当前位置:文档之家 › 什么是802.1X协议

什么是802.1X协议

  • 格式:docx
  • 大小:395.25 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

802.1x协议的体系

802.1x协议的体系

IEEE 802.1x协议起源于802.11,其主要⽬的是为了解决⽆线局域⽤户的接⼊认证问题。

802.1x 协议⼜称为基于端⼝的访问控制协议,可提供对802.11⽆线局域和对有线以太络的验证的络访问权限。

802.1x协议仅仅关注端⼝的打开与关闭,对于合法⽤户接⼊时,打开端⼝;对于⾮法⽤户接⼊或没有⽤户接⼊时,则端⼝处于关闭状态。

IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System. (1)客户端:⼀般为⼀个⽤户终端系统,该终端系统通常要安装⼀个客户端软件,⽤户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

(2)认证系统:通常为⽀持IEEE 802.1x协议的络设备。

该设备对应于不同⽤户的端⼝有两个逻辑端⼝:受控(controlled Port)端⼝和⾮受控端⼝(uncontrolled Port)。

第⼀个逻辑接⼊点(⾮受控端⼝),允许验证者和 LAN 上其它计算机之间交换数据,⽽⽆需考虑计算机的⾝份验证状态如何。

⾮受控端⼝始终处于双向连通状态(开放状态),主要⽤来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。

第⼆个逻辑接⼊点(受控端⼝),允许经验证的 LAN ⽤户和验证者之间交换数据。

受控端⼝平时处于关闭状态,只有在客户端认证通过时才打开,⽤于传递数据和提供服务。

受控端⼝可配置为双向受控、仅输⼊受控两种⽅式,以适应不同的应⽤程序。

如果⽤户未通过认证,则受控端⼝处于未认证(关闭)状态,则⽤户⽆法访问认证系统提供的服务。

(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关⽤户的信息,⽐如⽤户名和⼝令、⽤户所属的VLAN、优先级、⽤户的访问控制列表等。

当⽤户通过认证后,认证服务器会把⽤户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,⽤户的后续数据流就将接接受上述参数的监管。

dot1x认证原理

dot1x认证原理

dot1x认证原理
dot1x(IEEE 802.1X)是一种网络认证协议,用于控制局域网(LAN)端口的访问权限。

它的原理如下:
1. 开机认证:当设备(如计算机)连接到局域网的交换机端口时,交换机会对该端口进行认证过程。

初始状态下,交换机的此端口为“未授权”状态。

2. 通信开始:设备尝试通过端口进行通信,发送一个EAPOL (EAP Over LAN)Start消息给交换机。

EAPOL Start消息用于指示设备准备就绪,请求进行认证。

3. 交换机发起认证:交换机收到EAPOL Start消息后,会发送一个EAPOL Request/Identity消息给设备,要求设备提供身份标识。

4. 设备认证:设备收到EAPOL Request/Identity消息后,会向交换机发送一个EAPOL Response/Identity消息,其中包含设备的身份标识。

5. 认证服务器验证:交换机将EAPOL Response/Identity消息转发到认证服务器,认证服务器接收到设备的身份标识后,会对其进行验证。

6. 认证结果:认证服务器验证设备的身份,并返回一个认证结果给交换机,该结果可以是“通过”或“拒绝”。

7. 端口授权:如果设备通过认证,交换机将该端口标记为“授权”状态,并允许设备进行正常通信。

否则,端口会继续保持
为“未授权”状态,拒绝设备的通信。

8. 会话维持:一旦设备通过认证,交换机会继续监听设备的网络活动,以便在会话超时或其他认证条件变化时重新进行认证。

通过以上的认证过程,dot1x能够有效地控制网络的访问权限,提供更安全的局域网环境。

802.1x协议详解

802.1x协议详解

四、 802.1x报文结构
当EAPOL的Packet Type为EAP-Packet时Packet Body就是EAP数据包 code:EAP包的类型,有四种 request -1 response -2 success -3 failure -4 identifier:辅助进行response和request消息的匹配 length:eap包的长度,包括code、id、len、data data:内容格式由code决定
四、 802.1x报文结构
当code为success或者failure时data域没有,此时length的值为4
当code域的值为request或者是response类型时data域格式为:
type为eap的认证类型,eg: 1为请求id 4为challenge
四、 802.1x报文结构
1、部分报文抓包查看:
802.1x概览
达则兼济天下,穷则独善其身!
一、 802.1x 作用 二、 802.1x的认证体系结构 三、 802.1x 的认证过程
ቤተ መጻሕፍቲ ባይዱ目录
四、 802.1x报文结构
一、 802.1x 作用
802.1x 协议起源于 802.11 协议,802.11 协议是标准的无线局域网协议。 802.1x 协议的主要目的是为了解决无线局域网用户的接入认证问题。 802.1x 是 IEEE 为了解决基于端口的接入控制(Port-Based Access Control )而定义的 一个标准,实现用户级的接入控制。 802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以 是一个就像 VLAN 一样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道) 802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成 功那么就 “打开” 这个端口, 允许所有的报文通过; 如果认证不成功就使这个端口 保持 “关闭” ,此时只允许 802.1X 的认证报文 EAPOL (Extensible Authentication Protocol over LAN) 通过。

