802.1x无线认证局域网

合集下载

802.1X

802.1X

1802.1X一 基本简介1.802.1x 协议起源于802.11协议,主要目的是为了解决无线局域网用户的接入认证和基于端口的接入控制(Port-Based Access Control )问题.2.作用(1)802.1X 首先是一个认证协议,是一种对用户进行认证的方法和策略。

(2)802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN 一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)(3)802.1X 的认证的最终目的就是确定一个端口是否可用。

对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X 的认证报文EAPOL (Extensible Authentication Protocol over LAN )通过。

二802.1X 体系结构1.Supplicant System,客户端(PC/网络设备) :支持EAP 协议的终端或安装了802.1X 客户端软件的设备.2.Authenticator System,认证系统 :也就是认证代理,它负责802.1X 客户端接入一般是接入层交换机和接入AP.switch 与client 间通过EAPOL 协议进行通讯,switch 与认证服务器间通过EAPoRadius 或EAP 承载在其他高层协议上,以便穿越复杂的网络到达 Authentication Server (EAP Relay );switch 要求客户端提供identity,接收到后将EAP 报文承载在Radius 格式的报文中,再发送到认证服务器,返回等同;switch 根据认证结果控制端口是否可用;3.Authentication Sever System,认证服务器:实际就是AAA 服务器-RADIUS,WINDOWS 中相当于域控制器.它对客户进行实际认证,核实客户的identity ,通知swtich 是否允许客户端访问LAN 和交换机提供的服务Authentication Sever 接受 Authenticator 传递过来的认证需求,认证完成后将认证结果下发给 Authenticator ,完成对端口的管理。

H3C_802.1x安全认证

H3C_802.1x安全认证
目录
1 802.1x配置 ........................................................................................................................................ 1-1 1.1 802.1x简介 ........................................................................................................................................ 1-1 1.1.1 802.1x的体系结构.................................................................................... 1-1 1.1.2 802.1x的工作机制................................................................................................................... 1-2 1.1.3 EAPOL消息的封装.................................................................................................................. 1-3 1.1.4 802.1x的认证过程................................................................................................................... 1-5 1.1.5 802.1x的定时器 ...................................................................................................................... 1-8 1.1.6 802.1x在S3100 交换机上的实现............................................................................................. 1-9 1.2 802.1x配置简介 ............................................................................................................................... 1-11 1.3 配置 802.1x基本功能....................................................................................................................... 1-12 1.3.1 配置准备 ............................................................................................................................... 1-12 1.3.2 配置 802.1x基本功能 ............................................................................................................ 1-12 1.3.3 配置 802.1x的定时器及接入用户的最大数目 ........................................................................ 1-14 1.4 配置 802.1x的应用特性 ................................................................................................................... 1-14 1.4.1 配置代理用户检测功能 ......................................................................................................... 1-15 1.4.2 配置客户端版本检测功能...................................................................................................... 1-15 1.4.3 配置允许DHCP触发认证 ...................................................................................................... 1-16 1.4.4 配置Guest VLAN功能 ........................................................................................................... 1-16 1.4.5 配置 802.1x重认证功能......................................................................................................... 1-17 1.4.6 配置 802.1x重认证定时器 ..................................................................................................... 1-17 1.5 802.1x显示和维护 ........................................................................................................................... 1-17 1.6 典型配置举例................................................................................................................................... 1-18 1.6.1 802.1x典型配置举例 ............................................................................................................. 1-18

dot1x认证原理

dot1x认证原理

dot1x认证原理
dot1x(IEEE 802.1X)是一种网络认证协议,用于控制局域网(LAN)端口的访问权限。

它的原理如下:
1. 开机认证:当设备(如计算机)连接到局域网的交换机端口时,交换机会对该端口进行认证过程。

初始状态下,交换机的此端口为“未授权”状态。

2. 通信开始:设备尝试通过端口进行通信,发送一个EAPOL (EAP Over LAN)Start消息给交换机。

EAPOL Start消息用于指示设备准备就绪,请求进行认证。

3. 交换机发起认证:交换机收到EAPOL Start消息后,会发送一个EAPOL Request/Identity消息给设备,要求设备提供身份标识。

4. 设备认证:设备收到EAPOL Request/Identity消息后,会向交换机发送一个EAPOL Response/Identity消息,其中包含设备的身份标识。

5. 认证服务器验证:交换机将EAPOL Response/Identity消息转发到认证服务器,认证服务器接收到设备的身份标识后,会对其进行验证。

6. 认证结果:认证服务器验证设备的身份,并返回一个认证结果给交换机,该结果可以是“通过”或“拒绝”。

7. 端口授权:如果设备通过认证,交换机将该端口标记为“授权”状态,并允许设备进行正常通信。

否则,端口会继续保持
为“未授权”状态,拒绝设备的通信。

8. 会话维持:一旦设备通过认证,交换机会继续监听设备的网络活动,以便在会话超时或其他认证条件变化时重新进行认证。

通过以上的认证过程,dot1x能够有效地控制网络的访问权限,提供更安全的局域网环境。

802.1x认证及相关配置

802.1x认证及相关配置

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。

其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程(1.客户端程序将发出请求认证的EAPoL-Start报文给交换机,开始启动一次认证过程。

