[VIP专享]IEEE 802.1x模块指南

格式：pdf
大小：333.68 KB
文档页数：10

下载文档原格式

/ 10

802.1x系统接入相关情况说明

802.1x内网接入系统说明文档一、802.1x协议802.1x协议介绍：IEEE 802.1x协议起源于802.11，其主要目的是为了解决有线和无线局域网用户的接入认证问题。

802.1x 协议又称为基于端口的访问控制协议，可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。

802.1x协议仅仅关注端口的打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有用户接入时，则端口处于关闭状态。

IEEE 802.1x协议的体系结构主要包括三部分实体：客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。

(1)客户端：一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

(2)认证系统：通常为支持IEEE 802.1x协议的网络设备。

该设备对应于不同用户的端口有两个逻辑端口：受控(controlled Port)端口和非受控端口(uncontrolled Port)。

第一个逻辑接入点(非受控端口)，允许验证者和LAN 上其它计算机之间交换数据，而无需考虑计算机的身份验证状态如何。

非受控端口始终处于双向连通状态(开放状态)，主要用来传递EAPOL 协议帧，可保证客户端始终可以发出或接受认证。

第二个逻辑接入点(受控端口)，允许经验证的LAN 用户和验证者之间交换数据。

受控端口平时处于关闭状态，只有在客户端认证通过时才打开，用于传递数据和提供服务。

受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用程序。

如果用户未通过认证，则受控端口处于未认证(关闭)状态，则用户无法访问认证系统提供的服务。

(3)认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。

802.1x协议详解

四、 802.1x报文结构
当EAPOL的Packet Type为EAP-Packet时Packet Body就是EAP数据包 code:EAP包的类型，有四种 request -1 response -2 success -3 failure -4 identifier:辅助进行response和request消息的匹配 length：eap包的长度，包括code、id、len、data data：内容格式由code决定
四、 802.1x报文结构
当code为success或者failure时data域没有，此时length的值为4
当code域的值为request或者是response类型时data域格式为:
type为eap的认证类型，eg： 1为请求id 4为challenge
四、 802.1x报文结构
1、部分报文抓包查看：
802.1x概览
达则兼济天下，穷则独善其身！
一、 802.1x 作用二、 802.1x的认证体系结构三、 802.1x 的认证过程
ቤተ መጻሕፍቲ ባይዱ目录
四、 802.1x报文结构
一、 802.1x 作用
802.1x 协议起源于 802.11 协议，802.11 协议是标准的无线局域网协议。 802.1x 协议的主要目的是为了解决无线局域网用户的接入认证问题。 802.1x 是 IEEE 为了解决基于端口的接入控制（Port-Based Access Control ）而定义的一个标准，实现用户级的接入控制。 802.1X 是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像 VLAN 一样的逻辑端口，对于无线局域网来说这个“端口”就是一条信道） 802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就 “打开” 这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持 “关闭” ，此时只允许 802.1X 的认证报文 EAPOL （Extensible Authentication Protocol over LAN）通过。

802.1X配置管理

19802.1X配置本章节描述基于AAA服务配置的相关内容。

802.1x用于控制用户对网络访问的认证，并对其提供授权与记帐功能。

本节包含如下内容：⏹19.1概述⏹19.2配置802.1X⏹19.3查看802.1x 的配置及当前的统计值⏹19.4配置802.1x 其它注意事项说明有关本节引用的CLI命令的详细使用信息及说明，请参照《配置802.1X命令》。

19.1概述IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。

这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。

随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。

如何在以太网技术简单、廉价的基础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。

IEEE802.1x 协议正是在这样的背景下提出的。

IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN提供点对点式的安全接入。

这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。

IEEE 802.1x 标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。

客户端要访问网络必须先通过服务器的认证。

在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol overLAN）可以在网络上通行。

在认证成功之后，正常的数据流便可在网络上通行。

应用802.1x我司的设备提供了Authentication，Authorization，and Accounting三种安全功能，简称AAA。

⏹Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户；⏹Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限；⏹Accounting：计账，记录用户使用网络资源的情况，为收费提供依据。

IEEE802.1x技术

IEEE 802.1 协议介绍协议的开发背景在IEEE802 LAN所定义的局域网环境中，只要存在物理的连接接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。

例如：一个可以访问公共网络的大厦的办公网，或者是某个组织机构与其他组织连接的网络。

在这样的网络环境中，往往不希望未经授权的设备或用户连接到网络，使用网络提供的服务。

后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安全认证的要求已经提到了议事日程上。

如何既能够利用局域网技术简单，廉价的组网提点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。

IEEE802.1X协议正式在这样的背景下提出的。

IEEE802.1X 称为基于端口的访问控制协议（Port based network access control protocol）。

基于端口的访问控制（Port based network access control）能够在利用IEEE802 LAN 的优势基础上提供一种对连接到局域网（LAN）设备或用户进行认证和授权的手段。

