port-Based Network Access Control)。
802.1X利用IEEE 802架构局域网的物理访问特性,提供了一套对以点对点方式(point-to-point)连接到局域网端口(Port)上的设备进行认证、授权的方法。
802.1X具有如下特点:1.方案简洁。
802.1X 仅仅关注端口的打开与关闭。
对于合法用户(根据帐号和密码)接入时该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。
认证的结果在于端口状态的改变,是各种认证技术中最简化的实现方案。
2.802.1X所使用的EAP协议只定义了认证消息的通信方式(the means of communicationauthentication information),而没有定义具体的认证机制(authentication mechanism)。
因此可以灵活地选择认证机制,(包括:Smart Card、Kerberos、Public Key Encryption、One Time Password等)。
3.IEEE 802.1X协议为二层协议,不需要到达三层。
也就是说,客户端系统在认证中,不需IP地址。
认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址,使用发送者的MAC 地址作为源MAC地址。
4.采用纯以太网技术,通过认证之后的数据包不存在封装与解封装的问题,因而效率高,消除了网络瓶颈。
5.用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
802.1x认证(网络安全接入控制)
二层网管交换机应用——802.1x认证(网络安全接入控制)802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机,TL-SL5428做为接入交换机,802.1x认证服务器接在TL-SG2224E上。
下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。
1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。
(也可以在Windows Server 上搭建Radius认证服务器。
有关服务器的搭建方法请在网上参考相关资料)认证服务器上的配置:● 服务器IP地址:192.168.1.250● 认证端口:1812● 计费端口:1813● 密钥:fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。
如果不需要进行上网计费,则不需要启用计费功能。
● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证,使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。
ii.配置其它需要认证的端口。
(TL-SL5428可同时支持基于MAC和Port的认证,这里均采用基于MAC的认证方式)注:● 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。
● 控制类型中,“基于MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。
802.1x协议解析
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。
它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。
一、802.1x认证技术的起源802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。
但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是基于这一需求而出现的一种认证技术。
也就是说,对于有线局域网,该项认证没有存在的意义。
由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与PPPOE认证、VLAN +WEB认证进行比较,并分析其在宽带IP城域网中的应用。
二、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。
认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。
IEEE 802.1x协议及应用
4. 应用举例:联创802.1x校园认证
联创802.1x校园认证协议用于有线局域网
环境中,报文格式与先前所述的EAP报文 基本相同,但是因为业务有更多的需求, 联创做了一些扩展,附加了一些字段用于 通知如IP分配、上网金额不足、学校断网等 信息,另外的一个特色是在某些报文中加 入了linkage这个字符串作为标识。因此主 要介绍其客服EAP自身缺陷所采取的措施。 联创802.1x认证共分两个阶段:认证阶段 和保持阶段,认证阶段与前述相同,保持 阶段仅验证用户名。
IEEE802无线网络及有线网络中,这些网络中, 攻击者都可能接触到用于EAP报文传输的信道, 可能实现的攻击有: 1.攻击者通过侦听EAP报文得知用户身份 2. 攻击者可以修改或伪造EAP数据报 3.攻击者可能通过伪造EAP-Success/EAP-Failure 包,使用户误以为已经认证或断线,或者重放身 份数据包,使得认证服务器认为出现了相同的身 份登录,造成拒绝服务 4.攻击者可能通过进行离线字典暴力破解找出密 码
7.客户端收到EAP-Request/MD5-Challenge报文后,将密码和
Challenge做MD5算法后的Challenged-Password,在EAPResponse/MD5-Challenge回应给认证方;
