当前位置:文档之家 › BHBIN_网络知识和基础操作分册_第六章_8021x认证技术_

BHBIN_网络知识和基础操作分册_第六章_8021x认证技术_

  • 格式:ppt
  • 大小:4.62 MB
  • 文档页数:71

下载文档原格式

  / 71

合集下载

802.1X

802.1X

1802.1X一 基本简介1.802.1x 协议起源于802.11协议,主要目的是为了解决无线局域网用户的接入认证和基于端口的接入控制(Port-Based Access Control )问题.2.作用(1)802.1X 首先是一个认证协议,是一种对用户进行认证的方法和策略。

(2)802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN 一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)(3)802.1X 的认证的最终目的就是确定一个端口是否可用。

对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X 的认证报文EAPOL (Extensible Authentication Protocol over LAN )通过。

二802.1X 体系结构1.Supplicant System,客户端(PC/网络设备) :支持EAP 协议的终端或安装了802.1X 客户端软件的设备.2.Authenticator System,认证系统 :也就是认证代理,它负责802.1X 客户端接入一般是接入层交换机和接入AP.switch 与client 间通过EAPOL 协议进行通讯,switch 与认证服务器间通过EAPoRadius 或EAP 承载在其他高层协议上,以便穿越复杂的网络到达 Authentication Server (EAP Relay );switch 要求客户端提供identity,接收到后将EAP 报文承载在Radius 格式的报文中,再发送到认证服务器,返回等同;switch 根据认证结果控制端口是否可用;3.Authentication Sever System,认证服务器:实际就是AAA 服务器-RADIUS,WINDOWS 中相当于域控制器.它对客户进行实际认证,核实客户的identity ,通知swtich 是否允许客户端访问LAN 和交换机提供的服务Authentication Sever 接受 Authenticator 传递过来的认证需求,认证完成后将认证结果下发给 Authenticator ,完成对端口的管理。

802.1x认证协议在局域网管理中的应用

802.1x认证协议在局域网管理中的应用

802.1x认证协议在局域网管理中的应用为了有效控制用户随意接入局域网的行为,满足管理网络的业务需要,在局域网管理中应用802.1x认证协议,是一种比较安全且容易实现的方法。

1.802.1x认证协议802.1x认证协议是IEEE为了解决基于端口的网络接入控制(Port Based Network Access Control)而定义的一个标准,它是一种对用户进行认证的方法,它的最终目的就是确定一个端口是否可用。

端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。

对于一个端口,如果认证成功,就“打开”这个端口,允许所有的报文通过;如果认证不成功,就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。

802.1x的体系结构中包括请求者系统、认证系统和认证服务器系统三个部分。

1.1请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。

请求者通常是支持802.1x认证的用户终端设备,一般把802.1x客户端软件安装在终端电脑上,用户通过启动客户端软件发起802.lx认证,输入用户名、口令等验证信息即可。

1.2认证系统认证系统对连接到链路对端的认证请求者进行认证。

认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口,也可以是逻辑端口,其主要作用是将客户端输入的验证信息传递到认证服务器,根据认证的结果打开或关闭服务端口。

1.3认证服务器系统认证服务器检验客户端输入的验证信息,将检验结果通知认证系统。

建议使用RADIUS服务器实现认证服务器的认证和授权功能。

2.RADIUS协议RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,通常被应用在既要求具有较高安全性又要求维持远程用户访问的各种网络环境中。

802_1x认证技术分析

802_1x认证技术分析

2009年2月第15卷第1期安庆师范学院学报(自然科学版)Journal of Anqing Teachers College (Natural Science Edition )Feb.2009Vol.15No.1802.1x 认证技术分析罗汉云1,宋 勇2(安庆师范学院1.现代教育技术中心,2.外国语学院,安徽安庆246133) 摘 要:IEEE 802.1x 协议是目前业界最新的认证协议,802.1x 认证基于逻辑端口把认证流和业务流进行分离。

