1、802.1x的原理
(1)802.1x的产生原因
- 802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
- 802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。
(2)设备环境搭建实例
- 客户端(Supplicant)一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持局域网上的可扩展认证协议EAPOL
- 接入设备(Switch)是位于局域网段一端的另一个实体,对所连接的客户端进行认证。接入设备通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的接口。
- 认证服务器(RADIUS Server Cluster)是为接入设备提供认证服务的实体。认证服务器用于对用户进行认证、授权和计费,通常为RADIUS服务器。
(3)认证触发方式
- 客户端主动触发方式:用户主动开启客户端输用户名和密码向接入设备发送EAP报文来触发认证。
- 接入设备主动触发方式:接入设备在接收到用户终端发送的DHCP/ARP报文后,主动触发用户终端自动弹出客户端界面,用户输入用户名和密码即可启动认证。常见于网吧。
(4)认证方式
- 802.1X认证系统使用可扩展认证协议EAP(Extensible Authentication Protocol)来实现客户端、接入设备和认证服务器之间认证信息的交换,各实体之间EAP协议报文的交互形式如下。
- 在客户端与接入设备之间,EAP协议报文使用EAPOL封装格式,并直接承载于LAN环境中。
- 在接入设备与认证服务器(以RADIUS服务器为例)之间,EAP协议报文可以使用以下两种方式进行交互。
- EAP中继:EAP协议报文由接入设备进行中继,设备将EAP报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中,发送给RADIUS服务器进行认证。该认证方式的优点是:设备处理简单,可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求RADIUS服务器端支持相应的认证方法。
- EAP终结:EAP协议报文由接入设备进行终结,设备将客户端认证信息封装在标准RADIUS报文中,与服务器之间采用密码验证协议PAP(Password Authentication Protocol)或质询握手验证协议CHAP(Challenge Handshake Authentication Protocol)方式进行认证。该认证方式的优点是:现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且不能支持除MD5-Challenge之外的其它EAP认证方法。
(5)认证流程
(6)802.1x有哪些应用场景
1、校园网学生用户上网的认证方式;2、图书馆接入访问图书馆资源;3、酒店饭馆的无线接入弹出认证页面;4、高铁机场候客大厅的无线接入认证方式
(7)802.1x认证模式有哪些基于端口模式
- 当采用基于端口模式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源。但是当最后一个用户下线后,其他用户也会被拒绝使用网络。
- 基于MAC模式:当采用基于MAC地址模式时,该端口下的所有接入用户均需要单独认证。
2、配置案例
(1)配置思路:
- 创建并配置RADIUS服务器模板、AAA方案以及认证域,并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Router与RADIUS服务器之间的信息交互。
- 配置802.1X认证,实现对办公区内员工的网络访问权限进行严格控制。具体配置包括:
- 配置802.1X接入模板
- 配置认证模板
- 接口下使能802.1X认证
(2)测试结果
- 执行命令display dot1x查看802.1X认证的各项配置信息。从显示信息中能够看到接口Eth2/0/0下已使能802.1X认证(802.1X protocol is Enabled)。
- 用户在终端上启动802.1X客户端,输入用户名和密码,开始认证。
- 如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。
- 用户上线后,管理员可在设备上执行命令display access-user查看在线802.1X用户信息。
(3)其他常见应用案例
- Guest VLAN、动态下发 VLAN :方便外部用户的访问,访客,员工认证。
- 下发 ACL 应用:对认证的不同员工的访问权限限制
- EAD 快速部署 :简化客户端的下载更新。