背景:最近完成一個需求,要求交換機支持dot1x+radius+ tacacs+ ,因此研究了一下這個認證協議!
簡介
IEEE802.1x是爲了解決無線局域網網絡的安全問題,提出的認證協議,後來,802.1x協議作爲局域網接口的一個普通接入控制機制在以太網中被廣泛應用,主要解決以太網內認證和安全的問題。
802.1x,又被稱爲EAPOE,(Extensible Authentication Protocol Over Ethernet)。認證時採用了radius協議一種認證方式,不過同樣也支持tacacs+。這便形成了典型C/S結構,包括客戶端、接入設備、認證服務器。
特點
安全性高,接入控制點部署在網絡接入層和匯聚層
需要使用認證客戶端或者操作系統自帶的802.1x客戶端,推薦使用h3c的認證軟件
技術成熟,廣泛應用於各類型園區的員工接入
C/S結構
客戶端:
客戶端是位於局域網段一端的一個實體,由該鏈路另一端的接入設備對其進行認證。客戶端一般爲一個用戶終端設備,用戶可以通過啓動客戶端軟件發起802.1X認證。客戶端必須支持局域網上的可擴展認證協議EAPOL(Extensible Authentication Protocol over LAN)
接入設備:
接入設備是位於局域網段一端的另一個實體,對所連接的客戶端進行認證。接入設備通常爲支持802.1X協議的網絡設備,它爲客戶端提供接入局域網的接口
認證服務器:
爲接入設備提供認證服務的實體,認證服務器用於對用戶的認證、授權和計費,通常爲radius或者tacacs+
802.1x認證模式
基於端口:對於接入設備而言,通過認證的端口狀態爲授權狀態,通過這個端口接入的客戶端均可以訪問網絡資源
基於MAC:對於接入設備而言,通過認證的端口還會記錄客戶端的MAC地址,這有這個MAC地址的客戶端纔可以訪問網絡資源
端口控制狀態
自動識別(auto):表示端口初始狀態爲非授權狀態,僅允許EAPOL報文收發,丟棄其他所有報文,不允許用戶訪網絡資源,當認證通過時,端口狀態設爲授權狀態,允許用戶訪問網絡資源
強制授權(authorized-force):表示端口始終處於授權狀態,允許用戶不經過認證直接訪問網絡資源
強制非授權(unauthorized-force):表示端口始終處於非授權狀態,不允許用戶進行認證
觸發方式
認證過程可以由客戶端主動發起,也可以由接入設備發起
客戶端發起:用戶主動開啓客戶端,輸入用戶名和密碼向接入設備發送EAP報文來觸發認證。支持廣播和組播方式
接入設備發起:接入設備在接收到用戶終端發送的DHCP/ARP報文後,主動觸發用戶終端自動彈出客戶端界面,用戶輸入用戶名和密碼即可認證,支持組播觸發和單播觸發
認證方式
802.1x認證使用了可擴展協議EAP(Extensible Authentication Protocol)來實現客戶端、接入設備、認證服務器之間的信息交互
在客戶端和接入設備之間,EAP協議報文使用EAPOL,(EAP over LAN),直接承載於LAN環境中
在接入設備和認證服務器之間,EAP報文有兩種交互方式(中繼方式、終結方式)
EAP中繼方式,即透傳方式
說明:EAP協議報文由接入設備進行中繼,接入設備將EAP報文使用EAPOR(EAP over RADIUS)封裝格式承載於RADIUS協議中,發送給RADIUS服務器進行認證。該認證方式的優點是:接入設備處理簡單,可支持多種類型的EAP認證方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求RADIUS服務器端支持相應的認證方法
EAP終結方式
說明:EAP協議報文由接入設備進行終結,接入設備將客戶端認證信息封裝在標準RADIUS報文中,與服務器之間採用密碼驗證協議PAP(Password Authentication Protocol)或質詢握手驗證協議CHAP(Challenge Handshake Authentication Protocol)方式進行認證。該認證方式的優點是:現有的RADIUS服務器基本均可支持PAP和CHAP認證,無需升級服務器,但接入設備處理較爲複雜,且不能支持除MD5-Challenge之外的其它EAP認證方法。
Dot1x實現接入控制方法
從二層的角度來實現dot1x非常簡單,接入設備端口設置爲802.1x模式,即丟棄EAPOL以外的報文,待認證通過後,將端口設置了可轉發狀態,若是基於MAC模式,則下發一條MAC表項,端口設置丟棄源未知報文。