通过这种方式的认证，能够在LAN 这种多点访问环境中提供一种点对点的识别用户的方式。

这里端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或网络设备连接LAN的物理端口，或者是在IEEE802.11 无线LAN环境中定义的工作站和访问点。

IEEE 802.1x协议IEEE 802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。

IEEE 802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是传统的IEEE 802体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。

802.1x技术

版权所有©2010，迈普通信技术股份有限公司，保留所有权利
第1章. 简介
本节着重介绍 802.1X 的原理和实现，以及应用。本节主要内容： l l l 相关术语解析介绍典型应用
版权所有©2010，迈普通信技术股份有限公司，保留所有权利
1
第2章. 相关术语解析
n Supplicant system：客户端，位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户通过启动客户端软件发起 802.1X 认证。 n Authenticator system：设备端，位于局域网一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持 802.1X 协议的网络设备，它为客户端提供局域网的端口。 n Authentication server system：认证服务器，为设备端提供认证服务的实体。认证服务器用于对用户进行认证、授权、计费，通常为 RADIUS （Remote Authentication Dial-In User Service）服务器。该服务器可以存储有关用户的信息，包括用户名、密码、所属的 VLAN 等。 n PAE（PortAccess Entity）：端口访问实体，802.1X 中负责执行算法和协议操作的实体。 n 非受控端口/受控端口：设备端为客户端提供接入局域网端口，整个端口被分为两个逻辑端口：非受控端口和受控端口。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户端始终能够发出和接收报文。受控端口在授权状态下处于双向连通状态，用户传递业务报文，在非授权状态下禁止从客户端接收和向客户端发送任何业务报文。
3.2.3 EAP 属性的封装
RADIUS 为支持 EAP 认证增加了两个属性：EAP-Message（EAP 消息）和 Message-Authenticator （消息认证码）。 EAP-Message

第11章 802.1x配置

配置模式
端口启用/关闭 802.1X
config-port-xxx, config-port-range, config-link-aggregation-x
端口关闭 802.1X
config-port-xxx, config-port-range, config-link-aggregation-x
（2）如果认证服务器不下发 VLAN，这时端口离开 Guest VLAN，加入 Config VLAN 中。用户下线后，端口加入到 Guest VLAN 中。
注： 1、端口的 guest vlan 不能应用到动态 vlan 上，比如 guest vlan 所指定的 vlan id 是由 gvrp 自动创建的 vlan，那 guest vlan 可以配置成功，但不会生效。 2、为保证各种功能可以正常使用，请为 voice vlan、private vlan 以及 802.1X 的 guest vlan 等分配不同的 vlan id。 3、在指定 vlan 已配置的前提下，端口的 guest vlan 可以在两种端口上生效：一种是 ACCESS 类型端口，且要求认证模式为 portbased 模式；另一种是 HYBRID 类型端口，且要求认证模式为 macbased 模式，另外在这种情况下还要求端口启用 mac-vlan 功能。
标准8021x协议规定客户端和认证服务器之间通过eap报文进行交互设备在此交互中充当着eap中继的角色设备将客户端发送来的eap数据封装在其他协议中例如radius协议然后发送给认证服务器同样地设备也将认证服务器发送过来的eap数据封装在eapol报文中转发给客户端这种交互方式我们称之为eap中继
第 11 章 802.1X 配置
本章主要讲述了迈普系列交换机支持的 802.1X 功能以及详细的配置信息。章节主要内容： z 802.1X 介绍 z 802.1X 配置 z 802.1X 应用举例 z 监控与维护

802.1x准入控制技术使用手册(北信源).