(2.交换机收到请求认证的报文后,将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

(3.客户端程序响应交换机发出的请求,将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

(4.认证服务器收到来自交换机的Radius-Access-Request报文,做如下几个操作:验证交换机的合法性:包括交换机的IP地址,以及RADIUS认证口令;验证RADIUS的ID字段中填入的账号是否有效;当上述两个条件满足的时候,给交换机应答此Radius-Access-Challenge报文。

博达交换机802.1x认证配置手册

博达交换机802.1x认证配置手册

6
(Chap-Response/MD5 Challenge)
Radius-access--Request Radius-access--Accept
(Chap-Success)
8
7
802.1X---22
802.1x EAP终结认证图示
3. 结合 结合Radius认证 认证
EAP透传方式: 透传方式: 透传方式
2. System间信息交换 间信息交换
.Authenticator与 Authentication Server 间通过EAP帧
交换信息
.Supplicant 与 Authenticator 间则以IEEE 802.1x 所
定义的EAPoL帧交换信息。
.EAP 帧中封装了认证数据,该认证数据将被封装
缺点:
需要特定的客户端软件
802.1X---19
三、802.1x 在博达交换机上 的认证方式
802.1X---20
1. 本地数据库认证
客户端
1 2 3 4 5 6
博达交换机 EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success
配置802.1x的AAA认证方式 的 配置 认证方式
dot1x max-req count
配置身份认证请求的最大次数
802.1X---27
802.1x的配置任务 的配置任务
dot1x user-permit xxxx
配置端口下绑定的用户
dot1x authentication method yyy

802.1X认证原理

802.1X认证原理

802.1X认证原理802.1X(dot1x) 技术简介802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。

802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。

802.1x简介:IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802. 1X协议。

后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。

“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。

802.1X认证的特点:o安全性高,认证控制点可部署在网络接入层或汇聚层。

o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。

使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。

o技术成熟,被广泛应用于各类型园区网员工接入。

802.1X认证应用场景:o有线接入层:安全性最高,设备管理复杂。

o有线汇聚层:安全性中高,设备少,管理方便。

o无线接入:安全性高,设备少,管理方便。

802.1X系统架构:802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。

o客户端是位于局域网段一端的一个实体,由该链路另一端的接入设备对其进行认证。

客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)。

o接入设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。

WLAN认证方式基础一_802.1X认证

WLAN认证方式基础一_802.1X认证

IEEE 802.1x 认证∙EAP 协议(可扩展认证协议)∙EAP-TLS∙PEAP-MSCHAPv2∙PEAP-TLSEAP 协议概述可扩展认证协议(Extensible Authentication Protocol, EAP),是一个普遍使用的认证框架,它常被用于无线网络或 PPP 连接的认证中。

EAP 不仅可以用于无线局域网,而且可以用于有线局域网,但它在无线局域网中使用的更频繁。

EAP 是一个认证框架,而不是一个固定的认证机制。

EAP 提供一些公共的功能,并且允许协商真正的认证机制。

这些机制被叫做 EAP 方法,现在大约有40种不同的 EAP 方法。

常见的 EAP 方法有:EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-PEAP, EAP-SIM 等。

虽然 EAP 提供了很强的扩展性,但是取决于不同的 EAP 方法,EAP 消息可能以明文的方式发送。

攻击者如果能访问传输介质,则可以监听EAP报文消息,甚至可以伪造,修改协议报文。

这个问题在无线网络中尤为突出。

因此并不是所有 EAP 方法都适合无线网络认证。

无线网络最常使用的认证方法为:EAP-TLS ,PEAP-MSCHAPv2。

EAP-RADIUS(RADIUS 中继)EAP-RADIUS 并不是一种真正的认证方法,而是指无线接入点(AP),把无线客户端的 EAP 报文,以中继方式转发到外部 RADIUS 认证服务器中,由 RADIUS 服务器完成真正的认证过程。

EAP-TLS概述EAP-TLS 协议是在 EAP 协议框架上,使用 TLS 协议来完成身份认证,密钥交换功能。

TLS 协议也是 HTTPS 协议的核心。

因此 EAP-TLS 可以视为与 HTTPS 协议同等的安全性。

EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份,并在无线客户端及认证服务器间安全地协商和传输加密密钥,以保证无线数据传输的机密性及完整性。

802.1X:WLAN 认证&密钥管理

802.1X:WLAN 认证&密钥管理

802.1X:WLAN 认证&密钥管理(802.1X:WLANAuthentication& KeyManagement)IEEE 802.1X 是一种为受保护网络提供认证、控制用户通信以及动态密钥分配等服务的有效机制。

