- 1不会吧?!新版本longhorn部署需要k8s.gcr.io镜像?_defaultclassreplicacount
- 22020年前端Vue面试题(04-04)_腾讯前端vue面试2020
- 3paho mqtt c++库 交叉编译_mqtt c++交叉编译 支持mqtts
- 4GPT 时代的程序员生存之道 | 新程序员
- 5关于nodejs的npm命令无反应的解决方案_"为什么输入npm config set cache \"d:\\kaifa\\node\\node
- 6SpringBoot集成阿里云OSS、华为云OBS、七牛云、又拍云等上传案例【附白嫖方案】【附源码】_springboot 阿里云oss和七牛云切换
- 7Minecraft-纯净服务器搭建全流程_mc服务器
- 8QAxObject保存Excel表格_qaxbase::setcontrol: requested control excel.appli
- 9英语练习APP_sexual intercourse video
- 10Pycharm:高效开发-11款开发常用的插件(1)_pycharm ai插件
802.1x协议
赞
踩
目录
1.什么是802.1x协议
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
2.为什么使用802.1x协议
通常在新建网络、用户集中或者信息安全要求严格的场景中使用802.1X认证。802.1X认证具有以下优点:
- 对接入设备的性能要求不高。802.1X协议为二层协议,不需要到达三层,可以有效降低建网成本。
- 在未授权状态下,不允许与客户端交互业务报文,因此保证了业务安全。
以企业网络为例。员工终端一般需要接入办公网络,安全要求较高,此时推荐使用802.1X认证。
但802.1X认证要求客户端必须安装802.1X客户端软件。在机场、商业中心等公共场所,用户流动性大,终端类型复杂,且安全要求不高,可以使用Portal认证。对于打印机、传真机等哑终端,可以使用MAC认证,以应对哑终端不支持安装802.1X客户端软件,或者不支持输入用户名和密码的情况。
3.如何使用802.1x协议
1)客户端 设备端 认证服务器需要满足的要求
如下图所示,802.1X认证系统为典型的Client/Server结构,包括三个组件:客户端、接入设备和认证服务器。
客户端:局域网用户终端设备,但必须是支持EAPOL(Extensible Authentication Protocol over LAN,局域网可扩展认证协议)的设备(如PC机),可通过启动客户端设备上安装的802.1x客户端软件发起802.1x认证。
设备端:支持802.1x协议的网络设备(如交换机),对所连接的客户端进行认证。它为客户端提供接入局域网的端口,可以是物理端口,也可以是逻辑端口(如Eth-Trunk口)。
认证服务器:为设备端802.1x协议提供认证服务的设备,是真正进行认证的设备,实现对用户进行认证、授权和计费,通常为RADIUS服务器。
2)802.1x的触发方式
802.1x的认证过程可以由客户端主动发起,也可以由设备端主动发起。在“客户端主动触发方式”中,由客户端主动向设备端发送EAPOL-Start(EAPOL开始)报文来触发认证;而“设备端主动触发方式”中用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1x客户端。
设备端主动触发方式”中又有两种以下具体的触发方式“
- DHCP报文触发:设备在收到用户的DHCP请求报文后主动触发对用户的802.1x认证,仅适用于客户端采用DHCP方式自动分配IP地址的情形。因为DHCP请求报文是以广播方式发送的,所以在同一网段中的设备都可以收到,故设备端不一定就是担当DHCP服务器的设备。
- 源MAC地址未知报文触发:当设备收到源MAC地址未知的报文时主动触发对用户的802.1x认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
3)802.1x的认证方式
- 在客户端与接入设备之间,EAP协议报文使用EAPoL(EAP over LANs)封装格式,直接承载于LAN环境中。
- 在接入设备与认证服务器之间,可以采用EAP终结方式或者EAP中继方式交互认证信息。
- EAP终结方式:接入设备直接解析EAP报文,把报文中的用户认证信息封装到RADIUS报文中,并将RADIUS报文发送给RADIUS服务器进行认证。EAP终结方式的优点是大多数RADIUS服务器都支持PAP和CHAP认证,无需升级服务器;但对接入设备的要求较高,接入设备要从EAP报文中提取客户端认证信息,通过标准的RADIUS协议对这些信息进行封装,且不能支持大多数EAP认证方法(MD5-Challenge除外)。
- EAP中继方式:接入设备对接收到的EAP报文不作任何处理,直接将EAP报文封装到RADIUS报文中,并将RADIUS报文发送给RADIUS服务器进行认证。EAP中继方式也被称为EAPOR(EAP over Radius)。EAP中继方式的优点是设备端处理更简单,支持更多的认证方法;缺点则是认证服务器必须支持EAP,且处理能力要足够强。
4)EAP中继认证方式流程图
EAP中继认证流程
- 客户端发送EAPoL-Start报文触发802.1X认证。
-
接入设备发送EAP请求报文,请求客户端的身份信息。
-
客户端程序响应接入设备发出的请求,将身份信息通过EAP响应报文发送给接入设备。
-
接入设备将EAP报文封装在RADIUS报文中,发送给认证服务器进行处理。
-
RADIUS服务器收到接入设备转发的身份信息后,启动和客户端EAP认证方法的协商。RADIUS服务器选择一个EAP认证方法,将认证方法封装在RADIUS报文中,发送给接入设备。
-
接入设备收到RADIUS报文,将其中的EAP信息转发给客户端。
-
客户端收到EAP信息,解析其中的EAP认证方法。如果支持该认证方法,客户端发送EAP响应报文给接入设备;否则,客户端在EAP响应报文中封装一个支持的EAP认证方法,并发送给接入设备。
- 接入设备将报文中的EAP信息封装到RADIUS报文中,并发送RADIUS报文到RADIUS服务器。
- RADIUS服务器收到后,如果客户端与服务器选择的认证方法一致,EAP认证方法协商成功,开始认证。以EAP-PEAP认证方法为例,服务器将自己的证书封装到RADIUS报文中,通过接入设备发送给客户端。客户端与RADIUS服务器协商TLS参数,建立TLS隧道。TLS隧道建立完成后,用户信息将通过TLS加密在客户端、接入设备和RADIUS服务器之间传输。
- RADIUS服务器完成对客户端身份验证之后,通知接入设备认证成功。
- 接入设备向客户端发送认证成功报文,并将端口改为授权状态,允许用户通过该端口访问网络。