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

IEEE 802.1x协议及应用

4. 应用举例：联创802.1x校园认证
联创802.1x校园认证协议用于有线局域网
环境中，报文格式与先前所述的EAP报文基本相同，但是因为业务有更多的需求，联创做了一些扩展，附加了一些字段用于通知如IP分配、上网金额不足、学校断网等信息，另外的一个特色是在某些报文中加入了linkage这个字符串作为标识。因此主要介绍其客服EAP自身缺陷所采取的措施。联创802.1x认证共分两个阶段：认证阶段和保持阶段，认证阶段与前述相同，保持阶段仅验证用户名。
IEEE802无线网络及有线网络中，这些网络中，攻击者都可能接触到用于EAP报文传输的信道，可能实现的攻击有： 1.攻击者通过侦听EAP报文得知用户身份 2. 攻击者可以修改或伪造EAP数据报 3.攻击者可能通过伪造EAP-Success/EAP-Failure 包，使用户误以为已经认证或断线，或者重放身份数据包，使得认证服务器认为出现了相同的身份登录，造成拒绝服务 4.攻击者可能通过进行离线字典暴力破解找出密码
7.客户端收到EAP-Request/MD5-Challenge报文后，将密码和
Challenge做MD5算法后的Challenged-Password，在EAPResponse/MD5-Challenge回应给认证方；
8.认证方将Challenge，Challenged Password和用户名一起送到
联创对802.1x认证的安全优化
在联创协议中，“请求方”即宿舍中请求上网的计算机，
“认证方”即提供接入的交换机，“认证服务器”则在外部网络上与交换机通讯，上面存有上网的卡号和密码在接入设备上，将所有物理端口划分成一个个独立的 VLAN，使用户与接入设备之间的信道不会被其它用户监听到，从而使得之前的大部分攻击基本无法实现（除非在交换机与上网计算机之间搭建一条线路，如通过集线器）由于已经从物理上使得攻击可能性小，联创802.1x协议在交换机与用户之间的通讯安全性方面其实是非常脆弱的。认证通过后，每隔20s左右服务器会对客端进行身份认证，但这个认证主要是为了计费需要，安全性上不具有多大意义。

802.1x配置命令

802.1x配置命令⽬录H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)?01-命令⾏接⼝命令02-登录交换机命令03-配置⽂件管理命令04-VLAN命令05-配置管理VLAN命令06-IP地址-IP性能命令07-GVRP命令08-端⼝基本配置命令09-端⼝汇聚命令10-端⼝隔离命令11-端⼝安全命令12-MAC地址转发表管理命令13-MSTP命令14-组播协议命令15-802.1x及System-Guard命令16-AAA命令17-MAC地址认证命令18-ARP命令19-DHCP命令20-ACL命令21-QoS命令22-镜像命令23-Cluster命令24-SNMP-RMON命令25-NTP命令26-SSH命令27-⽂件系统管理命令28-FTP-SFTP-TFTP命令29-信息中⼼命令30-系统维护与调试命令31-VLAN-VPN命令32-HWPing命令33-IPv6管理命令34-LLDP命令35-域名解析命令36-PKI命令37-SSL命令38-HTTPS命令39-附录、H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令⽬录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显⽰802.1x的会话连接信息。

交换机802.1x配置文档

cisco2950> cisco2950>enable cisco2950# vlan database cisco2950(vlan)# vlan 2 name gongzuo VLAN 2 added: Name: gongzuo cisco2950(vlan)# vlan 3 name geli VLAN 3 added: Name: geli cisco2950(vlan)# vlan 4 name guestvlan VLAN 4 added: Name: guestvlan cisco2950(vlan) #exit cisco2950#conf t cisco2950(config)# interface fa0/1 cisco2950(config-if) #swichport mode trunck cisco2950(config-if) #end
配置实践
配置radius服务器
cisco2950> cisco2950>enable cisco2950# conf t cisco2950(config)# radius-server host 192.168.9.5 auth-port 1812 acct-port 1813 key Syg123$ cisco2950(config)# radius-server retransmit 3 cisco2950(config)# end
配置交换机域RADIUS服务器之间通信服务器之间通信配置交换机域
1）进入全局模式 configure terminal 2）配置RADIUS服务器特征 radius-server host [主机名|IP地址] auth-port 端口号 key 密钥 auth-port:UDP端口号