802.1X 将可扩展身份认证协议(EAP)捆绑到有线和无线局域网介质上,以支持多种认证方法,如令牌(token card)、Kerberos、一次性口令(one-time password)、证书(certificate)以及公开密钥认证(public key authentication)等。

802.1x 结构主要有三部分组成:1. 申请者(supplicant):想得到认证的用户或客户;2. 认证服务器(authentication server):通常为 RADIUS 服务器;3. 认证系统(authenticator):如无线接入点。

802.1x 中的主要协议是 LAN 上的 EAP 封装协议(EAPOL),当前它被定义来用于 Ethernet-like LAN,包括 802.11 无线局域网、令牌环网(包括 FDDI)。

802.1X 中操作过程如下:1.申请者(如客户机无线网卡)发送一个“EAP 响应/身份认证” 数据包给认证系统(如 802.11接入点),然后传送至认证服务器(RADIUS 服务器,位于接入点有线端)。

2.认证服务器发回一个验证给认证系统,认证系统将此验证在 IP 层解包并重新打包在 EAPOL,然后再发送给申请者。

3.申请者响应认证系统发送来的验证,并将响应通过认证系统传送给认证服务器。

认证服务器使用特定认证算法来检验客户身份,这可以通过数字证书或其它 EAP 认证类型实现。

如果申请者提供的身份正确,认证服务器便响应一个成功信息,并将该信息返回给申请者。

认证系统根据认证服务器返回的信息属性打开端口为申请者能够访问 LAN。

不管是否实施 802.11 WEP 密钥机制或完全没有提供加密技术,802.1X(EAPOL)协议都提供了有效的认证机制。

新无线校园网802.1x认证说明20180719(1)(1)(1)

新无线校园网802.1x认证说明20180719(1)(1)(1)

校园无线网802.1x 认证登录配置说明清华大学信息化技术中心2018.7目录一、基本配置步骤 (3)二、Win10操作系统下的配置 (4)三、Windows8和Windows8.1配置界面相同如下设置 (8)四、Windows 7操作系统下的配置 (21)五、Windows XP操作系统下的配置 (31)六、Android系统下的配置 (35)七、iphone、iPad下的配置 (36)八、MacOS下的配置 (37)一、基本配置步骤和现在的无线校园网有啥不一样?… …. …(此处省略888字)只说一件事:手机、iPad、电脑等使用新的802.1x认证登陆无线校园网,只要一次登陆,之后同设备没有更改密码情况下不用每次联网都登陆认证了,直接上!第一步,登陆自服务系统网站,自注册并设置802.1x密码,建议密码不要和网络密码一样(如果以后更改密码也在这里)。

第二步,搜索无线信号:Tsinghua-Secure 连接之;第三步,根据不同操作系统,登陆进行配置二、Win10操作系统下的配置1.首先需要确保在信号覆盖范围,如果原来已经连接过但配置不成功的请先删除(忘记)。

2.环境确认后,通过“网上和Internet”进入“网络和共享中心”,如图1图2图3所示。

图1图2图33.选择“设置新的网络连接”,选择“手动连接到无线网络”如图4所示。

图44.进入无线网络设置,具体设置如图5所示,完成之后进入图6所示,然后按图一步步执行。

图5图6图7图8图9图10图11 图125、在连接网络里选择网络名为Tsinghua-Secure的无线网,点击“连接”6、在弹出的网络身份验证中输入自己在刚刚设置的802.1x的用户名及密码点击确定完成连接三、Windows8和Windows8.1配置界面相同如下设置将鼠标指针放到Windows8系统的桌面右下角或右上角屏幕右侧会弹出如下菜单根据红色方框进行设置如下列图例所示。

选择“设置新的网络连接”,选择“手动连接到无线网络”如图4所示。

802.1x & Wi-Fi

802.1x & Wi-Fi

802.1x & Wi-Fi今天在学习PPPoE拨号认证时,遇到freeRadius,它是一个认证服务器软件,涉及到无线局网的一些东西,以前学网络时,无线局域网就没有多少提到,所以一些东西也不甚了解,借这个机会,就搜了一些资料。

Wi-Fi( A term developed by the Wi-Fi Alliance to describe wireless local area network (WLAN) products that are based on the Institute of Electrical and Electronics Engineers' (IEEE) 802.11 standards )802.11b是第一个Wi-Fi标准,它在几年前盛极一时。

而另外两个标准802.11a 和802.11g 后来也加入了Wi-Fi标准阵营,802.11n目前仍在设计中,距离发布还有一段时间。

这些标准中,有些可以协同工作,有些则不可以。

每一个标准都有自己的优势和不足。

而所有标准都已经被现在的网络产品支持,用户可以方便的购买到。

到现在为止推出的三个标准分别为802.11a、802.11b以及802.11g。

802.11n属于正在提议中的规格,当IEEE和Wi-Fi联盟完成了对该规格的最终互用性测试,它将正式成为Wi-Fi标准。

业界厂商团体已经向IEEE提交了多份802.11n标准提案,但是目前还不能确定是哪种方案会最终成为正式的Wi-Fi标准。

预计最终结果会在2006年下半年出台,而真正符合802.11n标准的产品将在2007年初出现。

什么是MIMO以及它能做什么?MIMO(发音为my-mo),全称为multiple input multiple output,是指使用超过一个天线来传输和接收同一频道内的两个或多个独立数据流的无线技术。

