802.1x认证概述

小乔

思科知识点汇总贴
http://bbs.hh010.com/thread-529979-1-1.html
(出处: 鸿鹄论坛)



1.802.1x概述
①802.1x起源于EAPoW，802.11协议
②802.1x是IEEE为了解决基于端口的接入控制（Port-Based Network Access Control）而定义的一个标准
③802.1x 作为一种基于端口的用户访问控制机制，拥有低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性
④Windows XP/Windows 2003/Windows 7都集成了IEEE 802.1x客户端程序（启用Wired AutoConfig服务后，在网络连接的“属性”选项卡中可以找到身份验证）
⑤用户通过启动客户端程序发起802.1X认证，客户端必须支持EAPOL协议
2.802.1x体系结构

①认证系统

②受控方向
受控端口在非授权状态下，可以被设置成双向受控和仅输入受控：实行双向受控时，禁止帧的发送和接收；实行仅输入受控时，禁止从客户端接收帧，但允许向客户端发送帧。默认情况下，受控端口实行双向受控。
3.802.1x工作机制
①客户端与认证系统之间，采用EAPOL的封装格式，进行报文的交互；
②认证系统与认证服务器（RADIUS服务器）之间，可以采用 EAP/PAP/CHAP over RADIUS的三种封装格式，进行报文的交互；
③认证系统根据RADIUS服务器的指示（Accept或Reject），来决定受控端口的状态为授权或非授权状态。

4.端口控制方式（物理端口、MAC、VLAN ID）
①基于交换机物理端口实施的802.1x认证
  基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受控端口和不受控端口。不受控端口传递认证的协议报文，受控端口传递业务报文。采用这种端口控制方式，则必须在与最终用户直接相连的交换机实现802.1x认证，在相应的端口进行控制
②基于用户MAC地址实施的802.1x认证
  把用户设备的MAC地址看成端口，每个MAC地址有两个逻辑端口：受控和不受控端口。如果用户要访问LAN的资源，则首先其MAC地址必须处于激活状态，然后才能有协议报文通过不受控的端口传递，开始整个认证过程。如果其MAC地址未激活或者被管理性的禁止，则无法进行认证
③基于全程VLAN实施的802.1x认证
  把用户的VLAN ID号看成端口（标准的802.1X不支持Trunk端口，因为标准规定的认证控制对象端口是不支持复用的，而Trunk端口方式是只要有一个VLAN中的用户认证通过，则复用该端口的其他所有VLAN也被相应授权，因此不能支持Trunk端口认证）此处为标准协议的扩展。
5.802.1x认证方式
①PAP认证
密码验证协议（Password Authentication Protocol），其特点是密码通过明文的发式传输802.1X认证系统没有定义PAP认证方式，此处为RFC2284的扩展。
②CHAP认证
质询握手验证协议（Challenge Handshake Authentication Protocol），密码通过密文方式传输，遵循RFC1994
③EAP认证
扩展验证协议（Extensible Authentication Protocol），即所谓的EAP中继认证方式。这种认证方法的好处是质询和计算的过程交由服务器完成，从一定程度上减轻了交换机的负担EAP认证方式又分为EAP-MD5、EAP-TLS、EAP-TTLS、PEAP等等。
6.802.1x认证模式（EAP中继模式和EAP终结模式）
①EAP中继模式：交换机完全的作为中继（采用EAP属性进行认证）—— IEEE802.1X标准模式
交换机将EAP报文封装到RADIUS报文中发送给Radius服务器，需要Radius服务器支持EAP属性。EAP中继认证可以由多种安全控制方法，具体的实现方法如下：
–EAP-MD5（MD5 Challenge）
–EAP-TLS （Transport Layer Security）
–EAP-TTLS （Tunneled TLS)
–PEAP （Protected EAP）
基于EAP—MD5的802.1x认证流程（图解）：