配置无线客户端802.1X身份验证应用指南说明书

Configuring a W ireless C lient f or 802.1X AuthenticationApplication NoteTable o f C ontentsIntroduction & K ey C oncepts (3)What i s 802.1X? (3)Why w ould I w ant t o u se 802.1X? (4)Configuring t he S upplicant (5)Configure a W indows S upplicant ............................................. E rror! B ookmark n ot d efined.Disable S erver C ertificate V alidation (7)Automatically l ogin w ith d ifferent c redentials (9)Single s ign o n (10)EAP-‐TLS C onfiguration (11)Configure a M ac O S S upplicant ................................................. E rror! B ookmark n ot d efined.EAP-‐TLS C onfiguration (14)802.1X (15)Digital C ertificates a nd C ertificate A uthorities (15)Microsoft N etwork P olicy S erver (15)April-2012-1Introduction& Key ConceptsWhat is 802.1X?802.1X is an IEEE security standard for network access. Authentication is a key part of the 802.1X standard. Three devices participate in every 802.1X authentication:Supplicant – the client deviceAuthenticator – the device that controls network access (port) and passes authentication messages to the authentication serverAuthentication Server – AAA-compliant authentication serverFigure 1 - 802.1X Authentication Phase 1The supplicant responds to an authentication challenge from the authenticator and transmits its credentials. The goal of the first phase is to establish the protected tunnel (TLS) to encrypt the user credentials so they aren’t sent in the clear.April-2012-1Figure 2 - 802.1X Authentication Phase 2Once the user credentials are transmitted, the authenticator (AP) sends this information to the ZoneDirector. The ZoneDirector then submits it to the AAA server. If the authentication is successful, the authentication server notifies the authenticator, which opens the network port.These stringent requirements create very secure network access – other than authentication attempts, no traffic of any kind will be allowed onto the network - including DHCP and DNS.Why would I want to use 802.1X?802.1X is a very secure authentication and encryption standard. Unlike pre-shared key (PSK) networks, 802.1X requires a user name and password that is checked against an authentication server for every authentication. PSKs rely on a single, shared secret for all machines. 802.1X is also well suited for single sign-on, in which 802.1X authentication occurs at the same time a user signs on to a computer.April-2012-1Configuring a Windows SupplicantMost modern operating systems include an 802.1X supplicant. Although the details change from client to client, the process is the same.In this example, we will use a Microsoft Windows 7 client using Microsoft’s WLAN AutoConfig supplicant. This process is very similar for other versions of Windows when you use the built-in Microsoft supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.From the Control Panel, go to Administrative Tools and open the Services.Confirm the Microsoft WLAN AutoConfig service is running1. If it is not, start it and set it to start up automatically.2From the Control Panel, go to Network and Internet -> Manage Wireless Networks1 On Windows XP this is called Wireless Zero Config, on Windows 7 it is WLAN AutoConfig2 Starting Microsoft’s supplicant will automatically stop any other supplicants running on the machine.April-2012-1Click AddIn the next screen, select Manually create a network profileApril-2012-1Enter your SSID name, security and encryption typeClick Next to create the profileAt this point, it’s a good idea to review some of the more common options that may also be needed for this supplicant.3Disable Server Certificate ValidationIf you RADIUS server is not using a certificate from a known CA, you might want to temporarily disable the Validate server certificate box. This will prevent the client from validating the server’s certificate – although it will still require a certificate.1.From the list of profiles, right-click the 802.1X profile and Properties3 If you’ve done everything right and followed every step, you can probably skip the rest of this section. Or you could read it anyway – just in case.April-2012-1Click the Security tabClick the Settings buttonThis opens the PEAP configuration dialogueApril-2012-1Unselecting the Validate server certificate option will cause the client to accept any correctly formatted certificate from the server.Security best practices dictate the client should always validate the server certificate. This step is only recommended for troubleshooting certificate problems. Once they are resolved, the client should be configured to validate certificates again.Automatically login with different credentialsThe default behavior for a Microsoft client is to attempt to authenticate with the user credentials that were used to log onto the machine itself. If you want to use a different set of credentials you can disable this behavior. If you do this you will be presented with a pop-up dialogue box asking for the user name and password.April-2012-1Single sign onIt’s often useful to allow domain computers to authenticate to the wireless before a user logs on. This allows domain users to log onto the wireless from any domain machine, regardless of whether the user has ever used the machine before (i.e. has cached credentials).1.From the wireless network properties window, click the Advanced settingsbuttonThe following dialogue box offers the ability to specify several behaviors: Authentication mode – determines what entities can login to the wireless: users, machines, or user and machineApril-2012-1Enable single sign on – allows the machine to log onto the wireless network when a user is not logged on, this allows users with non-cached credentials to login to the wireless at the same time that they log onto the machineEAP-TLS ConfigurationIf you are using EAP-TLS, the configuration is very similar to PEAP with the following exceptions:1. A client certificate (user or machine) must be loaded on the machine orinstalled as part of auto-enrollment prior to the first connectionDuring the wireless network setup, go to the Security tab and select Microsoft: Smart Card or other certificate as the authentication methodApril-2012-1After choosing the authentication method, select Settings and make sure the checkbox next to Use a certificate on this computer is selectedThese are the only changes required to configure a client for EAP-TLS instead of PEAP.April-2012-1Configuring a Mac OS SupplicantIn this example, we will use an Apple Mac OS 10.7 (Lion) client using Apple’s built-in supplicant. This process is very similar for other versions of Mac OS when you use the built-in supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.Install any certificates, if required2.From the Settings application, go to Network and select Wi-Fi from the list ofnetwork interfaces on the left3.Click the Advanced button4.Click the plus (+) sign under Preferred Networks to define a new networkApril-2012-15.In the network profile dialogue, make sure the correct SSID, security type andcredentials are entered46.Click OK7.Click OK in the next dialogue box to save your changes8.The new SSID should appear in the dropdown box of Network Names9.Select the new SSID and connect. Enter your credentials if promptedEAP-TLS ConfigurationIf you are using EAP-TLS instead of PEAP there is no change to the configuration. Simply make sure the client certificate is installed in the Keychain Access before connecting. If prompted, select the correct certificate from the TLS Certificate dropdown menu.4 User credentials are not required, however if not entered here you will be prompted for your credentials when you connectApril-2012-1Appendix A–Fur ther Reading802.1XAn Introduction to 802.1X for Wireless Local Area Networks/media/pdf_autogen/802_1X_for_Wireless_LAN.pdfDigital Certificates and Certificate AuthoritiesMicrosoft – Understanding Digital Certificates and Public Key Cryptography /en-us/library/bb123848(v=exchg.65).aspx Installing a Certificate Server with Microsoft Windows Server 2008Application note available from Ruckus WirelessMicrosoft Network Policy ServerNetwork Policy and Access Services/en-us/library/cc754521(WS.10).aspxApril-2012-1Introduction & Key Concepts dffdfdApril-2012-1。

