IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
IEEE802.1x是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
5.1IEEE802.1x体系介绍
虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
IEEE802.1x的体系结构中包括三个部分:
Supplicant System,用户接入设备;
Authenticator System,接入控制单元;
Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议;Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
5.2IEEE802.1x认证过程简介
IEEE802.1x的认证过程
1.当用户有上网需求时打开802.1X客户端程序,输入用户名和口令,发起连接请求。此时客户端程序将发出请求认证的报文给交换机,启动一次认证过程。
2.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。
3.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字Challenge对它进行加密处理(MD5),通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge。
5.客户端收到EAP-Request/MD5-Challenge报文后,用该加密字对口令部分进行加密处理(MD5)给交换机发送在EAP-Response/MD5-Challenge回应,交换机将Challenge,Challenged Password和用户名一起送到RADIUS 服务器进行认证。
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,保持交换机端口的关闭状态,只允许认证信息数据通过。
5.3IEEE802.1x配置
IOS 全局配置命令:
aaa new-model   /*启用aaa
aaa authentication dot1x default group radius  /*配置dot1x认证列表
dot1x system-auth-control    /全局启用802.1x
radius-server host 192.168.0.167 auth-port 1812 key q1w2e3r4 /*认证服务器信息
接口配置命令:
dot1x port-control auto  /*接口启用802.1x

转载于:https://blog.51cto.com/xghe110/90879

交换网络安全防范系列五之802.1x-基于端口的网络访问控制技术相关推荐

  1. 用802.1X+FreeRadius+LDAP实现网络准入方案

    使用802.1X+FreeRadius+LDAP实现网络准入方案 作者:邓小林 前言:在很多运维项目交流中,我们发现有一些运维团队还是在尝试使用网管或桌面管理来进行网络准入管理,但这两个技术有一定的缺 ...

  2. 华为S系列交换机配置802.1x+MAC认证,python简洁配置版

    复制到python中,实际测试正常使用. radius_ip = input(print('radius服务器IP地址:')) authen_port = input(print('radius服务器 ...

  3. Network | 802.1x

    IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写),全称是"基于端口的网络接入控制",属于IEEE 802.1网络协议组的一部分.于2001年标准 ...

  4. 【网络安全】802.1X技术基础

    1 前言 802.1X作为一种基于端口的用户访问控制安全机制,因其低成本.良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准以来便迅速受到了设备制造商 ...

  5. AAA、RADIUS、TACACS+、HWTACACS、802.1X

    一.前言 在介绍AAA之前,先举一个生活的例子: 一天,某个人来到一个公司的门岗,他想进入这家公司,门岗在查验此人的身份之前,不允许他进入公司.门岗通过后台系统,查询此人的身份,有以下几种情况: 1. ...

  6. 锐捷网络:校园网基于802.1x无感知认证

    一.现状与需求分析 随着智能终端的普及,接入校园网络的终端类型正在逐渐发生变化.智能终端需要通过3G.GPRS.WIFI接入Internet网络.但目前3G.GPRS上网资费较贵,所以WIFI成为校园 ...

  7. 802.1x身份验证

    有两种无线网认证可以用,一种基于网页认证,输入用户名和密码就可以,还一种是基于802.1X认证. 802.1x是一种身份认证协议. 起源 随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用 ...

  8. AC-Campus准入控制--802.1x

    准入控制的定义: 准入控制是指出于网络安全考虑对尝试接入网络的用户进行认证 和授权,确保只有身份合法并且符合条件的用户才允许接入网络. 背景 NAC(Network Admission Control ...

  9. android 802.1x 认证,802.1X认证基础

    802.1X认证基础 802.1X认证简介 定义 802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)."基 ...

最新文章

  1. C# 5.0中引入了async 和 await
  2. [SDOI2017]硬币游戏
  3. python requests
  4. PHP-代码审计-身份认证
  5. 使用SAP portal service创建Fiori Launchpad
  6. 转: 加快Android编译速度
  7. 使用 JSON JavaScriptSerializer 进行序列化或反序列化时出错。字符串的长度超过了为 maxJsonLength 属性设置的值。...
  8. centos7赋予全部权限_终结CentOS 7+Snort2.9+BASE 安装
  9. table表格某一td内容太多导致样式混乱的解决方案
  10. hdu5187 奇怪题
  11. javascript 图像二值化处理
  12. python练习题:u2.1求三角形斜边长度
  13. Http request传输图片和附属信息(old)
  14. 直播APP开发成品案例
  15. HTMl--基础样式的使用
  16. 图像内容修改—修改表格数字及文字
  17. 公司MES项目现场落地实施总结
  18. 网络安全与认证技术-总复习
  19. java8新特性(拉姆达表达式lambda)
  20. 反编译+混淆的攻守战

热门文章

  1. python时间序列小波分析_python时间序列分析
  2. ajax百分比加载特效,jQuery实现的简单百分比进度条效果示例
  3. delphi 实现屏幕旋转代码_X86指令混淆之函数分析和代码块粉碎
  4. python寻找相似用户_Python 寻找相近的用户
  5. 左右声道测试音频_关于制作左右声道音频的剪辑软件推荐
  6. MJExtension 模型嵌套模型数组
  7. 可穿戴的脑机接口设备将运动意念转化为行动
  8. 实时检测神经振荡可实现行为相关的神经反馈
  9. Khronos 在GDC上的信息汇总:Vulkan,OpenXR,WebGL,glTF
  10. 微软2022新bug:大量程序员连夜加班,只因日期数据溢出