它具有长距离以及吞吐量大的特点。

802.1X 使用配置手册

802.1X 使用配置手册

802.1x简介:802.1x协议起源于802.11协议,802.11是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LAN Switch),就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。

端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说,一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。

实验所需要的用到设备:认证设备:cisco 3550 交换机一台认证服务器:Cisco ACS 4.0认证客户端环境:Windows xp sp3实验拓扑:实验拓扑简单描述:在cisco 3550上配置802.1X认证,认证请求通过AAA server,AAA server IP地址为:172.16.0.103,认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证,只有认证通过之后方可以进入网络,获得IP地址。

实验目的:通过本实验,你可以掌握在cisco 交换机如何来配置AAA(认证,授权,授权),以及如何配置802.1X,掌握 cisco ACS的调试,以及如何在windows xp 启用认证,如何在cisco 三层交换机上配置DHCP等。

基于802.1x协议的局域网安全接入认证的设计与实现

基于802.1x协议的局域网安全接入认证的设计与实现

图 1 受控端口授权状态展示
1.3 802.1X 认证过程
图 2 802.1X 认证过程
(1)当用户要访问网络时,运行客户端的 802.1X 软件, 1.4 MAC 旁路认证
输入用户名、密码,向设备端(交换机)发送 EAPOL-Start 请求。 (2) 交 换 机 收 到 请 求 后, 向 客 户 端 发 送 一 个 EAP-
— 162 —
2020 年第 2 期
信息与电脑 China Computer & Communication
网络与通信技术
1.2 802.1X 的基本概念
1.2.1 端口类型 设备端(一般指交换机)将端口分为受控和非受控两种
端口。非受控端口不需要经过认证,始终处于双方向可通信 状态。受控端口只在授权状态下双方向可通信,非授权状态 下阻拦客户端接收所有报文。 1.2.2 端口状态
客户端发起访问客户端是否通过认证访问地址为域名还是ip该ip是否属于freeip跳转到该freeip网页跳转到dot1xurl重定向网页在该网页用户下载8021x客户端跳转到dns域名服务器解析域名解析出ip地址下载完客户端后进行8021x认证ip域名否否交换机端口为授权状态允许访问所有授权资源跳转到访问的网页是是图3?认证通过前后访问网络需要注意的是这些免认证的网段freeip包括用户获取ip地址需要的dhcp服务器域名解析dns服务器还有下载8021x客户端的网页 Computer & Communication
2020 年第 2 期
基于 802.1X 协议的局域网安全接入认证的 设计与实现
白雨石 (中国民用航空华北地区管理局 空中交通管制处,北京 100621)
摘 要:随着计算机网络的快速发展,网络安全成为个人、企业乃至国家关注的重点。802.1X 协议作为局域网端口 的接入控制机制在以太网中被广泛应用,主要解决了网内认证和安全方面的问题。基于此,笔者从 802.1X 协议原理、快 速部署、冗余备份和逃生几个方面,分析了基于 802.1X 协议在局域网接入认证的设计与实现,探索出了一套针对企业局 域网用户接入安全的解决方案。

802.1x

802.1x
802.1x 协议
IEEE 802.1X 是一种为受保护网络提供认证、控制用户通信以及动态密钥分 配等服务的有效机制。 802.1X 将可扩展身份认证协议(EAP)捆绑到有线和 无线局域网介质上,以支持多种认证方法,如令牌(token card)、Kerberos、 一次性口令(one-time password)、证书(certificate)以及公开密钥认证(public key authentication)等。
作 Security,传输层安全)、EAP-TTLS(Tunneled Transport Layer Security,隧
道传输层安全)和 PEAP(Protected Extensible Authentication Protocol,受保
护的扩展认证协议):
制 EAP-MD5 : 验证客户端的身份, RADIUS 服务器发送 MD5 加密字
张 : 作 制
恳求系统是位于局域网段一端的一个实体,由该链路另一端的认证系统 对其进行认证。恳求者系统一般为用户终端设备,用户通过启动恳求者 系 统 软 件 发 起 802.1x 认 证 。 恳 求 者 系 统 软 件 必 须 支 持 EAPOL (Extensible Authentication Protocol over LAN,局域网上的可扩展认证 协议)协议。

制 会被拒绝使用网络。
基于 MAC 地址认证:该物理端口下的所有接入用户都需要单独认证, 当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用
网络资源。
二、802.1x 的工作机制 IEEE 802.1x 认证系统利用 EAP(Extensible Authentication Protocol,可
张 3. 受控方向

基于IEEE 802.1x的局域网安全接入认证

基于IEEE 802.1x的局域网安全接入认证

基于IEEE 802.1x的局域网安全接入认证摘要:作为被广泛应用的局域网内部认证协议,ieee 802.1x 通过对接入的终端用户进行身份的认证来确保用户身份的合法性,防范来自局域网内部的攻击。