802.1x认证原理与配置

简单的说，IEEE 802.1x是一种认证技术，是对交换机上的2层接口所连接的主机做认证，当主机接到开启了IEEE 802.1x认证的接口上，就有可能被认证，否则就有可能被拒绝访问网络。

在接口上开启IEEE 802.1x认证后，在没有通过认证之前，只有IEEE 802.1x认证消息，CDP，以及STP的数据包能够通过。

因为主机接到开启了IEEE 802.1x认证的接口后，需要通过认证才能访问网络，要通过认证，只要输入合法的用户名和密码即可。

交换机收到用户输入的账户信息后，要判断该账户是否合法，就必须和用户数据库做个较对，如果是数据库中存在的，则认证通过，否则认证失败，最后拒绝该用户访问网络。

交换机提供给IEEE 802.1x认证的数据库可以是交换机本地的，也可以是远程服务器上的，这需要通过AAA来定义，如果AAA指定认证方式为本地用户数据库（Local），则读取本地的账户信息，如果AAA指定的认证方式为远程服务器，则读取远程服务器的账户信息，AAA为IEEE 802.1x提供的远程服务器认证只能是RADIUS服务器，该RADIUS服务器只要运行Access Control Server Version 3.0（ACS 3.0）或更高版本即可。

当开启IEEE 802.1x后,并且连接的主机支持IEEE 802.1x认证时，将得出如下结果：★如果认证通过，交换机将接口放在配置好的VLAN中，并放行主机的流量。

★如果认证超时，交换机则将接口放入guest vlan。

★如果认证不通过，但是定义了失败VLAN，交换机则将接口放入定义好的失败VLAN中。

★如果服务器无响应，定义放行，则放行。

注：不支持IEEE 802.1x认证的主机，也会被放到guest vlan中。

提示：当交换机使用IEEE 802.1x对主机进行认证时，如果主机通过了认证，交换机还可以根据主机输入的不同账户而将接口划入不同的VLAN，此方式称为IEEE 802.1x动态VLAN认证技术，并且需要在RADIUS服务器上做更多的设置。

802.1X用户手册-配置指导

第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议，起源于802.11协议－－标准的无线局域网协议。

IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题，但其在IEEE 802 LAN所定义的有线局域网中的应用，为LAN提供了接入认证的手段。

在IEEE 802 LAN所定义的局域网中，只要用户接入局域网控制设备，如LanSwitch，用户就可以访问局域网中的设备或资源。

但是对于如电信接入、写字楼LAN 以及移动办公等应用，设备提供者希望能对用户的接入进行控制，为此产生了基于端口的网络接入控制（Port Based network access control）需求。

基于端口的网络接入控制（Port Based network access control）是在 LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，而且仅定义了接入设备与接入端口间点到点的连接方式。

其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station（基于物理端口）；IEEE 802.11定义的无线LAN 接入（基于逻辑端口）等。

Quidway S3526在802.1X的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性。

1.1.2 802.1X体系结构802.1X系统包括三个实体：客户端、认证系统、认证服务器，图1中与之相应的各部分为： Supplicant System（用户接入）；Authenticator System（接入认证）；Authentication Sever System（认证服务器）。

IEEE8021XIEEE8021X介绍主要内容IEEE8021X协议

IEEE 802.1X孙峻文IEEE 802.1X 介绍•IEEE 802.1X是一个IEEE标准的基于端口的网络接入控制方法。

•它是IEEE 802.1网络协议组的一部分。

•它为希望接入LAN或WLAN的设备提供了一种验证机制。

主要内容•协议分析•抓包分析IEEE 802.1X协议IEEE 802.1X协议版本：•802.1X-2001•802.1X-2004•802.1X-2010IEEE 802.1X协议IEEE 802.1X封装了Extensible AuthenticationProtocol (EAP) over IEEE 802协议认证涉及三个参与者：•请求者（supplicant）•认证者（authenticator）•认证服务器（authentication server）IEEE 802.1X协议IEEE 802.1X协议请求者（supplicant）一个客户端设备（例如一台笔记本），它希望接入某个LAN/WLAN。