802.1x重认证原理

802.1x重认证原理

802.1x重认证原理标题:802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要,802.1x协议作为一种可扩展的身份验证协议,被广泛应用于无线网络接入控制。

它能有效防止未经授权的设备访问网络资源,保护网络的安全性。

本文将详细介绍802.1x重认证原理。

二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议,由IEEE(电气电子工程师学会)制定。

它定义了用户接入网络时的身份认证过程,包括用户身份的鉴别、授权和计费等功能。

在802.1x协议中,主要涉及到三个角色:客户端、认证服务器和交换机。

三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后,由于某些原因需要重新进行认证的过程。

这个过程中,客户端会发送一个EAP-Request/Identity给认证服务器,认证服务器接收到请求后,会发送一个EAP-Response/Identity给客户端,然后客户端根据接收到的信息判断是否需要重新认证。

重认证的主要原因是保持用户的在线状态,防止用户的非法使用。

例如,如果用户的账号密码发生了改变,或者用户的权限发生了变化,就需要重新进行认证。

此外,如果用户的设备更换或者移动到另一个位置,也需要重新进行认证。

四、802.1x重认证流程1. 客户端发起重认证请求:客户端向交换机发送一个EAP-Request/Identity消息,表示需要进行重认证。

2. 交换机转发请求:交换机接收到请求后,将其转发给认证服务器。

3. 认证服务器响应:认证服务器接收到请求后,会发送一个EAP-Response/Identity消息给交换机,表明接受重认证请求。

4. 交换机转发响应:交换机接收到响应后,将其转发给客户端。

5. 客户端进行重认证:客户端接收到响应后,会进行重新认证,包括输入新的账号密码等信息。

6. 认证服务器验证:认证服务器接收到客户端的新信息后,会进行验证。

7. 交换机控制端口状态:如果验证成功,交换机会打开相应的端口,允许客户端访问网络;如果验证失败,交换机会关闭相应的端口,阻止客户端访问网络。

802.1X集成Radius认证

802.1X集成Radius认证

802.1X集成Radius认证802.1X是一种网络访问控制协议,它提供了对网络中用户和设备的认证和授权。

Radius(远程身份验证拨号用户服务)是一种用于网络访问控制的认证和授权协议。

802.1X集成Radius认证意味着将这两种协议结合在一起使用,以增强网络的安全性和管理能力。

802.1X协议的主要目的是验证连接到LAN或WLAN的用户或设备的身份,并根据他们的认证状态控制他们的访问权限。

它是一种基于端口的认证方法,只有在用户或设备提供有效的凭证后,才能建立网络连接。

这可以防止未授权的用户或设备访问网络资源,保护网络的安全性。

Radius协议是一种用于网络认证和授权的协议,它通过对用户身份进行验证,并为其分配相应的权限和访问级别来控制网络访问。

Radius服务器负责处理用户认证请求,并与认证服务器进行通信进行身份验证和授权。

集成Radius认证意味着802.1X协议将使用Radius服务器来处理认证请求和授权决策。

802.1X集成Radius认证提供了许多优势。

首先,它增强了网络的安全性。

通过要求用户或设备提供有效的凭证,并通过Radius服务器进行身份验证,可以防止未经授权的用户或设备访问网络资源。

这可以减少网络攻击的风险,保护敏感数据和资源的安全性。

其次,802.1X集成Radius认证提供了更好的管理能力。

通过使用Radius服务器,网络管理员可以更轻松地管理和控制用户对网络资源的访问。

他们可以根据用户的身份和权限,对其进行精确的访问控制。

此外,管理员还可以跟踪和审计用户的网络活动,以确保他们的行为符合网络策略和合规要求。

另外,802.1X集成Radius认证还可以支持灵活的网络配置和部署。

由于Radius协议的灵活性,网络管理员可以根据实际需求和网络拓扑来配置和部署认证和授权策略。

他们可以定义不同的认证方法、访问权限和策略,并将其应用到不同的网络设备和用户上。

最后,802.1X集成Radius认证还提供了互操作性。

802.1x协议介绍

802.1x协议介绍


13
EAPOL封装

14
Radius概述
RADIUS定义 RADIUS 是Remote Authentication Dial In User Service (远程认证拨号用户服务)的简称。它是一种分布式的 c/s系统,能提供AAA功能。RADIUS技术可以保护网络不 受未授权访问的干扰,常被用在既要求较高性能,又要求 维持远程用户访问的各种网络环境中。 RADIUS使用的协议 RADIUS基于标准RFC2865,2866协议在UDP/IP层定义 了其帧格式及消息传输机制,并定义1812为认证端口, 1813为计费端口。
客 户 端 PAE EAPOL EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge RADIUS Access-Request (CHAP-Response/MD5 Challenge) RADIUS Access-Accept (CHAP-Success) 端口被授权 握手请求报文 [EAP-Request/Identity] 握手应答报文 [EAP-Response/Identity] ...... EAPOL-Logoff 端口非授权 握手定时器超时 设 备 端 PAE RADIUS RADIUS服 务 器
PAE Ethernet Type: 888e Protocol Version: 1 Packet Type: 0 EAP-Packet 1 EAPOL-Start 2 EAPOL-Logoff 3 EAPOL-Key Packet Body Length: EAP 数据帧长度 Packet Body: EAP数据帧 内容,当Packet Type为 EAPOL-Start或EAPOLLogoff时,Packet Body部分 无特定内容,用全“0”填充。