8.认证方将Challenge,Challenged Password和用户名一起送到
联创对802.1x认证的安全优化
在联创协议中,“请求方”即宿舍中请求上网的计算机,
“认证方”即提供接入的交换机,“认证服务器”则在外 部网络上与交换机通讯,上面存有上网的卡号和密码 在接入设备上,将所有物理端口划分成一个个独立的 VLAN,使用户与接入设备之间的信道不会被其它用户监 听到,从而使得之前的大部分攻击基本无法实现(除非在 交换机与上网计算机之间搭建一条线路,如通过集线器) 由于已经从物理上使得攻击可能性小,联创802.1x协议在 交换机与用户之间的通讯安全性方面其实是非常脆弱的。 认证通过后,每隔20s左右服务器会对客端进行身份认证, 但这个认证主要是为了计费需要,安全性上不具有多大意 义。
802.1x
一、引言802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模収展,服务提供者需要对用户的接入迚行控制和配置。
尤其是WLAN的应用和LAN接入在甴信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户迚行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。
它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:图1 802.1x认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其迚行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件収起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统认证系统对连接到链路对端的认证请求者迚行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
802.1x讲解及配置
为什么要实现IEEE802.1x?随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。
IEEE802.1x协议具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。
IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使用。
IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE802.1x是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
1.IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。
交换机端口安全技术-802.1x接入认证详解
交换机端口安全技术——802.1x网络接入认证技术菜籽 2012-4-28随着以太网应用日益普及,以太网安全成为日益迫切的需求。
以太网交换机针对网络安全问题提供了多种安全机制,包括地址绑定、端口隔离、接入认证等技术。
本文将针对以太网交换机端口接入认证技术进行讲解。
IEEE802.1X标准是一种基于端口的网络接入控制协议。
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口(比如说机器上的有线网卡端口或者是无线端口),也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
若开启“802.1x验证”后当电脑通过有线或者无线准备接入网络时,在xp 以上的系统会弹出用户名和密码的认证提示,当用户输入正确的用户名和密码之后,才可以通过认证进行网络通讯,但是若用户端没有开启认证的话,则无法正常的访问网络。
1、802.1x体系结构802.1x的系统为典型的客户机/服务器体系结构,包括三个实体,如下图所示,分别为客户端、设备端和认证服务器。
在实际网络中,客户端通常是安装了802.1x客户端软件(windowsxp自带客户端,后文详细介绍了如何激活该软件);设备端通常是启用了802.1x功能的接入层交换机;而认证服务器端可以是以交换机自带的本地认证,也可以是远程集中认证服务器。
认证服务器可分为本地认证服务器和远程集中认证服务器,分别适用于不同场合.(1)本地认证服务器由设备端内置本地服务器对客户端进行认证。
设备端内置的认证服务器对客户端进行认证,认证通过后开放端口。
802.1x
IEEE 802.1X 是一种为受保护网络提供认证、控制用户通信以及动态密钥分 配等服务的有效机制。 802.1X 将可扩展身份认证协议(EAP)捆绑到有线和 无线局域网介质上,以支持多种认证方法,如令牌(token card)、Kerberos、 一次性口令(one-time password)、证书(certificate)以及公开密钥认证(public key authentication)等。
作 Security,传输层安全)、EAP-TTLS(Tunneled Transport Layer Security,隧
道传输层安全)和 PEAP(Protected Extensible Authentication Protocol,受保
护的扩展认证协议):
制 EAP-MD5 : 验证客户端的身份, RADIUS 服务器发送 MD5 加密字
张 : 作 制
恳求系统是位于局域网段一端的一个实体,由该链路另一端的认证系统 对其进行认证。恳求者系统一般为用户终端设备,用户通过启动恳求者 系 统 软 件 发 起 802.1x 认 证 。 恳 求 者 系 统 软 件 必 须 支 持 EAPOL (Extensible Authentication Protocol over LAN,局域网上的可扩展认证 协议)协议。