IEEE 802.1X协议认证者（authenticator）认证者的行为就像一个保卫网络的保安。

请求者的身份在被验证和授权之前是不能通过认证者进入被保护的网络。

IEEE 802.1X协议认证服务器（authentication server）认证者将凭证转发给认证服务器去验证。

如果认证服务器认为凭证是有效的，那么请求者将被允许进入被保护的网络资源。

IEEE 802.1X协议端口实体Port entities：802.1X-2001为认证端口定义了两个逻辑上的端口实体：•控制端口（controlled port）允许（授权状态）或阻止（非授权状态）网络通信进入或离开受控端口•非控制端口（uncontrolled port）发送或接收EAPOL帧，一直打开IEEE 802.1X协议典型的认证过程1.初始化Initialization2.开始Initiation3.协商Negotiation（EAP协商）4.认证Authentication IEEE 802.1X协议1.初始化Initialization当检测到一个新的请求者后，交换机（验证者）上的非受控端口被打开，受控端口设置在“非授权unauthorized”状态。

IEEE 802.1x模块指南

IEEE 802.1X模块使用指南目录1. 前言 (3)1.1 关于本文档 (3)1.2 背景知识 (3)1.2.1 802.1X技术的介绍 (3)1.2.2 802.1X的认证原理 (3)1.2.3 802.1X的认证流程 (4)1.3 术语 (5)2. IEEE 802.1X模块介绍 (5)2. 1 客户端功能 (6)2. 2认证者的功能 (6)2.3认证服务器的功能 (6)2.4 802.1x模块的软件实现-开源组件hostapd (6)3. 关于hostapd开源组件 (7)3.1 hostapd开源组件介绍 (7)4. hostapd的帮助程序使用 (9)4.1 关于帮助程序 (9)4.2 命令参数实现及说明 (9)4.3 usage程序使用实例 (10)HistoryDate Version Changes 2011-11-30 Draft A 完成第一稿1. 前言1.1 关于本文档本文档对dot1x模块的的基本情况、编译方法、配置参数、基本工作原理作了详细的阐述，可以使开发人员依据该文档可较好的掌握模块的使用，为开发人员节约时间。

1.2 背景知识802.1X是IEEE为了解决基于端口的接入控制而定义的标准，被称为基于端口的访问控制协议(Port based network aceess control protocol)。

为运营商建设可运营、可管理的电信级宽带以太网提供了良好的支持。

1.2.1 802.1X技术的介绍IEEE 802.1x 协议的体系结构包括3个重要的组成部分：客户端、认证系统、认证服务器，图1.1描述了三者之间的关系以及相互之间的通信。

图1.1 802.1X认证体系1.2.2 802.1X的认证原理客户端系统通常需要安装一个客户端软件，用户通过启动这个客户端软件发起802.1x 协议的认证过程，为了支持基于端口的接入控制，客户端系统需支持EAPOL(extensibleauthentication protocol overLAN)协议。