认证系统的端口分成两个逻辑端口:可控端口和非可控端口。

可控端口传送业务报文,非可控端口只能传送认证协议报文。

它通过认证前后打开/关闭可控端口来实现对用户接入的控制,从而实现对用户的物理端口的认证和控制。

关键词:802.1x 协议;可控端口;非可控端口;认证系统中图分类号:TP391 文献标识码:A 文章编号:1007-4260(2009)01-0052-03图1 0 引言IEEE 802.1x 又称“基于端口的访问控制协议”(Port -based network access co nt rol p rotocol )。

802.1x 起源于802.11协议,它的提出最初是为了解决无线局域网用户的接入认证问题,它提供了一种以太网环境下点对点的识别用户的方式。

后来,该协议被引入到有线局域网环境,并得到了广泛应用。

1 体系结构802.1x 是基于Client/Server 的访问控制和认证协议,它的体系结构包括三个重要的部分:Supplicant System 客户端、Aut henticator System 认证系统即设备端、A ut henticatio n ServerSystem 认证服务器。

如图1所示。

其中PA E (Port Access En 2tit y )是认证系统中负责处理算法和协议的实体,是一个逻辑组件,部署在客户端和设备端。

———Supplicant System 客户端一般为一个用户终端系统。

802.1x认证配置

802.1x认证配置

扑一公司为了安全,实行802.1x 认证一公司为了安全,实行802.1x 认证1.在sw1上sw2之间使用trunk链路,使用VTP配置VLAN 102.启用三层交换机实现vlan间通行都在sw1上配置SW1(config)#int vlan 1SW1(config-if)#ip add 192.168.1.254 255.255.255.0SW1(config-if)#no shSW1(config-if)#int vlan 10SW1(config-if)#ip ad 10.254 255.255.255.03.在ACS服务器上配置DHCP服务器,让客户端能够自动获取IP地址.(此处要搭建dhcp服务)SW1(config)#int vlan 10SW1(config-if)#ip helper-address 192.168.1.100然后再sw2上配置vlan1的ip是4在客户机上测试通行能ping通ACS服务器然后查看自动获取到的ip地址4在安装ACS之前先安装4搭建ACS安装cisco ACS软件四个复选框各个意思是终端用户能够连接到AAA接入设备安装ACS的windows服务器能够ping通AAA接入设备AAA接入设备(sw2)运行的ios最顶版本是11.1使用的浏览器版本最低是IEv6.0SPI或Netscape v8.05安装完成后桌面有双击此图标6注意在此想要运行此软件需要关闭以下功能在添加删除程序中的》添加windows组件中把ie浏览器的勾去掉。

才能运行上面的ACS软件8在network configuration 中添加AAAclients客户端单击add entry 配置sw2然后配置sw2的vlan1的ip地址和共享密钥为cisco8.1在RADIUS KEY WRAP 中选择下面的8.2在authenticate using中选择RADIUS(IETF)8.3然后点击中的按钮确定和应用9配置AAA server9.1配置服务器端ip地址和共享密钥选择服务器类型然后点击中间的确认和应用10配置添加用户在user setup中输入用户名点击Add/edit出现下面对话框11输入密码和用户属于哪个组12配置RADIUS的属性12.1然后现则64 65 8113然后再groups setup 中选择组的然后点击Edit settings14然后选择下面的默认选择也就是这些15然后再在下面按线面步骤选择完成后选择中间的确定并应用64代表认证发起者使用的隧道协议。