制 会被拒绝使用网络。
基于 MAC 地址认证:该物理端口下的所有接入用户都需要单独认证, 当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用
网络资源。
二、802.1x 的工作机制 IEEE 802.1x 认证系统利用 EAP(Extensible Authentication Protocol,可
张 3. 受控方向
802.1x协议详解解析
四、 802.1x报文结构
当code为success或者failure时data域没有,此时length的值为4
当code域的值为request或者是response类型时data域格式为:
type为eap的认证类型,eg: 1为请求id 4为challenge
四、 802.1x报文结构
1、部分报文抓包查看:
3、Authentication Server System,认证服务器系统(radius 服务器) 对客户进行实际认证,认证服务器核实客户的identity, 通知 swtich 是否允许客户端访问 LAN 和交换机提供的服务。 Authentication Sever 接受Authenticator 传递过来的认证需求 ,认证完成后将认证结果下发给Authenticator,完成对端口的管理
三、 802.1x 的认证过程
基于 802.1x 的认证系统在客户端和认证系统之间使用 EAPOL 格式封装 EAP 协 议传送认证信息,认证系统与认证服务器之间通过 RADIUS 协议传送认证信息
三、 802.1x 的认证过程
四、 802.1x报文结构
1、EAPOL报文格式
报文mac地址为:01-80-C2-00-00-03 PAE Ethernet Type:0x888E Protocol Version:EAPOL发送发所支持的协议版本号 Packet Type:发送的包类型
四、 802.1x报文结构
Packet Body Length:代表Packet Body的长度,如果为0,代表没有Packet Body域 Packet Body:如果Packet Type为EAP-Packet、EAPOL-Key、EAPOL-Encapsulated-ASF-Alert 就会存在这个域,如果是EAP-Start或者EAP-Logoff这个域为空
IEEE801.X
IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE802.1x是一种基于端口的网络接入控制技术,在LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LanSwitch设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问LAN 内的资源;如果不能通过认证,则无法访问LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
1.IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station,这是基于物理端口的;IEEE 802.11定义的无线LAN 接入方式是基于逻辑端口的。
图1 IEEE802.1x的体系结构IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端;IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
H3C 802.1x协议介绍
IEEE 802.1x协议的体系结构包括三个重要的部分: 802.1x协议的体系结构包括三个重要的部分 协议的体系结构包括三个重要的部分:
客户端(Supplicant System) 认证系统(Authenticator System) 认证服务器(Authentication Server System)。
14
RADIUS报文格式 报文格式
RADIUS协议的报文结构 协议的报文结构
Code字段 字段
1 2 3 4 5 11
Access- request Access- accept Access- reject Accounting-request Accounting-response Access-challenge
4
802.1X的特点 802.1X的特点
802.1x 是否需要安装客户 端软件 业务报文效率 组播支持能力 有线网上的安全性 设备端的要求 增值应用支持 是 XP不需要 高 好 扩展后可用 低 简单 PPPOE 是 低,有封装开销 低,对设备要求 高 可用 高 复杂 WEB认证 认证 否 高 好 可用 较高 复杂
握手定时器超时
18
目录
802.1X协议介绍 802.1X协议介绍 802.1x典型配置 802.1x典型配置 LDAP认证典型配置 LDAP认证典型配置 FAQ
19
802.1x设备侧典型配置 设备侧典型配置
配置RADIUS认证方案 认证方案 配置 radius scheme * server-type extended primary authentication *.*.*.* primary accounting *.*.*.* key authentication * key accounting * user-name-format without-domain (with-domain) retry realtime-accounting * retry stop-accounting * 配置RADIUS认证域 配置 认证域 domain * accounting lan-access radius-scheme * authentication lan-access radius-scheme * authorization lan-access radius-scheme * 全局及接口模式下输入dot1x使能 使能802.1x 全局及接口模式下输入 使能 配置缺省域