ieee802.1x协议原理

ieee802.1x协议原理IEEE 802.1x协议原理IEEE 802.1x是一种网络认证协议，用于保护网络免受未经授权的访问。

本文将探讨IEEE 802.1x协议的原理和工作机制。

1. 简介IEEE 802.1x是一种以太网认证协议，旨在实现网络接入控制（NAC）。

它提供了一种身份验证机制，以确保只有经过授权的设备和用户才能接入局域网。

2. 协议结构IEEE 802.1x协议由三个主要组件组成：客户端、认证服务器和网络交换机。

- 客户端：客户端是指连接到局域网的终端设备，如计算机、手机和平板电脑。

客户端向交换机发送认证请求，并根据来自认证服务器的响应采取相应的措施。

- 认证服务器：认证服务器是负责验证客户端身份的服务器。

它通常与RADIUS服务器一起使用，检查客户端提供的凭据，并返回认证结果给交换机。

- 交换机：交换机是网络的核心设备，负责转发数据包。

在IEEE 802.1x中，交换机扮演认证的角色，它会拦截客户端的数据流，并要求客户端进行认证。

3. 工作原理IEEE 802.1x协议的工作原理如下：- 交换机端口状态：初始状态下，交换机端口是关闭的，无法传输数据。

客户端连接到交换机的端口时，交换机会将端口设置为未授权状态。

- 客户端认证请求：客户端连接到交换机后，会发送一个EAPOL-Start消息，作为认证的起始点。

交换机收到消息后，将端口设置为认证状态。

- 挑战/响应过程：客户端在发送EAPOL-Start消息后，交换机会发送一个挑战请求（EAP-Request/Identity）给客户端。

客户端需要响应并发送其身份信息。

- 认证服务器验证：交换机将收到的身份信息发送到认证服务器进行验证。

服务器确定身份信息的有效性，并发送验证结果给交换机。

- 授权状态：根据认证结果，交换机将端口设置为授权状态或未授权状态。

如果认证成功，客户端可以继续通过交换机传输数据，否则端口将保持关闭状态。

4. 安全性IEEE 802.1x协议提供了一些安全特性，以确保网络的安全性： - 免受未经授权访问：借助IEEE 802.1x，仅经过认证的设备和用户可以接入网络，从而保护网络免受未经授权的访问。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

IEEE 802.1x模块指南IEEE 802.1X模块使用指南目录1. 前言 (3)1.1 关于本文档 (3)1.2 背景知识 (3)1.2.1 802.1X技术的介绍 (3)1.2.2 802.1X的认证原理 (3)1.2.3 802.1X的认证流程 (4)1.3 术语 (5)2. IEEE 802.1X模块介绍 (5)2. 1 客户端功能 (6)2. 2认证者的功能 (6)2.3认证服务器的功能 (6)2.4 802.1x模块的软件实现-开源组件hostapd (6)3. 关于hostapd开源组件 (7)3.1 hostapd开源组件介绍 (7)4. hostapd的帮助程序使用 (9)4.1 关于帮助程序 (9)4.2 命令参数实现及说明 (9)4.3 usage程序使用实例 (10)IEEE 802.1x模块指南HistoryDate Version Changes2011-11-30Draft A完成第一稿IEEE 802.1x模块指南1. 前言1.1 关于本文档本文档对dot1x模块的的基本情况、编译方法、配置参数、基本工作原理作了详细的阐述，可以使开发人员依据该文档可较好的掌握模块的使用，为开发人员节约时间。

1.2 背景知识802.1X是IEEE为了解决基于端口的接入控制而定义的标准，被称为基于端口的访问控制协议(Port based network aceess control protocol)。

为运营商建设可运营、可管理的电信级宽带以太网提供了良好的支持。

认证系统一般运行于NAS（network access server）之上，给用户提供接入服务。

认证系统有两个逻辑端口：受控（controlled port）端口和不受控端口(uncontrolled port)。

不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，用于承载用户的认证信息，可保证客户端始终能够发出或接受认证；受控端口只有在认证通过的状态下才可打开，用于传递网络资源和服务。

PAE是端口访问实体(port access entity)，分为客户端PAE和认证系统PAE。

客户端PAE位于客户端，主要负责响应来自认证系统建立信任关系的请求。

认证系统PAE 位于认证系统，负责与客户端的通信，把从客户端收到的信息传送给认证服务器以完成认证。

认证系统的PAE 通过不受控端口与客户端PAE 进行通信，两者之间运行EAPOL 协议；认证系统的PAE 与认证服务器之间运行EAP(extensible authentication protocol)协议。

认证服务器通常为RADIUS服务器，该服务器对于认证系统中继的用户客户端信息进行验证，当验证通过时，返回与用户相关的上网信息给认证系统，认证系统根据返回信息进行设置，例如打开受控端口，或者向客户端传送验证失败的信息。

1.2.3 802.1X的认证流程典型的802.1x 体系的认证流程如图1.2所示。

图1.2：802.1X认证流程1）当用户有上网需求时打开802.1X客户端程序，输入用户名和口令，发起连接请求。

此时客户端程序将发出请求认证的报文EAPOL-Start给认证者，启动一次认证过程。

2）认证者在收到请求认证的数据帧后，将发出一个EAP-Request/Identity报文请求帧要求客户端程序发送用户输入的用户名。

3）客户端程序响应认证者的请求，将包含用户名信息的一个EAP-Response/Identity送给交换机，认证者将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。

4）认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字Challenge对它进行加密处理（MD5），通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge。

5）客户端收到EAP-Request/MD5-Challenge报文后，用该加密字对口令部分进行加密处理（MD5）给认证者发送在EAP-Response/MD5-Challenge回应，认证者将Challenge，Challenged Password和用户名一起送到RADIUS 服务器进行认证。

6）认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，判断用户是否合法，然后回应认证成功/失败报文到接入设备。

