802.1x协议是基于
Client/Server的
访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问
LAN/
WLAN。在获得
交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过
以太网端口。
协议简介
网络访问技术的核心部分是PAE(端口访问实体)。在
访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;
认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端。
802.1x协议的基本原理,一种日趋流行的基于端口的访问控制协议,并给出了一个基于802.1x协议的具体的认证应用方案,它采用了Windows XP+ Cisco3550+ Freeraius+ MySQL的应用模型。此认证方案在实际的应用中已被证明是简单高效的。
802.1x协议的体系结构包括3个重要部分:客户端(supplicant system)、认证系统(authenticator system)、认证服务器(authentication server system)。
作为一种先进的宽带网接入认证方式,802.1x已经得到了广泛的重视和应用。而随着无线网络技术、无线网络产品的不断发展,无线网的不断普及,作为专门为无线局域网设计的802.1x凭借着高安全性、更强的数据加密、低成本、高性能等优势,其影响将越来越大,应用将越来越广。
认证特点
基于
以太网端口认证的802.1x协议有如下特点:
IEEE802.1x协议交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务
报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的
数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的
用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
工作过程
(1 当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的
报文给
交换机,开始启动一次认证过程。
(2 交换机收到请求认证的
数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
(3 客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过
封包处理后送给认证服务器进行处理。
(4 认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
(5 客户端程序收到由
交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种
加密算法通常是不可逆的),并通过交换机传给认证服务器。
(6 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
环境特点
(1)交换式以太网络环境
对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户
接入控制,802.1x不需要提供过多的安全机制。
(2)共享式网络环境
当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户
接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中,可以通过加速WEP
密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。
安全性
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。
认证优势
综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。
简洁高效:纯
以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和
冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
容易实现:可在普通L3、L2、IPDSLAM上实现,
网络综合造价成本低,保留了传统
AAA认证的网络架构,可以利用现有的RADIUS设备。
安全可靠:在二层网络上实现
用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在
无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书
密钥的动态分配,克服无线局域网接入中的
安全漏洞。
行业标准:IEEE标准,和
以太网标准同源,可以实现和
以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括
路由器、
交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持,Linux也提供了对该协议的支持。
应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
易于运营:
控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。
认证标准
IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写,详细请参看IEEE关于命名的解释)。它的全称是“基于端口的网络接入控制”。于2001年标准化,之后为了配合
无线网络的接入进行修订改版,于2004年完成。
IEEE 802.1X协议在用户接入网络(可以是
以太网,也可以是Wi-Fi网)之前运行,运行于网络中的MAC层。
EAP协议RADIUS协议。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X
IEEE802.1x协议具有完备的
用户认证、管理功能,可以很好的支撑宽带网络的计费、安全、运营和管理要求,对宽带IP
城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带
以太网中的使用。
认证模式
(1 端口认证模式
该模式下只要连接到端口的某个设备通过认证,其他设备则不需要认证,就可以访问网络资源。
(2 MAC认证模式
该模式下连接到同一端口的每个设备都需要单独进行认证。
交换机
(config)#aaa new-model '启动AAA。
(config)#radius-server host 192.168.1.100 key netdigedu '配置RADIUS服务器地址及
密钥。
(config)#aaa authentication dot1x default group radius '配置802.1x默认认证方法为RADIUS。
(config)#dot1x system-auth-control '在
交换机上全局启用802.1x认证。
(config)#int fa0/24
(config-if)#switchport mode access
(config-if)#dot1x port-control auto '设置接口的802.1x状态。
这个命令一定要注意;
状态有三种:
force-authorized:端口始终处于认证状态并转发流量,这个是默认状态。
force-unauthorized:端口始终处于未认证状态并不能转发流量。
auto:端口通过使用802.1x与客户端交换消息在认证和未认证状态间切换。这个是我们需要的,所以dot1x port-control 命令后一定要用auto。
(config-if)#dot1x host-mode multi-host '
交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。
#show dot1x all '查看802.1x配置。
认证方式
OSV ,Cisco 2960 Windows NPS的联合认证
802.1X提供安全的接入认证,但数据(包括操作系统)存储于本地,数据可能有失窃的危险,比如富士康和比亚迪的官司,在比如陈冠希事件。一些对数据安全要求比较高的企业,政府,一直寻求,即要管好接入端的安全,又要管好数据端安全,做到本地无存储,对数据随需所取的PC应用环境。
OSV配合自己实现的802.1X认证客户端,即实现了对网络接入的数据安全性要求,也实现了对PC的IO虚拟化,通过对数据实现虚拟化派发,用户桌面环境的认证派发,和数据的集中存储,集中管理。通过windows AD 服务器,对用户帐户进行统一管理。
实施准备
1, 支持802.1X认证交换机一台 实验环境:Cisco 2960 (ip:192.168.88.249 netmask 255.255.255.0)
2, Windows 2008 r2 AD 域服务器一台(ip: 192.168.88.188 Netmask:255.255.255.0 )
3, Windows 2008 r2 NPS服务器一台 (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188)
4, 客户机一台
5, 已安装,配置好的OSV 服务器一台 (IP:192.168.88.10)
Cisco 交换机配置
cisco>en 进入特权模式
Password:
cisco#configure terminal 进入全局配置模式
cisco(config)#interface vlan1 进入接口配置模式,配置Vlan1
cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP
cisco(config-if)#exit 退出
cisco(config)#aaa new-model
cisco(config)#aaa authentication dot1x default group radius
cisco(config)#aaa authorization network default group radius
cisco(config)#dot1x system-auth-control
cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV 配置802.1X的认证服务器IP,密钥为OSV 记住此密钥,配置RADIUS时用到。
cisco(config)#interface fastEthernet 0/X 配置需要进行认证的端口
cisco(config-if)#switchport mode access
cisco(config-if)# authentication port-control auto
cisco(config-if)#dot1x port-control auto
cisco(config-if)#dot1x reauthentication
cisco(config-if)#dot1x timeout reauth-period 300
cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。
cisco(config-if)#authentication violation shutdown/pretect/replace/restrict 802.1X shutdown规则
cisco(config-if)#dot1x pae both
cisco(config-if)#spanning-tree portfast 打开端口的快速转发cisco(config-if)#exit
cisco(config)#exit
注:配置完成后,要测试交换机与RADIUS是否可通信,可在交换机上ping RADIUS服务器进行判断。