802.1X
- 格式:ppt
- 大小:520.00 KB
- 文档页数:36


802.1x内网接入系统说明文档一、802.1x协议802.1x协议介绍:IEEE 802.1x协议起源于802.11,其主要目的是为了解决有线和无线局域网用户的接入认证问题。
802.1x 协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。
(1)客户端:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
(2)认证系统:通常为支持IEEE 802.1x协议的网络设备。
该设备对应于不同用户的端口有两个逻辑端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。
第一个逻辑接入点(非受控端口),允许验证者和LAN 上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。
非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL 协议帧,可保证客户端始终可以发出或接受认证。
第二个逻辑接入点(受控端口),允许经验证的LAN 用户和验证者之间交换数据。
受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。
受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。
如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。
(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。
IEEE802.1X标准1、介绍 802.1X是⼀个IEEE标准,通过对⽤户进⾏基于端⼝的安全认证和对密钥的动态管理,从⽽实现保护⽤户⽤户的位置隐私和⾝份隐私以及有效保护通信过程中信息安全的⽬的。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端⼝的访问控制的⽤户认证和授权。
1、客户端 ⼀般安装在⽤户的⼯作站上,当⽤户有上⽹需求时,激活客户端程序,输⼊必要的⽤户名和⼝令,客户端程序将会送出连接请求。
2、认证系统 在以太⽹系统中认证交换机,其主要作⽤是完成⽤户认证信息的上传、下达⼯作,并根据认证的结果打开或关闭端⼝。
在⽆线⽹络中就是⽆线接⼊点。
3、认证服务器 通过检验客户端发送来的⾝份标识(⽤户名和⼝令)来判断⽤户是否有权使⽤⽹络系统提供的⽹络服务,并根据认证结果向交换机发出打开或保持端⼝关闭的状态。
2、802.1X认证步骤 802.1X中EAP-TLS认证在实现的具体交互内容: 1、最初的802.1X通讯开始以⼀个⾮认证客户端设备尝试去连接⼀个认证端(如AP),客户端发送⼀个EAP起始消息。
然后开始客户端认证的⼀连串消息交换。
2、AP回复EAP请求⾝份消息。
3、客户端发送给认证服务器的EAP的响应信息包⾥包含了⾝份信息。
AP通过激活⼀个允许从客户端到AP有线端的认证服务器的EAP 包的端⼝,并关闭可其他所有的传输,像HTTP、DHCP和POP3包,直到AP通过认证服务器来验证⽤户端的⾝份。
4、认证服务器使⽤⼀种特殊的认证算法去验证客户端⾝份。
同样它也可以通过使⽤数字认证或其他类型的EAP认证。
5、认证服务器会发送同意或拒绝信息给这个AP。
6、AP发送⼀个EAP成功信息包(或拒绝信息包)给客户端 7、如果认证服务器认可这个客户端,那么AP将转换这个客户端到授权状态并转发其他的通信。
最重要的是,这个AP的软件是⽀持认证服务器⾥特定的EAP类型的,并且⽤户端设备的操作系统⾥或“Supplicant"(客户端设备)应⽤软件也要⽀持它。
dot1x认证原理
dot1x(IEEE 802.1X)是一种网络认证协议,用于控制局域网(LAN)端口的访问权限。
它的原理如下:
1. 开机认证:当设备(如计算机)连接到局域网的交换机端口时,交换机会对该端口进行认证过程。
初始状态下,交换机的此端口为“未授权”状态。
2. 通信开始:设备尝试通过端口进行通信,发送一个EAPOL (EAP Over LAN)Start消息给交换机。
EAPOL Start消息用于指示设备准备就绪,请求进行认证。
3. 交换机发起认证:交换机收到EAPOL Start消息后,会发送一个EAPOL Request/Identity消息给设备,要求设备提供身份标识。
4. 设备认证:设备收到EAPOL Request/Identity消息后,会向交换机发送一个EAPOL Response/Identity消息,其中包含设备的身份标识。
5. 认证服务器验证:交换机将EAPOL Response/Identity消息转发到认证服务器,认证服务器接收到设备的身份标识后,会对其进行验证。
6. 认证结果:认证服务器验证设备的身份,并返回一个认证结果给交换机,该结果可以是“通过”或“拒绝”。
7. 端口授权:如果设备通过认证,交换机将该端口标记为“授权”状态,并允许设备进行正常通信。
否则,端口会继续保持
为“未授权”状态,拒绝设备的通信。
8. 会话维持:一旦设备通过认证,交换机会继续监听设备的网络活动,以便在会话超时或其他认证条件变化时重新进行认证。
通过以上的认证过程,dot1x能够有效地控制网络的访问权限,提供更安全的局域网环境。