文章通过对ieee 802.1x技术的认证原理、流程以及配置进行介绍,使网络管理员对ieee 802.1x有较深入的理解,并能使用其来保护局域网的安全。

关键词:ieee 802.1x;可扩展认证协议;认证;报文中图分类号:tp393.1 文献标识码:a 文章编号:1007-9599 (2013) 04-0000-031 引言网络安全在早期主要关注于对来自需要保护的局域网外部的网络窃听和攻击进行防范,因此产生了诸如访问控制列表技术、vpn 技术以及防火墙技术等各种保护局域网免受外部攻击的技术。

但随着网络规模的不断增大以及网络攻击方式的多样化,如何防范来自局域网内部的攻击收到越来越多的关注。

在传统网络中,局域网内部用户和主机被认为是安全可靠的,因此用户只要可以连接到局域网内交换机的物理端口,就可以访问整个局域网中的所有资源,这显然会造成非法用户的侵入以及合法用户的越权非法操作。

要解决该问题,就需要对终端用户的接入进行控制,即在局域网接入设备的端口一级对所接入的设备进行认证和控制。

在网络中,通过ieee 802.1x协议来实现这一功能。

2 ieee 802.1x的体系结构ieee 802.1x采用c/s结构,在其体系结构中包含客户端(supplicant system)、设备端(authenticator system)和认证服务器(authentication server system)三个实体[1],具体如图1所示。

客户端是位于局域网一端的一个实体,由该链路另一端的设备端对其进行认证。

客户端一般为pc机,客户端通过启动ieee 802.1x 客户端软件发起802.1x认证,客户端需要支持局域网上的可扩展认证协议(extensible authentication protocol over lan,eapol)。

几种认证技术比较

几种认证技术比较

802.1x认证技术近来,随着802.1x协议的标准化,一些L2/L3厂家开始推广802.1x认证,这种认证技术正逐步应用于宽带IP城域网,成为普遍关注的焦点。

一、802.1x认证技术802.1x协议起源于802.11协议,是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

由于无线局域网的网络空间具有开放性和终端可移动性,很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是基于这一需求而出现的一种认证技术,由于其简单易用正逐步应用于宽带IP城域网。

二、802.1x认证技术的特点802.1x协议关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。

认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。

对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题。

802.1x协议为二层协议,接入认证通过之后,IP数据包在二层普通MAC帧上传送,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。

802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,不受控端口始终处于双向连通状态,主要用来传递 EAPOL(Extensible Authentication Protocol Over LAN)协议帧,可保证客户端始终可以发出或接受认证。

受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务,从而实现业务与认证的分离。

用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。

802.1x协议

802.1x协议

802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。

它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。

802.1x 认证,又称EAPOE认证,主要用于宽带IP城域网。

一、802.1x认证技术的起源802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。

但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x 正是基于这一需求而出现的一种认证技术。

也就是说,对于有线局域网,该项认证没有存在的意义。

由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与PPPOE认证、VLAN+WEB认证进行比较,并分析其在宽带IP城域网中的应用。

二、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。

认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。

802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。

802.1x认证流程

802.1x认证流程

一、引言802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。

端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说,一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。

802.1x的体系结构如图1所示。

它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:图1802.1x认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。

