目 录
1 802.1x配置... 1-1
1.1 802.1x简介.. 1-1
1.1.1 802.1x的体系结构.. 1-1
1.1.2 802.1x的基本概念.. 1-2
1.1.3 EAPOL消息的封装.. 1-3
1.1.4 EAP属性的封装.. 1-4
1.1.5 802.1x的认证触发方式.. 1-5
1.1.6 802.1x的认证过程.. 1-5
1.1.7 802.1x的定时器.. 1-8
1.1.8 802.1x在设备中的实现.. 1-9
1.1.9 和802.1x配合使用的特性.. 1-9
1.2 配置802.1x. 1-10
1.2.1 配置准备.. 1-10
1.2.2 配置全局802.1x. 1-11
英语四级攻略1.2.3 配置端口的802.1x. 1-12
1.3 配置802.1x的Guest VLAN. 1-13
1.3.1 配置准备.. 1-13
1.3.2 配置Guest VLAN. 1-13
1.4 802.1x显示和维护.. 1-14
1.5 802.1x典型配置举例.. 1-14
1.6 Guest VLAN、VLAN下发典型配置举例.. 1-16
1 802.1x配置
1.1 802.1x简介
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
1.1.1 802.1x田园诗派的体系结构
802.1x系统为典型的Client/Server结构,如图1-1所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
图1-1 802.1x认证系统的体系结构
● 客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
● 设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
● 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
802.1x认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。
● 在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
● 在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端进行终结,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证交互。
1.1.2 802.1x的基本概念
图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1x认证系统的端口状态。系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关关闭)。
图1-2 受控端口上授权状态的影响
1. 受控/非受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
● 陕西师范大学怎么样非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
● 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
2. 授权/非授权状态
设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制。
用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式:
● 强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
● 强制非授权模式(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。
● 自动识别模式(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
3. 受控方向
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
● 实行双向受控时,禁止帧的发送和接收;
● 实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
目前,设备只支持单向受控。
1.1.3 EAPOL消息的封装
1. EAPOL数据包的格式
EAPOL是802.1x协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图1-3所示。
图1-3 EAPOL数据包格式
PAE Ethernet Type:表示协议类型,为0x888E。
Protocol Version:表示EAPOL帧的发送方所支持的协议版本号。
Type:表示EAPOL数据帧类型,目前设备上支持的数据类型见表1-1。
表1-1 EAPOL数据类型
类型 | 说明 |
EAP-Packet(值为0x00):认证信息帧,用于承载认证信息 | 该帧在设备端和认证服务器之间存在,重新封装并承载于RADIUS协议上,便于穿越复杂的网络到达认证服务器 |
EAPOL-Start(值为0x01):认证发起帧 | 这两种类型的帧仅在客户端和设备端之间存在 |
EAPOL-Logoff(值为0x02):退出请求帧 | |
Length:表示数据长度,也就是“Packet Body”字段的长度,单位为字节。如果为0,则表
示没有后面的数据域。
Packet Body:表示数据内容,根据不同的Type有不同的格式。
2. EAP数据包的格式
当EAPOL数据包格式Type域为EAP-Packet时,Packet Body为EAP数据包结构,如图1-4所示。
图1-4 EAP数据包格式
Code:指明EAP包的类型,共有4种:Request、Response、Success、Failure。
● Success和Failure类型的包没有Data域,相应的Length域的值为4。
● Request和Response类型数据包的Data域的格式如图1-5所示。Type为EAP的认证类型,Type data的内容由类型决定。例如,Type值为1时代表Identity,用来查询对方的身份;Type值为4时,代表MD5-Challenge,类似于PPP CHAP协议,包含质询消息。
图1-5 Request和Response类型数据包的Data域的格式
Identifier:辅助进行Request和Response消息的匹配。
Length:EAP包的长度,包含Code、Identifier、Length和Data域,单位为字节。
Data:EAP包的内容,由Code类型决定。
1.1.4 EAP属性的封装
RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。RADIUS协议的报文格式请参见“安全分册”中的“AAA配置”的RADIUS协议简介部分。
1. EAP-Message
如图1-6所示,这个属性用来封装EAP数据包,类型代码为79,String域最长253字节,如果EAP数据包长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。
图1-6 EAP-Message属性封装
2. Message-Authenticator
如爱国的文章图1-7所示,这个属性用于在使用EAP、CHAP端口设置等认证方法的过程中,避免接入请求包被窃听。在含有EAP-Message属性的数据包中,必须同时也包含Message-Authenticator,否则该数据包会被认为无效而被丢弃。
图1-7 Message-Authenticator属性
1.1.5 802.1x的认证触发方式
802.1x的认证过程可以由客户端主动发起,也可以由设备端发起。设备支持的认证触发方式包括以下两种:
1. 标准EAP触发方式
客户端主动向设备端发送cad怎么输入命令EAPOL-Start报文来触发认证,该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址:01-80-C2-00-00-03。
另外,由于网络中有些设备不支持上述的组播报文,使得认证设备无法收到客户端的认证请求,因此设备端还支持广播触发方式,即,可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。这种触发方式需要H3C iNode的802.1x客户端的配合。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论