802.1x
一直想找些有用的東西,可是一直找不到,網上資源都是很多,都是大家熟悉的,沒有多大技術含量,想找某一方面比較專業一點的東西,真是難找,表面上的東西大家都知道,可是找到自己想要的東西,太難了,今天總結了一下802.1x 的知識,希望對大家有用:
一.概述
IEEE802.1X稱爲基於端口的訪問控制協議(Port based network access control protocol).基於端口的訪問控制(Port based network access control)能夠在利用IEEE802LAN的優勢基礎上提供一種對連接到局域網(LAN)設備或用戶進行認證和授權的手段。通過這種方式的認證,能夠在LAN這種多點訪問環境中提供一種點到點的識別用戶的方式。這裏端口是指連接到LAN的一個單點結構,可以是被認證系統的MAC地址,也可以是服務器或網絡設備連接LAN的物理端口,或者是在IEEE802.11無線LAN環境中定義的工作站和訪問點之間的關係。
二.幾個術語
Authenticator
認證系統:指在LAN連接的一端用於認證另一端設備的實體。
Authentication Server
認證服務器,指爲認證系統提供認證服務的實體。這裏認證服務器所提供的服務是指通過檢驗客戶端發送來的身份標識,來判斷該請求者是否有權使用認證系統所提供的網絡服務。
認證服務器與認證系統配合工作,可以集成在一起,也可以分開放在認證系統通過網絡可以遠程訪問的地方
Network Access Port
網絡訪問端口,指用戶系統連接到LAN的訪問端口。訪問端口可以是物理端口,例如連接到用戶的網絡設備端口;也可以是邏輯端口,例如用戶設備的MAC地址。
Port Access Entity(PAE)
端口訪問實體,指一個端口的相關協議實體。一個給定的PAE 能夠支持與Authenticator、Supplicant 的協議功能或者兩者功能同時具備.
Supplicant PAE
在客戶端中,PAE主要負責響應來自認證系統建立信任關係的請求,稱爲客戶端PAE。
Authentication PAE
在認證系統中,PAE負責與客戶端的通信,把從客戶端收到的信息傳送給認證服務器以便完成認證。該PAE稱爲認證系統PAE。
認證系統PAE根據認證服務器提供的關於用戶合法性的信息來控制受控端口的狀態是認證狀態或未認證狀態。
7. Supplicant
客戶端,指LAN所連接的一端的實體(entity),它被連接的另一端的一個Authenticator所認證
EAP
Extensible Authentication Protocol,擴展認證協議
RADIUS
Remote Authentication Dial In User Service
爲了完成一個認證交換,Supplicant、Authenticator、Authenticator Server這三種角色都是必需的。一個特定的系統能夠充當一個或多個角色。比如一個端口能夠在一個認證交換中充當Supplicant角色,也能成爲Authenticator
三.基本原理:
受控和非受控的訪問
認證系統的一個端口有兩種邏輯狀態,因此有兩種邏輯端口:受控端口和非受控端口。
非受控端口只能傳送認證協議相關的協議報文,而不管此時受控端口的狀態是已認證狀態(Authorized)還是未認證狀態(Unauthorized)。
受控端口傳送業務報文,如果用戶通過認證,則受控端口的狀態爲已認證狀態,可以傳送業務報文。如果用戶未通過認證,則受控端口的狀態爲未認證狀態,不能傳送業務報文。
受控端口有兩種狀態:即已認證狀態與未認證狀態。
當用戶未通過認證時,受控端口處於開路,端口狀態爲未認證狀態,此時交換機的交換功能是關閉的,也就是說交換機無法像傳統的通過查找目標MAC地址來進行交換,如果用戶有業務報文是無法通過的。
當用戶通過認證後,受控端口閉合,端口狀態爲通過認證狀態,此時交換機的交換功能打開,就和傳統的交換方式一致了,用戶的業務報文就可以順利通過。
端口的狀態受相關的協議參數控制,如AuthControlledPortStatus參數控制交換功能的打開和關閉等。
