前言
什么是802.1x
2001年,IEEE 802.1x LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议,并在2004年完成该协议标准化。因具有普适性,在以太网中被广泛应用,主要用于解决以太网用户安全接入认证问题。
802.1x 协议体系结构简述
802.1x是一种基于端口的网络接入控制协议(Port-Based Network Access Control Protocol),未经授权的用户终端接入网络设备端口,如果认证通过,将获得权限访问网络中的资源;如果不能通过认证,则无法访问。 802.1x认证系统是基于Client/Server架构,包括3个实体,如下图:
802.1x协议体系结构图
认证客户端:用户侧网络实体,用于接入网络访问资源,一般为用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPoL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。 认证设备:网络侧网络实体,用于连接和认证用户客户端,通常为支持802.1x协议的网络设备,为客户端提供接入局域网的端口,该端口可以是物理端口(有线网),也可以是逻辑端口(无线网)。 认证设备为认证客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。认证设备对认证客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权或非授权状态进行相应的控制。 认证服务器:提供认证服务的网络实体,用于实现对认证客户端进行认证、授权和计费,通常为RADIUS服务器或TACACS服务器。
认证客户端与认证设备之间的认证触发方式分为两种: ① 认证客户端主动触发:主动向认证设备发送报文来触发认证。 ② 认证设备主动触发:定时向认证客户端发送报文来触发认证。
802.1x认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),用来实现认证客户端、认证设备和认证服务器之间认证信息的交互。 客户端与认证设备之间:为了安全考虑,不能直接在局域网环境中传输,而是将EAP协议报文封装成EAPoL格式后进行传输。 认证设备与认证服务器之间:认证设备使用EAP中继方式或EAP终结方式来交换认证信息。
802.1x 认证过程简述
802.1x认证过程分为EAP中继方式和EAP终结方式两种:
① 发送用户名信息 用户访问网络时,启动802.1x客户端功能,输入已经申请注册过的用户名和密码,认证客户端将用户名信息发送给认证设备,认证设备封装后转发送给认证服务器。 ② 发送密码信息 认证服务器将用户名与数据库对比后,找到该用户对应的密码信息,生成随机加密字经认证设备转发给认证客户端。客户端用加密字处理过的密码通过认证设备传给认证服务器。 ③ 认证通过 认证服务器收到已加密的密码信息经过处理后与本地密码对比,二者相同,该用户合法,通知认证设备。认证设备收到通过的消息后将接入端口改为授权状态,允许用户访问网络资源。认证设备通过向认证客户端定期发送握手报文的手段,监测用户在线情况。 ④ 被动下线 认证设备监测用户是否在线,如果未得到认证客户端应答,认证设备将用户强制下线,防止认证设备对用户异常下线无感知。 ⑤ 主动下线 认证客户端准备下线时,发送报文告知认证设备,主动要求下线。认证设备端口状态从授权变更为非授权状态,同时发送报文告知客户端下线。
与EAP中继方式相比,唯一区别就是随机加密字由认证设备生成,认证设备会把用户名、加密字和认证客户端加密后的密码信息一起发送给认证服务器,认证服务器再进行相关认证处理。
实际应用
在一些企业中,任何用户终端能够通过无线SSID或连接网线的方式自动获得IP,在自动弹出的Web/Portal页面上输入自己的用户名密码,接入到企业办公网络,无差别访问网络资源。
企业IT管理者要求将所有接入的终端资产进行纳管和区分,需求如下: ? 终端资产:区分企业配发的终端、个人自备终端 ? 账号:外部访客通过自助获取,企业用户通过提前申请获取 ? 访问权限:不同部门、不同类型的用户对应不同VLAN、能获取对应的网段IP、带宽资源及访问权限 ? 审计:能对所有用户登录日志进行审计
在认证设备即接入交换机上配置802.1x认证、认证策略、认证域、接口dot1x等相关内容,结合第三方认证系统配置相关策略,如同步组织架构、下发VLAN、下发ACL等,实现上述功能需求。 企业终端,例如办公笔记本电脑,安装了第三方802.1x客户端软件。如下图:
第三方802.1x客户端图标
第三方802.1x客户端软件
个人终端,例如个人笔记本电脑、手机等,可使用系统自带的802.1x软件申请接入。如下图:
笔记本电脑网卡自带802.1x
手机网卡自带802.1x
总结
参考文献 [1] 802.1X:基于端口的网络接入控制标准[J]. 郑晓蕾,曹秀英. 通信技术. 2002(06) [2]基于802.1x的局域网接入认证方案[J]. 刘海旺,邱卫东,黄征. 信息安全与通信保密. 2009(03) [3]华为交换机 https://support.huawei.com/enterprise/zh/doc/EDOC1100194429 [4]802.1X技术基础 http://www.h3c.com/cn/d_201309/922103_30005_0.htm [5]路由交换技术详解与实践 新华三大学 清华大学出版社 2018(07) [6]802.1X网络准入控制技术的优势分析 https://www.leagsoft.com/doc/article/1797.html
作者:王小瑾 排版设计:王蔚棋 手绘插画:岳 媛
在看不好意思,那就点个赞吧
原创文章,作者:EBCloud,如若转载,请注明出处:https://www.sudun.com/ask/33378.html