802.1x技术

802.1x技术

版权所有©2010,迈普通信技术股份有限公司,保留所有权利
第1章. 简介
本节着重介绍 802.1X 的原理和实现,以及应用。 本节主要内容: l l l 相关术语解析 介绍 典型应用
版权所有©2010,迈普通信技术股份有限公司,保留所有权利
1
第2章. 相关术语解析
n Supplicant system:客户端,位于局域网段一端的一个实体,由该链路另一端的设备端 对其进行认证。 客户端一般为一个用户终端设备, 用户通过启动客户端软件发起 802.1X 认证。 n Authenticator system:设备端,位于局域网一端的另一个实体,对所连接的客户端进行 认证。设备端通常为支持 802.1X 协议的网络设备,它为客户端提供局域网的端口。 n Authentication server system:认证服务器,为设备端提供认证服务的实体。认证服务器 用于对用户进行认证、 授权、 计费, 通常为 RADIUS (Remote Authentication Dial-In User Service) 服务器。 该服务器可以存储有关用户的信息, 包括用户名、 密码、 所属的 VLAN 等。 n PAE(PortAccess Entity) :端口访问实体,802.1X 中负责执行算法和协议操作的实体。 n 非受控端口/受控端口:设备端为客户端提供接入局域网端口,整个端口被分为两个逻 辑端口:非受控端口和受控端口。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,保证客户端始终能够发出和接收报文。受控端口在授权状态下处于双 向连通状态,用户传递业务报文,在非授权状态下禁止从客户端接收和向客户端发送任 何业务报文。
3.2.3 EAP 属性的封装
RADIUS 为支持 EAP 认证增加了两个属性:EAP-Message(EAP 消息)和 Message-Authenticator ( 消息认证码) 。 EAP-Message

H3C 802.1x配置

H3C 802.1x配置
操作手册 安全分册 802.1x
目录
目录
第 1 章 802.1x配置..................................................................................................................1-1 1.1 802.1x简介 ......................................................................................................................... 1-1 1.1.1 802.1x的体系结构.................................................................................................... 1-1 1.1.2 802.1x的基本概念.................................................................................................... 1-2 1.1.3 EAPOL消息的封装 .................................................................................................. 1-4 1.1.4 EAP属性的封装 ....................................................................................................... 1-5 1.1.5 802.1x的认证过程.................................................................................................... 1-6 1.1.6 802.1x的定时器 ....................................................................................................... 1-9 1.1.7 802.1x在设备中的实现 .......................................................................................... 1-10 1.1.8 和 802.1x配合使用的特性...................................................................................... 1-10 1.2 配置 802.1x ...................................................................................................................... 1-12 1.2.1 配置准备 ................................................................................................................ 1-12 1.2.2 配置全局 802.1x .................................................................................................... 1-13 1.2.3 配置端口的 802.1x................................................................................................. 1-14 1.3 配置Guest VLAN.............................................................................................................. 1-16 1.3.1 配置准备 ................................................................................................................ 1-16 1.3.2 配置Guest VLAN ................................................................................................... 1-16 1.4 802.1x显示和维护 ............................................................................................................ 1-17 1.5 802.1x典型配置举例 ........................................................................................................ 1-17 1.6 Guest VLAN的典型配置举例............................................................................................ 1-20 1.7 下发ACL典型配置举例 ..................................................................................................... 1-22

8021x认证流程

802.1x 的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x 认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。

当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。

基于802.1x 的认证系统在客户端和认证系统之间使用EAPOL 格式封装EAP 协议传送认证信息,认证系统与认证服务器之间通过RADIUS 协议传送认证信息。

由于EAP 协议的可扩展性,基于EAP 协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS 以及EAP-AKA 等认证方法。

(1)客户端向接人设备发送一个EAPOL-Start 报文,开始802.1x 认证接人;(2)接人设备向客户端发送EAP-Request/Identity 报文,要求客户端将用户名送上来;(3)客户端回应一个EAP-Response/Identity 给接人设备的请求,其中包括用户名;(4)接人设备将EAP-Response/Identity 报文封装到RADIUSAccess.Request 报文中,发送给认证服务器;(5)认证服务器产生一个Challenge,通过接人设备将RA DIUSAccess—Challenge 报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;(6)接入设备通过EAP-Request/MD5-Challenge 发送给客户端,要求客户端进行认证;(7)客户端收到EAP-Request/MD5-Challenge 报文后,将密码和Challenge 做MD5 算法后的Challenged-Password,在EAP-Response/MD5-Challenge 回应给接入设备;(8)接入设备将Challenge,Challenged Password 和用户名一起送到RADIUS 服务器,由RADIUS 服务器进行认证;(9)RADIUS 服务器根据用户信息,做MD5 算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。