ieee802.1x协议原理
ieee802.1x协议原理IEEE 802.1x协议原理IEEE 802.1x是一种网络认证协议,用于保护网络免受未经授权的访问。
本文将探讨IEEE 802.1x协议的原理和工作机制。
1. 简介IEEE 802.1x是一种以太网认证协议,旨在实现网络接入控制(NAC)。
它提供了一种身份验证机制,以确保只有经过授权的设备和用户才能接入局域网。
2. 协议结构IEEE 802.1x协议由三个主要组件组成:客户端、认证服务器和网络交换机。
- 客户端:客户端是指连接到局域网的终端设备,如计算机、手机和平板电脑。
客户端向交换机发送认证请求,并根据来自认证服务器的响应采取相应的措施。
- 认证服务器:认证服务器是负责验证客户端身份的服务器。
它通常与RADIUS服务器一起使用,检查客户端提供的凭据,并返回认证结果给交换机。
- 交换机:交换机是网络的核心设备,负责转发数据包。
在IEEE 802.1x中,交换机扮演认证的角色,它会拦截客户端的数据流,并要求客户端进行认证。
3. 工作原理IEEE 802.1x协议的工作原理如下:- 交换机端口状态:初始状态下,交换机端口是关闭的,无法传输数据。
客户端连接到交换机的端口时,交换机会将端口设置为未授权状态。
- 客户端认证请求:客户端连接到交换机后,会发送一个EAPOL-Start消息,作为认证的起始点。
交换机收到消息后,将端口设置为认证状态。
- 挑战/响应过程:客户端在发送EAPOL-Start消息后,交换机会发送一个挑战请求(EAP-Request/Identity)给客户端。
客户端需要响应并发送其身份信息。
- 认证服务器验证:交换机将收到的身份信息发送到认证服务器进行验证。
服务器确定身份信息的有效性,并发送验证结果给交换机。
- 授权状态:根据认证结果,交换机将端口设置为授权状态或未授权状态。
如果认证成功,客户端可以继续通过交换机传输数据,否则端口将保持关闭状态。
4. 安全性IEEE 802.1x协议提供了一些安全特性,以确保网络的安全性: - 免受未经授权访问:借助IEEE 802.1x,仅经过认证的设备和用户可以接入网络,从而保护网络免受未经授权的访问。
802.1x认证技术介绍
802.1x认证技术介绍目录1.背景 (1)2.IEEE 802.1x协议技术分析 (1)2.1802.1x认证特点 (2)2.2802.1x应用环境 (2)2.2.1交换式以太网络环境 (2)2.2.2共享式网络环境 (2)2.3802.1x认证的安全性分析 (3)2.4802.1x认证的优势 (4)3.802.1x在电信级IP宽带网络中的应用建议 (4)3.1以WLAN为应用突破口 (4)3.2认证边缘化、分布化 (4)3.3用户管理集中化 (5)3.4多业务接入,兼顾网络技术特点 (5)3.5逐步取代PPPoE (5)4.结论 (5)1. 背景以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术,而且随着10 Gbit/s以太网技术的出现,以太网技术在广域网范围内也将获得一席之地,电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。
对于以太网络中多数业务来说,运营商无法从物理上完全控制客户端设备或者媒介。
运营商要实现对宽带业务的可运营、可管理,就必须从逻辑上对用户或者用户设备进行控制。
该控制过程主要通过对用户和用户设备的认证和授权来实施。
一般来说,需要进行认证和授权的业务种类包括:(1)提供给多用户系统的以太城域网业务。
这些业务包括典型的TLS业务、L2或者L3的VPN业务。
在该业务组网环境中,客户前端交换机由同一建筑物内的多个用户共享。
(2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等),需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。
(3)基于ATM RFC 1483的DSL业务和IP以太接入网。
(4)基于EFM(Ethernet in the First Mile,IEEE 802.3ah)EPON接入和EoVDSL等业务。
(5)基于以太的cahle的共享RF信道接入方式。
802.1x协议的体系
IEEE 802.1x协议起源于802.11,其主要⽬的是为了解决⽆线局域⽤户的接⼊认证问题。
802.1x 协议⼜称为基于端⼝的访问控制协议,可提供对802.11⽆线局域和对有线以太络的验证的络访问权限。
802.1x协议仅仅关注端⼝的打开与关闭,对于合法⽤户接⼊时,打开端⼝;对于⾮法⽤户接⼊或没有⽤户接⼊时,则端⼝处于关闭状态。
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System. (1)客户端:⼀般为⼀个⽤户终端系统,该终端系统通常要安装⼀个客户端软件,⽤户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
(2)认证系统:通常为⽀持IEEE 802.1x协议的络设备。
该设备对应于不同⽤户的端⼝有两个逻辑端⼝:受控(controlled Port)端⼝和⾮受控端⼝(uncontrolled Port)。
第⼀个逻辑接⼊点(⾮受控端⼝),允许验证者和 LAN 上其它计算机之间交换数据,⽽⽆需考虑计算机的⾝份验证状态如何。
⾮受控端⼝始终处于双向连通状态(开放状态),主要⽤来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。