4.端口控制方式（物理端口、MAC、VLAN ID）
①基于交换机物理端口实施的802.1x认证
  基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受控端口和不受控端口。不受控端口传递认证的协议报文，受控端口传递业务报文。采用这种端口控制方式，则必须在与最终用户直接相连的交换机实现802.1x认证，在相应的端口进行控制
②基于用户MAC地址实施的802.1x认证
  把用户设备的MAC地址看成端口，每个MAC地址有两个逻辑端口：受控和不受控端口。如果用户要访问LAN的资源，则首先其MAC地址必须处于激活状态，然后才能有协议报文通过不受控的端口传递，开始整个认证过程。如果其MAC地址未激活或者被管理性的禁止，则无法进行认证
③基于全程VLAN实施的802.1x认证
  把用户的VLAN ID号看成端口（标准的802.1X不支持Trunk端口，因为标准规定的认证控制对象端口是不支持复用的，而Trunk端口方式是只要有一个VLAN中的用户认证通过，则复用该端口的其他所有VLAN也被相应授权，因此不能支持Trunk端口认证）此处为标准协议的扩展。
5.802.1x认证方式
①PAP认证
密码验证协议（Password Authentication Protocol），其特点是密码通过明文的发式传输802.1X认证系统没有定义PAP认证方式，此处为RFC2284的扩展。
②CHAP认证
质询握手验证协议（Challenge Handshake Authentication Protocol），密码通过密文方式传输，遵循RFC1994
③EAP认证
扩展验证协议（Extensible Authentication Protocol），即所谓的EAP中继认证方式。这种认证方法的好处是质询和计算的过程交由服务器完成，从一定程度上减轻了交换机的负担EAP认证方式又分为EAP-MD5、EAP-TLS、EAP-TTLS、PEAP等等。
6.802.1x认证模式（EAP中继模式和EAP终结模式）
①EAP中继模式：交换机完全的作为中继（采用EAP属性进行认证）—— IEEE802.1X标准模式
交换机将EAP报文封装到RADIUS报文中发送给Radius服务器，需要Radius服务器支持EAP属性。EAP中继认证可以由多种安全控制方法，具体的实现方法如下：
–EAP-MD5（MD5 Challenge）
–EAP-TLS （Transport Layer Security）
–EAP-TTLS （Tunneled TLS)
–PEAP （Protected EAP）
基于EAP—MD5的802.1x认证流程（图解）：

注：EAP中继模式和EAP终结模式的主要区别是：使用的协议不同；报文交互过程不同。
7.802.1x组网方式
①集中认证方案
在核心交换机上实施802.1x认证，集中认证适合于大中型网络，由于网络设备众多，集  中认证有利于管理和集中控制；但是认证设备的负荷较重。
②边缘分布认证方案
在连接用户终端的交换机上做802.1x认证，不易于集中管理。
8.配置802.1X
switch(config)#aaa new-model     #启动AAA
switch(config)#radius-server host 192.168.1.100 auth-port 1812 key xyz123    #配置RADIUS服务器地址、认证端口及密钥
switch(config)#aaa authentication dot1x default group radius     #配置802.1x默认认证方法为RADIUS
switch(config)#dot1x system-auth-control     #在交换机上全局启用802.1x认证
switch(config)#int fa0/24 　　
switch(config-if)#switchport mode access 　　
switch(config-if)#dot1x port-control auto    #设置接口的802.1x状态。802.1x的受控端口的三个模式：Force Authorized，常开模式（端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源）；Force Unauthorized，常关模式（端口一直维持非授权，忽略所有客户端发起的认证请求）；Auto，协议控制模式（端口初始状态为非授权状态，仅允许EAPOL报文收发，802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源）。
switch#show dot1x all     #查看802.1x配置

q466265670

学习

IT小白888

谢谢，辛苦

scogh589

thanks

matt6116

感謝分享~

xpc1990

初来乍到，谢谢分享

。cpp

感谢楼主

淼渺淼渺

感谢楼主的分享

wqwq886

精品，一点不罗嗦 感谢

niconiconi_404

感谢楼主的分享