请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。

2.认证系统认证系统对连接到链路对端的认证请求者进行认证。

认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch 和AP)上实现802.1x认证。

ieee802.1x协议原理

ieee802.1x协议原理

ieee802.1x协议原理IEEE 802.1x协议原理IEEE 802.1x是一种网络认证协议,用于保护网络免受未经授权的访问。

本文将探讨IEEE 802.1x协议的原理和工作机制。

1. 简介IEEE 802.1x是一种以太网认证协议,旨在实现网络接入控制(NAC)。

它提供了一种身份验证机制,以确保只有经过授权的设备和用户才能接入局域网。

2. 协议结构IEEE 802.1x协议由三个主要组件组成:客户端、认证服务器和网络交换机。

- 客户端:客户端是指连接到局域网的终端设备,如计算机、手机和平板电脑。

客户端向交换机发送认证请求,并根据来自认证服务器的响应采取相应的措施。

- 认证服务器:认证服务器是负责验证客户端身份的服务器。

它通常与RADIUS服务器一起使用,检查客户端提供的凭据,并返回认证结果给交换机。

- 交换机:交换机是网络的核心设备,负责转发数据包。

在IEEE 802.1x中,交换机扮演认证的角色,它会拦截客户端的数据流,并要求客户端进行认证。

3. 工作原理IEEE 802.1x协议的工作原理如下:- 交换机端口状态:初始状态下,交换机端口是关闭的,无法传输数据。

客户端连接到交换机的端口时,交换机会将端口设置为未授权状态。

- 客户端认证请求:客户端连接到交换机后,会发送一个EAPOL-Start消息,作为认证的起始点。

交换机收到消息后,将端口设置为认证状态。

- 挑战/响应过程:客户端在发送EAPOL-Start消息后,交换机会发送一个挑战请求(EAP-Request/Identity)给客户端。

客户端需要响应并发送其身份信息。

- 认证服务器验证:交换机将收到的身份信息发送到认证服务器进行验证。

服务器确定身份信息的有效性,并发送验证结果给交换机。

- 授权状态:根据认证结果,交换机将端口设置为授权状态或未授权状态。

如果认证成功,客户端可以继续通过交换机传输数据,否则端口将保持关闭状态。

4. 安全性IEEE 802.1x协议提供了一些安全特性,以确保网络的安全性: - 免受未经授权访问:借助IEEE 802.1x,仅经过认证的设备和用户可以接入网络,从而保护网络免受未经授权的访问。

802.1x认证技术介绍

802.1x认证技术介绍

802.1x认证技术介绍目录1.背景 (1)2.IEEE 802.1x协议技术分析 (1)2.1802.1x认证特点 (2)2.2802.1x应用环境 (2)2.2.1交换式以太网络环境 (2)2.2.2共享式网络环境 (2)2.3802.1x认证的安全性分析 (3)2.4802.1x认证的优势 (4)3.802.1x在电信级IP宽带网络中的应用建议 (4)3.1以WLAN为应用突破口 (4)3.2认证边缘化、分布化 (4)3.3用户管理集中化 (5)3.4多业务接入,兼顾网络技术特点 (5)3.5逐步取代PPPoE (5)4.结论 (5)1. 背景以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术,而且随着10 Gbit/s以太网技术的出现,以太网技术在广域网范围内也将获得一席之地,电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。

对于以太网络中多数业务来说,运营商无法从物理上完全控制客户端设备或者媒介。

运营商要实现对宽带业务的可运营、可管理,就必须从逻辑上对用户或者用户设备进行控制。

该控制过程主要通过对用户和用户设备的认证和授权来实施。

一般来说,需要进行认证和授权的业务种类包括:(1)提供给多用户系统的以太城域网业务。

这些业务包括典型的TLS业务、L2或者L3的VPN业务。

在该业务组网环境中,客户前端交换机由同一建筑物内的多个用户共享。

(2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等),需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。

(3)基于ATM RFC 1483的DSL业务和IP以太接入网。

(4)基于EFM(Ethernet in the First Mile,IEEE 802.3ah)EPON接入和EoVDSL等业务。

(5)基于以太的cahle的共享RF信道接入方式。

【转】浅谈802.1X认证

【转】浅谈802.1X认证

【转】浅谈802.1X认证⼀、起源802.1x协议起源于802.11协议,后者是标准的⽆线局域⽹协议。

802.1x协议的主要⽬的是为了解决局域⽹⽤户的接⼊认证问题,现在已经开始被应⽤于⼀般的有线LAN的接⼊。

在802.1x出现之前,企业⽹有线LAN应⽤都没有直接控制到端⼝的⽅法,也不需要控制到端⼝。

但是随着⽆线LAN的应⽤以及LAN接⼊到电信⽹上⼤规模开展,有必要对端⼝加以控制,以实现⽤户级的接⼊控制。

802.1x就是IEEE为了解决基于端⼝的接⼊控制⽽定义的⼀个标准。

⼆、作⽤1.802.1x是⼀个认证协议,是⼀种对⽤户进⾏认证的⽅法和策略。

2.802.1x是基于端⼝的认证策略(可以是物理端⼝也可以是VLAN⼀样的逻辑端⼝,相对于⽆线局域⽹“端⼝”就是⼀条信道)3.802.1x的认证的最终⽬的就是确定⼀个端⼝是否可⽤。

对于⼀个端⼝,如果认证成功就“打开”这个端⼝,允许所有报⽂通过;如果认证不成功就使这个端⼝保持“关闭”,此时只允许802.1x的认证报⽂EAPOL(Extensible Authentiaction Protocol over LAN)通过。

三、体系802.1x的认证系统分为三部分结构:Suppliant System 客户端(PC / ⽹络设备):客户端是⼀个需要接⼊LAN,及享受Switch提供服务的设备,客户端需要⽀持EAPOL协议,客户端必须运⾏802.1x客户端软件。

Authentiactor System 认证系统:switch(边缘交换机或⽆线接⼊设备)是根据客户的认证状态控制物理接⼊的设备,switch在客户和认证服务器之间充当代理⾓⾊(proxy)。

switch与client间通过EAPOL协议进⾏通讯,swith与认证服务器间通过EAPOR(EAP over Radius)s或EAP承载在其他⾼层协议上,以便穿越复杂的⽹络到达认证服务器;switch要求客户端提供identity,接收到后将EAP报⽂承载在Radius格式的报⽂中,再发送到认证服务器,返回等同;switch根据认证结果控制端⼝是否可⽤。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