IEEE801.X

IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。

对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。

IEEE802.1x是一种基于端口的网络接入控制技术,在LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LanSwitch设备的端口。

连接在该类端口上的用户设备如果能通过认证,就可以访问LAN 内的资源;如果不能通过认证,则无法访问LAN 内的资源,相当于物理上断开连接。

下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。

1.IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。

典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station,这是基于物理端口的;IEEE 802.11定义的无线LAN 接入方式是基于逻辑端口的。

图1 IEEE802.1x的体系结构IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。

在用户接入层设备(如LanSwitch)实现IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端;IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。

802.1X认证原理

802.1X认证原理802.1X(dot1x) 技术简介802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。

802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。

802.1x简介:IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802. 1X协议。

后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。

“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。

802.1X认证的特点:o安全性高,认证控制点可部署在网络接入层或汇聚层。

o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。

使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。

o技术成熟,被广泛应用于各类型园区网员工接入。

802.1X认证应用场景:o有线接入层:安全性最高,设备管理复杂。

o有线汇聚层:安全性中高,设备少,管理方便。

o无线接入:安全性高,设备少,管理方便。

802.1X系统架构:802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。

o客户端是位于局域网段一端的一个实体,由该链路另一端的接入设备对其进行认证。

客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)。

o接入设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。

802.1x认证(网络安全接入控制)

二层网管交换机应用——802.1x认证(网络安全接入控制)802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。

TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机,TL-SL5428做为接入交换机,802.1x认证服务器接在TL-SG2224E上。

下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。

1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。

(也可以在Windows Server 上搭建Radius认证服务器。

有关服务器的搭建方法请在网上参考相关资料)认证服务器上的配置:● 服务器IP地址:192.168.1.250● 认证端口:1812● 计费端口:1813● 密钥:fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。

如果不需要进行上网计费,则不需要启用计费功能。

● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证,使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。

ii.配置其它需要认证的端口。

(TL-SL5428可同时支持基于MAC和Port的认证,这里均采用基于MAC的认证方式)注:● 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。

● 控制类型中,“基于MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。

802.1x协议简介


14
802.1x基本概念——EAPOR报文格式
Code Identifier Length
Athenticator
Attribute. . . . . . Attribute Type Length Value

• •
Code:RADIUS报文类型(Access-Request、Access-Accept、Access-Reject、 Access-Challenge等)。
Identifier:用于匹配Request和Response Length:整个报文长度(the Code, Identifier, Length, Authenticator and Attribute fields)。


Authenticator:一种保护机制,用于校验RADIUS报文的合法性和密码的加密。

7
802.1x基本概念——握手机制
握手机制(标准协议中没有此机制)
设备端采用EAP-Request/Identity报文作为握手请求报文,客户端采用EAPResponse/Identity作为握手应答报文(dot1x timer handshake-period) 功能:
unauthorized-force Port unauthorized unconditionally

6
802.1x基本概念——认证触发方式
认证触发方式:
→ 标准EAP触发方式:
目的组播地址:01-80-c2-00-00-03,客户端主动发EAPOL-start报文
端口:
→ 可以是物理端口:Port-Based → 也可以是逻辑端口:Mac-Based
基本思想:通过某种认证机制控制端口的授权状态。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。

在获得交换机或LAN提供的各种业务之前,802.1x
对连接到交换机端口上的用户/设备进行认证。

在认证通过之前,802.1x只允许EAPoL (基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的
数据可以顺利地通过以太网端口。

网络访问技术的核心部分是PAE(端口访问实体)。

在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧
都被送到受控和不受控端口。

对受控端口的访问,受限于受控端口的授权状态。

认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。

处在未授权状态的控制端口将拒绝用户/设备的访问。

1.80
2.1x协议认证特点
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系
统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过
认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和
无线LAN具有安全的认证接入功能。

2.802.1x协议工作过程
(1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一
次认证过程。

(2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输
入的用户名送上来。

(3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。

交换
机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

(4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名
表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,
同时也将此加密字传送给交换机,由交换机传给客户端程序。

(5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。

(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进
行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打
开端口的指令,允许用户的业务流通过端口访问网络。

否则,反馈认证失败的消息,并保
持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。

3.802.1x协议应用环境特点
(1)交换式以太网络环境
对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供
过多的安全机制。

(2)共享式网络环境
当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”
的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。

逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。

在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用
户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。

在实际
网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。

4.802.1x协议认证的安全性分析
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。

实际上,这个问
题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。

但技术的发
展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。

4.802.1x认证的优势
综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。

简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴
流媒体业务。

容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统
AAA认证的网络架构,可以利用现有的RADIUS设备。