802 1X協議 交換機知識

2021-07-25 16:53:31 字數 3238 閱讀 9520

802.1x協議是ieee802 lan/wan委員會為了解決無線區域網網路安全問題提出的。後來該協議作為區域網埠的乙個普通接入控制機制應用於乙太網中,主要用於解決乙太網內認證和安全方面的問題,在區域網接入裝置的埠這一級對所接入的裝置進行認證和控制。

802.1x 體系結構

802.1x的系統是採用典型的client/server體系結構,包括三個實體,如圖所示。

1) 客戶端:區域網中的乙個實體,多為普通計算機,使用者通過客戶端軟體發起802.1x認證,並由裝置端對其進行認證。客戶端軟體必須為支援802.1x認證的使用者終端裝置。

2) 裝置端:通常為支援802.1x協議的網路裝置,如本交換機,為客戶端提供接入區域網的物理/邏輯埠,並對客戶端進行認證。

3) 認證伺服器:為裝置端提供認證服務的實體,例如可以使用radius伺服器來實現認證伺服器的認證和授權功能。該伺服器可以儲存客戶端的相關資訊,並實現對客戶端的認證和授權。為了保證認證系統的穩定,可以為網路設定乙個備份認證伺服器。當主認證伺服器出現故障時,備份認證伺服器可以接替認證伺服器的工作,保證認證系統的穩定。

802.1x 認證工作機制

ieee 802.1x認證系統使用eap(extensible authentication protocol,可擴充套件認證協議)來實現客戶端、裝置端和認證伺服器之間認證資訊的交換。

1) 在客戶端與裝置端之間,eap協議報文使用eapol封裝格式,直接承載於lan環境中。

2) 在裝置端與radius伺服器之間,可以使用兩種方式來交換資訊。一種是eap協議報文使用eapor(eap over radius)封裝格式承載於radius協議中;另一種是裝置端終結eap協議報文,採用包含pap(password authentication protocol,密碼驗證協議)或chap(challenge handshake authentication protocal,質詢握手驗證協議)屬性的報文與radius伺服器進行認證。

3) 當使用者通過認證後,認證伺服器會把使用者的相關資訊傳遞給裝置端,裝置端根據radius伺服器的指示(accept或reject)決定受控埠的授權/非授權狀態。

802.1x 認證過程

認證過程可以由客戶端主動發起,也可以由裝置端發起。一方面當裝置端探測到有未經過認證的使用者使用網路時,就會主動向客戶端傳送eap-request/identity報文,發起認證;另一方面客戶端可以通過客戶端軟體向裝置端傳送eapol-start報文,發起認證。

802.1x系統支援eap中繼方式和eap終結方式與遠端radius伺服器互動完成認證。以下關於兩種認證方式的過程描述,都以客戶端主動發起認證為例。

1. eap中繼方式

eap中繼方式是ieee 802.1x標準規定的,將eap(擴充套件認證協議)承載在其它高層協議中,如eap over radius,以便擴充套件認證協議報文穿越複雜的網路到達認證伺服器。一般來說,eap中繼方式需要radius伺服器支援eap屬性:eap-message和message-authenticator。本交換機支援的eap中繼方式是eap-md5,eap-md5認證過程如圖所示。

1) 當使用者有訪問網路需求時開啟802.1x客戶端程式,輸入已經申請、登記過的使用者名稱和密碼,發起連線請求(eapol-start報文)。此時,客戶端程式將發出請求認證的報文給裝置端,開始啟動一次認證過程。

2) 裝置端收到請求認證的資料幀後,將發出乙個請求幀(eap-request/identity報文)要求使用者的客戶端程式傳送輸入的使用者名稱。

3) 客戶端程式響應裝置端發出的請求, 將使用者名稱資訊通過資料幀(eap-response/identity報文)傳送給裝置端。裝置端將客戶端傳送的資料幀經過封包處理後(radius access-request報文)送給認證伺服器進行處理。

4) radius伺服器收到裝置端**的使用者名稱資訊後,將該資訊與資料庫中的使用者名稱表對比,找到該使用者名稱對應的密碼資訊,用隨機生成的乙個加密字對它進行加密處理,同時也將此加密字通過radius access-challenge報文傳送給裝置端,由裝置端**給客戶端程式。

5) 客戶端程式收到由裝置端傳來的加密字(eap-request/md5 challenge報文)後,用該加密字對密碼部分進行加密處理(此種加密演算法通常是不可逆的,生成eap-response/md5 challenge報文),並通過裝置端傳給認證伺服器。

6) radius伺服器將收到的已加密的密碼資訊(radius access-request報文)和本地經過加密運算後的密碼資訊進行對比,如果相同,則認為該使用者為合法使用者,反饋認證通過的訊息(radius access-accept報文和eap-success報文)。

8) 客戶端也可以傳送eapol-logoff報文給裝置端,主動要求下線,裝置端把埠狀態從授權狀態改變成未授權狀態。

1. eap終結方式

eap終結方式將eap報文在裝置端終結並對映到radius報文中,利用標準radius協議完成認證、授權和計費。裝置端與radius伺服器之間可以採用pap或者chap認證方法。本交換機支援的eap終結方式是pap,pap認證過程如圖所示。

在pap模式中,交換機對使用者口令資訊進行加密,然後把使用者名稱、隨機加密字和客戶端加密後的口令資訊一起**給認證伺服器進行相關的認證處理;而在eap-md5模式中,隨機加密字由認證伺服器產生,交換機只負責把認證資訊報文封裝後**。

802.1x 定時器

802.1x認證過程中會啟動多個定時器以控制接入使用者、裝置以及radius伺服器之間進行合理、有序的互動。本交換機中的802.1x定時器主要有以下三種:

1)客戶端認證超時定時器:當交換機向客戶端傳送報文後,交換機啟動此定時器,若在該定時器設定的時長內,交換機沒有收到客戶端的響應,交換機將重發該報文。

2)認證伺服器超時定時器:當交換機向認證伺服器傳送報文後,交換機啟動此定時器,若在該定時器設定的時長內,交換機沒有收到認證伺服器的響應,交換機將重發認證請求報文。

3)靜默定時器:對使用者認證失敗以後,交換機需要靜默一段時間(該時間由靜默定時器設定),在靜默期間,交換機不再處理該使用者的認證請求。

802 1X協議 交換機知識

802.1x協議是ieee802 lan wan委員會為了解決無線區域網網路安全問題提出的。後來該協議作為區域網埠的乙個普通接入控制機制應用於乙太網中,主要用於解決乙太網內認證和安全方面的問題,在區域網接入裝置的埠這一級對所接入的裝置進行認證和控制。802.1x 體系結構 802.1x的系統是採用典...

思科交換機(cisco)開啟802 1x認證

思科交換機 cisco 開啟802.1x認證 1 開啟aaa認證 username cisco password x aaa new model aaa authentication dot1x default group radius aaa authorization network defau...

802 1x協議解析

802.1x協議是由 美 電氣與電子工程師協會提出,剛剛完成標準化的乙個符合ieee 802協議集的區域網接入控制協議,其全稱為基於埠的訪問控制協議。它能夠在利用ieee 802區域網優勢的基礎上提供一種對連線到區域網的使用者進行認證和授權的手段,達到了接受合法使用者接入,保護網路安全的目的。802...