背景:最近完成一个需求,要求交换机支持dot1x+radius+ tacacs+ ,因此研究了一下这个认证协议!
简介
IEEE802.1x是为了解决无线局域网网络的安全问题,提出的认证协议,后来,802.1x协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全的问题。
802.1x,又被称为EAPOE,(Extensible Authentication Protocol Over Ethernet)。认证时采用了radius协议一种认证方式,不过同样也支持tacacs+。这便形成了典型C/S结构,包括客户端、接入设备、认证服务器。
特点
安全性高,接入控制点部署在网络接入层和汇聚层
需要使用认证客户端或者操作系统自带的802.1x客户端,推荐使用h3c的认证软件
技术成熟,广泛应用于各类型园区的员工接入
C/S结构
客户端:
客户端是位于局域网段一端的一个实体,由该链路另一端的接入设备对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)
接入设备:
接入设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。接入设备通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的接口
认证服务器:
为接入设备提供认证服务的实体,认证服务器用于对用户的认证、授权和计费,通常为radius或者tacacs+
802.1x认证模式
基于端口:对于接入设备而言,通过认证的端口状态为授权状态,通过这个端口接入的客户端均可以访问网络资源
基于MAC:对于接入设备而言,通过认证的端口还会记录客户端的MAC地址,这有这个MAC地址的客户端才可以访问网络资源
端口控制状态
自动识别(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,丢弃其他所有报文,不允许用户访网络资源,当认证通过时,端口状态设为授权状态,允许用户访问网络资源
强制授权(authorized-force):表示端口始终处于授权状态,允许用户不经过认证直接访问网络资源
强制非授权(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证
触发方式
认证过程可以由客户端主动发起,也可以由接入设备发起
客户端发起:用户主动开启客户端,输入用户名和密码向接入设备发送EAP报文来触发认证。支持广播和组播方式
接入设备发起:接入设备在接收到用户终端发送的DHCP/ARP报文后,主动触发用户终端自动弹出客户端界面,用户输入用户名和密码即可认证,支持组播触发和单播触发
认证方式
802.1x认证使用了可扩展协议EAP(Extensible Authentication Protocol)来实现客户端、接入设备、认证服务器之间的信息交互
在客户端和接入设备之间,EAP协议报文使用EAPOL,(EAP over LAN),直接承载于LAN环境中
在接入设备和认证服务器之间,EAP报文有两种交互方式(中继方式、终结方式)
EAP中继方式,即透传方式
说明:EAP协议报文由接入设备进行中继,接入设备将EAP报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中,发送给RADIUS服务器进行认证。该认证方式的优点是:接入设备处理简单,可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求RADIUS服务器端支持相应的认证方法
EAP终结方式
说明:EAP协议报文由接入设备进行终结,接入设备将客户端认证信息封装在标准RADIUS报文中,与服务器之间采用密码验证协议PAP(Password Authentication Protocol)或质询握手验证协议CHAP(Challenge Handshake Authentication Protocol)方式进行认证。该认证方式的优点是:现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但接入设备处理较为复杂,且不能支持除MD5-Challenge之外的其它EAP认证方法。
Dot1x实现接入控制方法
从二层的角度来实现dot1x非常简单,接入设备端口设置为802.1x模式,即丢弃EAPOL以外的报文,待认证通过后,将端口设置了可转发状态,若是基于MAC模式,则下发一条MAC表项,端口设置丢弃源未知报文。