集思广益集思广益布署布署AD + MAC + IAS 的802.1x 无线认证无线认证局域网局域网局域网概要概要之前在网上看过相关的文章介绍,要实现AD + MAC + IAS 的802.1x 无线认证,要么交换机要支持802.1x 协议,要么无线AP 或无线控制器要支持基于Radius 的MAC 地址认证功能。

现在本文就简单介绍一下,在交换机不支持802.1x 协议,无线AP 或无线控制器不支持基于Radius 的MAC 地址认证功能的情况下,布署AD + MAC + IAS 的802.1x 无线认证企业局域网。

我们只要在IAS 服务上登记无线PC 客户端的MAC 地址,授权其AD 用户的接入权,就可以让它们安全地登录到无线网络了。

为增加安全性,无线设备的SSIDS 设置隐藏,因此用户无法自行选择SSID,必须由管理员或用户在其PC 上配置无线网络。

认证原理认证原理1. 拓扑图2. 当无线PC 客户端在AP 的覆盖区域内,就会发现以SSID 标识出来的无线信号,从中可以看到SSID 名称和加密类型,以便用户判断选择。

3. 无线AP 配置成只允许经过802.1X 认证过的客户端登录,当客户端尝试连接时,AP 会自动设置一条限制信道,只让客户端和IAS 服务器通信,IAS 服务器只接受信任的IAS 客户端(这里可以理解为AP 或者无线控制器),客户端会尝试使用802.1X,通过那条限制通道和 IAS 服务器进行认证。

4. IAS 服务器收到认证请求之后,对客户端进行规则匹配,以确定客户端是否合法,过程如下.a. 判断客户端是否与建立的连接请求策略规则相匹配(这里以MAC 地址作请求规则),匹配失败,将断开客户端连接。

b. 匹配成功,将对请求的客户端再进行远程访问策略规则相匹配(这里以AD 群组用戶作远程访问规则), 在这个匹配过程中,IAS 服务通过在AD 中检查该用户的账号、密码、群组以及访问策略的定义等信息,来决定该用户是否有权接入到无线网络中,IAS 服务再把这个决定传给IAS 客户端(在这里可以理解为AP 或者其无线控制器),如果是拒绝,那客户端将无法接入到无线网络,如果允许,IAS 服务还会把无线客户端的KEY 传给IAS 客户端,客户端和AP 会使用这个KEY 加密并解密他们之间的无线流量。

5. 经过认证之后,AP 会放开对该客户端的限制,让客户端能够自由访问网络上的资源。

如果域中存在DHCP 服务,那么无线客户端获取接入权限之后,会向网络上广播他的DHCP 请求,DHCP 服务器会分配给他一个IP 地址,该客户端即可正常通信。

配置需配置需求求用户目录:与企业的Microsoft Active Directory 目录整合IAS 服务:Windows 2003所带的Internet Authentication Service(IAS) 无线设备:Wireless AP 或 Wireless Router SSID 隐藏:是加密协议:WPA-Enterprise 或 WPA2-Enterprise 加密算法:AES 或 TKIP 认证协定:802.1x 下的PEAP 环境搭建环境搭建 局域网:网域 Pylocal.Domain,网域NetBIOS Pylocal认证服务器:IP 地址10.7.200.9,Windows 2003 Server With SP2,角色为AD 域控制器,IAS 服务,IIS 服务。

无线AP:IP 地址10.7.200.254,Linksys WAP54G,SSID @Wap54g 无线PC:机器名PYedp_Vista Windows XP with SP2无线网卡为Intel PRO Wireless LAN 2200GB PCI AdapterMAC 地址是00-1c-bf-78-f8-e4 说明:机器MAC 地址会在IAS 服务中进行连接请求策略规则匹配,以判断该机器是否有权接入无线网络,这是布署该无线证认网络的第一个验证条件。

认证服务器的配置一、安装AD 活动目录 (这一步就不多说了),在AD 中建立相关的群组及账号,并设置相关属性,如.群组:WirelessGroup 说明:无线授权接入群组,在IAS 服务中进行远程访问策略规则匹配,以判断组成员账号是否有权接入无线网络,这是布署该无线证认网络的第二个验证条件。

用户:Vista 说明:用户Vista 隶属于WirelessGroup 群组设置用户的“远程访问权限(拔入或VPN)”为允许访问二、安装IAS 服务组件1.开始—》控制面板—》添加删除程序—》添加删除windows组件2、选择网络服务—》详细信息—》Internet 验证服务—》确定—》下一步,Windows 会自动安装IAS 服务。

3. 安装好之后,在系统管理工具里面就会找到Internet 验证服务,打开Internet 验证服务管理器,在AD中注册服务器,使IAS 能够读取AD 里面的帐号信息。

右键点击Internet 验证服务—》在Active Directory 中注册服务器. 12三、安装IIS服务相关组件,为IAS服务安装证书由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生,所以必须要给IAS服务器安装一个证书,否则,在配置IAS的时候会出现无法找到证书的错误。