第⼆个逻辑接⼊点(受控端⼝),允许经验证的 LAN ⽤户和验证者之间交换数据。
受控端⼝平时处于关闭状态,只有在客户端认证通过时才打开,⽤于传递数据和提供服务。
受控端⼝可配置为双向受控、仅输⼊受控两种⽅式,以适应不同的应⽤程序。
如果⽤户未通过认证,则受控端⼝处于未认证(关闭)状态,则⽤户⽆法访问认证系统提供的服务。
(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关⽤户的信息,⽐如⽤户名和⼝令、⽤户所属的VLAN、优先级、⽤户的访问控制列表等。
当⽤户通过认证后,认证服务器会把⽤户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,⽤户的后续数据流就将接接受上述参数的监管。
EAP_交换机知识--802.1X
802.1X协议是IEEE802 LAN/WAN委员会为了解决无线局域网网络安全问题提出的。
后来该协议作为局域网端口的一个普通接入控制机制应用于以太网中,主要用于解决以太网内认证和安全方面的问题,在局域网接入设备的端口这一级对所接入的设备进行认证和控制。
802.1X体系结构802.1X的系统是采用典型的Client/Server体系结构,包括三个实体,如图所示。
1) 客户端:局域网中的一个实体,多为普通计算机,用户通过客户端软件发起802.1X 认证,并由设备端对其进行认证。
客户端软件必须为支持802.1X认证的用户终端设备。
2) 设备端:通常为支持802.1X协议的网络设备,如本交换机,为客户端提供接入局域网的物理/逻辑端口,并对客户端进行认证。
3) 认证服务器:为设备端提供认证服务的实体,例如可以使用RADIUS服务器来实现认证服务器的认证和授权功能。
该服务器可以存储客户端的相关信息,并实现对客户端的认证和授权。
为了保证认证系统的稳定,可以为网络设置一个备份认证服务器。
当主认证服务器出现故障时,备份认证服务器可以接替认证服务器的工作,保证认证系统的稳定。
802.1X认证工作机制IEEE 802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交换。
1) 在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
2) 在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。
一种是EAP协议报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一种是设备端终结EAP协议报文,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证。
802.1X协议的工作机制流程详解
作为一个认证协议,802. IX在实现的过程中有很多重要的工作机制。
下图显示了 802. IX协议的基本原理:Supplicant发出一个连接请求(EPAoL),该请求被Authenticator (支持802. IX 协议的交换机)转发到Authentication Server (支持EAP验证的RADIUS服务器)上,Authentication Server得到认证请求后会对照用户数据库,验证通过后返回相应的网络参数,如客户终端的IP地址,MTU大小等。
Authenticator得到这些信息后,会打开原本被堵塞的端口。
客户机在得到这些参数后才能正常使用网络,否则端口就始终处于阻塞状态,只允许802. IX的认证报文EAPoL通过。
802. IX认证协议原理1. 1. 1基本认证流程图3-6是一个典型的认证会话流程,采用的认证机制是MD5-Challenge:(1)Supplicant发送一个EAPoL-Start报文发起认证过程。
(2)Authenticator 收到 EAPoL-Start 后,发送一个 EAP-Request 报文响应Supplicant的认证请求,请求用户ID。
(3)Supplicant 以一个 EAP-Response 报文响应 EAP-Request,将用户 ID 封装在EAP 报文中发给Authenticator o(4)Authenticator 将 Supplicant 送来的 EAP-Request 报文与自己的 NAS IP、NAS Port等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器(Authentication Server)。
SupplicantAuthenticator Authentication Server EAPOL Logoff(13)(初始化 )EAPOLStart(l)(认证开始)EAP Request]2)EAP Response(3)-RADIUS Access-Request(4) ----1RADIUS Ac cess- Chai I en ge( 5)EAP Challenge Request]6)EAP Challenge Response( 7)RADIUS Access-Request(8)RADIUS Access ・Accept(9)EAP Success(lQ)(认证晶功)RADIUSAcc ounti ng- Requ est( Start) (1 业RADIUSAc counti ng ・Res pon se( 12)(记账开始)RADIUSAcc ounti ng- Requ est( Stop) (1 句RADIUS *,Ac counti ng -Res pon se( 15)EAP Failure( 16)(用户*线)典型的认证会话流程⑸认证服务器收到RADIUS Access-Request 报文后,将用户ID 提取出来在数据库 中进行查找。