端口控制方式
對於端口的控制,可以有多種方式。端口可以是物理的端口,也可以是用戶設備的MAC地址,如果設備支持全程的VLAM,也可以把VLAN ID看成是端口。
基於物理端口的控制方式,每個物理端口包含兩個邏輯端口:受控端口和不受控端口。不受控端口傳遞認證的協議報文,受控端口傳遞業務報文。採用這種端口控制方式,則必須在與最終用戶直接相連的交換機實現802.1x認證,在相應的端口進行控制。這樣會導致低端交換機的成本上升,勢必增加整個網絡的建網成本。
另一種端口控制方式就是基於用戶設備的MAC地址進行控制。把用戶設備的MAC地址看成端口,每個MAC地址有兩個邏輯端口:受控和不受控端口。
如果用戶要訪問LAN的資源,則首先其MAC地址必須處於激活狀態,然後纔能有協議報文通過不受控的端口傳遞,開始整個認證過程。如果其MAC地址未激活或者被管理性的禁止,則無法進行認證。
交換機的實現
Flex5010實現了基於端口和基於用戶兩種認證方式。
基於端口的認證實現原理是:未認證通過時,端口的學習功能是disable的,此端口只要有用戶通過認證了,則打開此端口的學習功能。
基於用戶的認證實現原理是:端口的學習功能一直是disable的,此端口只要有用戶通過認證了,則爲此用戶創建一條靜態MAC地址表。
四. 802.1X的協議體系結構
802.1X的協議體系結構包括三個重要的部分:Supplicant System客戶端,Authenticator System認證系統,Authenticator Server System認證服務器。
下圖描述了三者之間的關係以及相互之間的通信。
圖1.1 IEEE 802.1x認證體系結構
客戶端系統一般爲一個用戶終端系統,該終端系統通常要安裝一個客戶端軟件,用戶通過啓動這個客戶端軟件發起802.1x協議的認證過程。爲支持基於端口的接入控制,客戶端系統 需支持EAPOL(Extensible Authentication Protocol Over LAN)協議。
認證系統通常爲支持802.1x協議的網絡設備。該設備對應於不同用戶的端口(可以是物理端口,也可以是用戶設備的MAC地址)有兩個邏輯端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始終處於雙向連通狀態,主要用來傳遞 EAPOL 協議幀,可保證客戶端 始終可以發出或接受認證。受控端口只有在認證通過的狀態下才打開,用於傳遞網絡資源和服務。受控端口可配置爲雙向受控、僅輸入受控兩種方式,以適應不同的應用環境。如果用戶未通過認證,則受控端口處於未認證狀態,則用戶無法訪問認證系統提供的服務。
PAE是端口訪問實體(Port Access Entity),分爲客戶端PAE和認證系統PAE:
客戶端PAE:位於客戶端,主要負責響應來自認證系統建立信任關係的請求。
認證系統PAE:位於認證系統,負責與客戶端的通信,把從客戶端收到的信息傳送給認證服務器以完成認證。
認證系統的PAE通過不受控端口與Supplicant PAE進行通信,二者之間運行EAPOL協議。認證系統的PAE與認證服務器之間運行RADIUS(Remote Authentication Dial In User Service)協議。
認證系統和認證服務器之間的通信可以通過網絡進行,也可以使用其他的通信通道,例如如果認證系統和認證服務器集成在一起,二個實體之間的通信就可以不採用EAP協議。
認證服務器通常爲RADIUS服務器,該服務器可以存儲有關用戶的信息,比如用戶所屬的VLAN、CAR參數、優先級、用戶的訪問控制列表等等。當用戶通過認證後,認證服務器會把用戶的相關信息傳遞給認證系統,由認證系統構建動態的訪問控制列表,用戶的後續流量就將接受上述參數的監管。
圖1.1描述了終端用戶的認證機制,對於網絡設備之間的認證也是一樣。例如:當一個網絡設備A要求訪問網絡設備B所提供的服務時,系統A的PAE就成爲客戶端(Suppliant),系統B的PAE爲認證系統(Authenticator);如果B要求訪問A所提供的服務時,B的PAE就成爲客戶端,A的PAE就成爲認證系統。