如果认证成功，则向交换机发出打开端口的指令，允许用户的业务流通过端口。

1.3 术语客户端：一般指接入到局域网中的一台终端系统，例如在局域网环境中运行IEEE 802.1X认证中，安装客户端软件的pc机。

认证系统:通常指那些支持802.1x 协议的局域网边缘设备，比如边缘交换机或无线接入访问(AP)设备。

认证服务器：提供用户认证服务，保存用户的认证信息，通常为RADIUS服务器。

EAPOL（Extensible Authentication Protocol Over Lan）：802.1x协议定义了一种报文封装格式，主要用于在客户端和认证系统之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。

EAPOL帧在二层传送时，必须要有目标MAC地址，当客户端和认证系统彼此之间不知道发送的目标时，其目标MAC地址使用由802.1x协议分配的组播地址01-80-c2-00-00-03。

EAP（Extensible Authentication Protocol）：为可扩展认证协议，802.1X认证系统使用EAP，来实现客户端、设备端和认证服务器之间认证信息的交换。

RADIUS服务器：RADIUS 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。

RADIUS 服务器负责接收客户的连接请求、认证客户，然后返回客户机所有必要的配置信息以将服务发送到客户。

NAS（network access server）：为网络访问服务器，采用直接与网络介质相连的特殊设备实现数据存储的机制。

由于这些设备都分配有IP 地址，所以客户机通过充当数据网关的服务器可以对其进行存取访问，甚至在某些情况下，不需要任何中间介质客户机也可以直接访问这些设备。

MD5（ message-digest algorithm 5）：全称是信息-摘要算法，它的作用是将整个文件当作一个大文本信息，通过其不可逆的字符串变换算法，产生了这个唯一的md5信息摘要。

PAE（port access entity）：为端口访问实体，它是网络访问技术的核心部分，在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

2. IEEE 802.1X模块介绍802.1x的PAE由Supplicant (申请者)、Authenticator ( 认证者)和Authentication Server (认证服务器)三部分组成，如图2.1：图2.1：802.1x软件系统2. 1 客户端功能(l)向认证者发起认证请求。

(2)接收认证者的EAP请求，并进行应答。

(3)对认证者的重认证请求进行EAP应答。

(4)支持密钥传递。

2. 2认证者的功能(l)接收外部客户端的接入认证请求，根据请求将获取的信息发送到认证服务器进行认证，根据认证结果控制端口开启和关闭，同时将结果通知对应的外部客户端。

(2)接收外部客户端的注销请求，控制端口关闭，通知计费开始。

(3)主动对外部客户端发起认证(通过外部模块的驱动触发认证过程，如客户系统的EAPOL-start (认证发起帧)报文、物理端口的up消息，DHCP报文和ARP报文的触发)。

(4)主动对外部客户端发起周期重认证。

(5)根据交互结果操作被控端口的开启和关闭、计费的开始和结束。

(6)信息交互过程中的协议解析、超时处理、异常处理。

(7)支持密钥传递。

2.3认证服务器的功能(l)接收认证者提交的Access-Request数据包，通过数据包中用户名，提出一个Challenge，要求进一步对用户认证。

(2)接收认证者提交的Access-Request数据包，对用户名和密码的合法性进行检验，如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问。

(3)接收认证者提出计费请求Account- Require，认证服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

2.4 802.1x模块的软件实现-开源组件hostapdIEEE802.1x认证的实现是选用hostapd开源组件实现的，hostapd 是一个用户态的用于客户和认证服务器之间验证的守护进程。

它集成了IEEE 802.1X/WPA/WPA2/EAP 认证功能，组件hostapd中的wired驱动实现了PAE的功能，它采用的机制就是在未认证端口拒绝普通的数据帧通过，允许IEEE 802.1X相关的帧通过。

Hostapd组件中包含了认证者的功能，它从网络接口接收802.1X数据帧，并将数据帧中继到认证服务器验证，接收认证服务器的radius数据包，提取出eap信息，封装成EAPOL数据包，从网络接口中发送给客户端。

Hostapd组件还集成了一个最小的认证服务器的功能，用于测试802.1X功能。

3. 关于hostapd开源组件3.1 hostapd开源组件介绍hostapd主要功能可以看作是用户终端与认证服务器间的中介或接口。

其组件的结构如图3.1：图3.1：hostapd组件结构图1)event loop 模块在hostapd进程开启并进行相关的初始化工作后，调用eloop_run函数进入到该模块中，该模块中就是监控是否有事件发生，如是否有中断信号产生、是否有数据包接收、是否定时器时间满了，若有时间发生，则调用相应的处理函数进行处理，如图3.2：图3.2：event loop 模块交互2)driver events模块该模块是hostad进程的驱动部分，主要从底层接收请求者发来的数据包并解析数据包，获取eap信息，提供给协议模块处理。