获取证书可以向商业CA申请,但需要不少花费,还可以自己假设CA服务器,这需要对PKI等只是有足够的认识,还有一个简便的方法是,安装“远程管理(HTML)”后,系统会自动安装一个有效期为一年的证书。

1.开始—》控制面板—》添加删除程序—》添加删除windows组件2、选择网络服务—》应用程序服务器—》详细信息—》Internet信息服务(IIS)—》详细信息—》万维网服务—》详细信息—》远程管理(HTML)—》确定—》确定—》确定—》下一步,Windows会自动安装IIS服务,并成功添加远程管理(HTML)组件。

四、打开Internet验证服务管理器,配置IAS服务,这里IAS服务器的IP地址是10.7.200.91. 添加RADIUS客户端。

右键点击RADIUS客户端,选择新建RADIUS客户端.2. 添加连接请求策略,利用Calling-Station-Id 属性,设置无线PC 客户端的MAC 地址验证匹配规则。

展开连接请求处理菜单,右键点击连接请求策略,选择新建连接请求策略.134输入Radius 客户端的IP 地址, 这里请输入无线AP 的IP 地址10.7.200.254设置共享密匙Secret.ap ,该密匙还要在Radius 客户端即无线AP 里输入新建Radius 客户端完成.1345输入允许匹配策略的无线PC 客户端MAC 地址,如00-1c-bf-78-f8-e46 7新建连接请求策略完成83. 添加远程访问策略,利用Windows-Groups属性,授權接入無線網絡的AD群组WirelessGroup,以建立无线PC客户端的AD 账号验证匹配规则。

右键点击远程访问策略,选择新建远程访问策略.1 2添加在AD 中建立的无线接入群组WirelessGroup867 453輸入策略名稱: WirelessAccess9 10注意,如果在配置验证方法那一步出现错误,是因为没有为服务器安装证书。

策略向导完成后,需对该策略进一步配置。

右键点击该策略WirelessAccess,选择属性,选择编辑配置文件,。

服务配置完成。

在身份验证页中,分别勾选上MS-CHAP V2, MS-CHAP加密身份验证,点击确定按钮即可。

IASIAS服务配置完成123客户端 ))的配置 ( 即Radius客户端无线AP的配置1. 这里无线AP的IP是10.7.200.254,进入AP的Security管理页面,对相关功能选项进行适当设置。

这里设置如下:Security Mode [ WPA-Enterprise ]Encryption [ AES ]RADIUS Server [ 10.7.200.9 ] 说明:这里是IAS服务器的IP地址RADIUS Port [ 1812 ] 说明:这里是IAS服务器的连接端口Shared Secret [ Secret.ap ] 说明:这里输入的AP共享密匙必须与IAS服务器上对应的Radius客户端共享密匙相同2. 进入AP的Basic Wireless Settings管理页面,对相关功能选项进行适当设置。

这里设置如下:Mode [ Mixed ]Network Name( SSID ) [ @Wap54g ]Channel [ 11-2.462GHz ]SSID Broadcast [ Disabled ]3. 经过上面两步的设置,无线AP的配置完成。

的设置设置客户端的无线PC客户端客户端操作平台机器名:PYedp_Vista 系统:Windows XP with SP2无线网卡:Intel PRO Wireless LAN 2200GB PCI AdapterMAC地址:00-1c-bf-78-f8-e41. 首先,将PC或Notebook的无线接收开关打开,确保它能正常接收到无线信号。

开始—》运行—》输入Services.msc,打开服务管理器。

1 22. 在打开的服务管理器中,找到Wireless Zero Configuratiion服务后,双击它弹出“Wireless Zero Configuratiion属性”窗体,设置启动类型为自动,点击启动按钮,使服务状态变为已启动。

再点击确定按钮并关闭所有窗体,设置生效。

1 23. 开始—》控制面板,点击窗体左边的切换到经典视图,然后在右边寻找网络连接图标,双击打开进入网络连接窗体,开始新增无线网络接入的配置信息。

1 23右键点击“无线网络连接”图标,在弹出的菜单中选择属性。

在无线网络连接属性窗体中,选择“无线网络配置”选项卡,勾上“用Windows配置我的无线网络设置”,点击高级按钮,在高级窗体中,选中任何可用的网络(首选访问点)选项,然后点击关闭按钮,回到无线网络连接属性窗体中。

1 2点击添加..按钮,在弹出的无线网络属性窗体中,点击“关联”选项卡,输入关联信息:网络名(SSID):@Wag54g 网络验证:WPA 数据加密:AES1 2点击“验证”选项卡,选择EAP类型为“受保护的EAP(PEAP)”;点击属性按扭,在弹出的受保护的EAP属性窗体中,勾掉“验证服务器证书”选项, 选择验证方法“安全密码(EAP-MSCHAP v2)”并选中启用快速重新连接选项; 点击配置按钮,在弹出的EAP MSCHAPv2属性窗体中,勾掉“自动使用windows登录名和密码”,点击确定按钮N 次后,返回到无线网络连接属性窗体。

相关文档
最新文档