802.1x认证

802.1x802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

网络访问技术的核心部分是PAE(端口访问实体)。

在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。

对受控端口的访问,受限于受控端口的授权状态。

认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。

处在未授权状态的控制端口将拒绝用户/设备的访问。

1.802.1x认证特点基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。

802.1x认证、基于用户的动态VLAN

建立远程访问策略,用于区分不同的用户。分别新建三个远程访问策略vlan10-access、vlan20-access、vlan30-access。分别对这三个策略进行设置,右键“vlan10-access”选择“属性”,在打开的“vlan10-access属性”对话框中单击“编辑配置文件(P)…”,在打开的“编辑拨入配置文件”对话框中选择“高级”选项卡。单击“添加(D)…”按钮,在打开的“添加属性”对话框中分别添加如下三个属性:
配置交换机,启用802.1x认证。
enable
configure terminal
hostname SW
interface range f0/0 - 15
switchport mode access
switchport access vlan 1
exit
interface vlan 1
ip address 192.168.1.220 255.255.255.0
最后验证:
基于用户的动态VLAN
实验目的:
当用户接入时需要经过认证,若认证失败则不允许通信,若成功则分配到与用户相关的VLAN中。
实验步骤:
在活动目录中建立相关的组织单位、组和账号,并设置相关属性。打开保存的控制台,执行以下步骤,【Active Directory用户和计算机】->【】右键“新建”->“组织单位”,新建一个名为“cjxy”的组织单位。在这个组织单位里分别新建三个组VLAN10、VLAN20、VLAN30和三个用户user1、user2、user3。并且设置这三个用户分别隶属于VLAN10、VLAN20、VLAN30,其他属性同上。
修改活动目录中的域安全策略。【开始】->【程序】->【管理工具】->【域安全策略】打开“默认域安全设置”,【安全设置】->【帐户策略】->【密码策略】,在右边的窗口中双击“用可还原的加密来储存密码”打开该策略属性页,在属性页中选择“已启用”,单击“应用”后单击“确定”即可。由于MD5-质询的认证方式需要使用密码的明文来验证客户端的请求是否合法,所以需要修改域安全策略中的密码策略。出于安全性考虑,Windows默认只存放密码的散列值,根据散列值无法还原出密码的明文。启用可还原的密码存储后,原有的Windows帐号的密码必须修改至少一次才会以可还原的形式存储,新建的Windows账号密码则均以可还原的方式存储。修改完后需要使用gpupdate /force命令来刷新组策略,如果不行则需要重启,建议重启。

新的宽带认证方式——IEEE802.1x协议网络知识-电脑资料

新的宽带认证方式——IEEE802.1x协议网络知识-电脑资料随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求,。

IEEE 802.1x协议对认证方式和认证体系结构进行了优化,解决了传统PPPoE和Web/Portal认证方式带来的问题,更适合在宽带以太网中的使用随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。

IEEE 802.1x协议对认证方式和认证体系结构进行了优化,解决了传统PPPoE和Web/Portal认证方式带来的问题,更适合在宽带以太网中的使用。

什么是IEEE 802.1x协议IEEE 802.1x 称为基于端口的访问控制协议(Port work a clearcase/" target="_blank" >ccess control protocol)。

IEEE 802.1x协议的体系结构包括三个重要的部分:Supplic ant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。

客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

为支持基于端口的接入控制,客户端系统需支持EAPOL (Extensible Authentication Protocol Over LAN)协议。

认证系统通常为支持IEEE 802.1x协议的网络设备。

该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。

不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终可以发出或接受认证。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。