安全是网络设计的永恒话题,网络攻击与防护措施两方,一直以来都在“魔高一尺,道高一丈”的循环螺旋式发展。进入云计算时代,网络安全的重要性更加突出,几乎所有的云计算业务都不可能脱离严密的安全策略而独立存在。

云计算强调资源请求与资源调度的分离,实际处理请求的后台系统与发出请求的最终用户之间是一种松耦合关系,也许用户永远也不知道帮他处理邮件的服务器是什么型号、位于什么地方。在这种情况下,安全对于云计算服务的重要性是显而易见的。在企业用户眼里,云计算的灵活性、高性价比、高可靠都有着无可比拟的优势,但如果在安全性上不过关,将没有一个企业级用户会将自己的内部数据托管到一个存在泄密风险的平台上。从IaaS到PaaS、SaaS,云计算服务包含的内容越来越多,用户能够接触到的底层信息却越来越少,在一个典型的SaaS服务中,用户可能连底层用的是FC存储还是iSCSI存储都不知道。由于缺少基础架构的细节信息,用户会对接入云服务的过程提出更高的安全要求。

网络准入的内涵非常广泛,本文主要描述主流的二层准入、三层准入和客户端准入三种方式。

一、二层准入

大型企业往往利用DHCP协议进行IP地址的分发,用户电脑无需配置IP地址,在接入网络的时候,网络上的DHCP服务器将自动为每个电脑网卡分配一个可用的IP地址。二层准入就是用户在获得三层IP地址之前必须通过的认证,当用户在接入网络之初,需要同网络侧通过二层链接进行认证数据的交互,只有成功通过认证才能向DHCP服务器申请IP地址,从而收发数据。

二层准入的代表实现方式就是802.1X。802.1X是IEEE 802.1协议集的一部分,定义了EAP(Extensible Authentication Protocol——可扩展验证协议)在以太网环境中的实现方式,而EAP是IETF在RFC3748中制定的在数据链路层中进行认证行为的一种机制,以满足在不同的二层环境下进行统一认证的需求。这个逻辑连起来就是,IETF首先制定了在数据链路层也就是二层上进行验证的EAP机制,然后IEEE给出了EAP在以太网环境中的运行方式,这个方式就是大家熟知的802.1X,

802.1X协议包含三个基本元素,分别是Supplicant(客户端)、Authenticator(认证方)和Authentication Server(认证服务器)。客户端就是支持802.1X功能的终端设备,如笔记本、智能手机。认证方是将客户端接入网络的接入设备,在有线网络中是接入交换机,在无线网络中是无线AP和控制器;在VPN链接中,认证方则是VPN服务器。认证方负责接受客户端的认证请求,但本身并没有处理这些请求的能力,它会将获得的信息转发到认证服务器,由认证服务器辨别客户端的合法性。认证服务器通常是集中部署在网络内的一台安全设备,当收到转发来的用户请求后,认证服务器将请求信息同已有的用户资料作对比,并将结果返还给认证方。

802.1X的认证流程可以分为以下四步:

1、端口初始化

作为认证方的接入交换机探测到有一个客户连接到一个端口后,它会马上把这个端口置于“未授权”状态,处于“未授权”状态的端口除了802.1X报文不会转发其他任何流量,包括DHCP和HTTP流量。

2、EAP初始化

交换机会定时向一个二层广播地址发出EAP请求信令,开启了802.1X功能的客户端在连上交换机后会保持侦听发往这个二层地址的信号,一旦捕捉到交换机发出的EAP请求,客户端便马上回复一个包含自己ID的EAP应答。交换机收到应答后会通知后台的认证服务器,告诉它有一个新客户端需要进行开始EAP认证。

3、EAP协商

接下来的这个工作准确说来是包含在EAP协议里的标准步骤,由于EAP按照实现方式不同,分为好几个类型,所以在真正开始用户的身份认证之前,客户端同网络侧要协商一个双方都支持的EAP类型来进行后续的流程。

认证服务器收到交换机发来的通知后,马上通过交换机向客户端回送一个EAP报文,这个报文说明了认证服务器希望在接下来的流程中采用的EAP类型,如果客户端对此没有异议,那么双方便可以进行下一步,否则客户端可以同网络侧展开NAK(Negative Acknowledgement——消极认可)协商,知道双方取得共识。

IETF定义了种类繁多的EAP方式,包括EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-IKEv2、EAP-SIM、EAP-AKA等,除此之外,还有不少厂家自己开发的EAP版本,如LEAP、EAP-FAST等。因此进行802.1X设计的一个重要原则就是根据实际需求选择恰当的EAP模式,如果你在交换机上配置了EAP-FAST,却发现用户电脑的操作系统不支持这种EAP类型,两边就没法接上头了。

4、用户身份验证

当客户端和认证服务器成功约定了一种EAP方式后,客户端就可以同交换机开始真正的验证过程。代表用户身份的信息被发送给交换机,交换机又将这个信息转发给认证服务器,根据认证服务器判断的结果,交换机向客户端发出“认证成功”或“认证失败”的报文。

如果用户身份验证成功,交换机端口会被放开,用户获得访问网络的权限;如果验证失败,交换机端口则保持在“未授权”状态,客户端无法通过这个端口收发流量。

当客户端注销时,它会向交换机发出一个表示自己离网的EAP报文,交换机随即将这个端口重新置于“未授权”状态。如果交换机发现这个链路层连接中断,它也会将这个端口设置为“未授权”状态,因为这时用户可能直接断开网线离开了,如果这个端口再次连通,也许是一个新用户,那就需要重新进行用户身份验证了。

在整个过程中,认证方和认证服务器之间通过特定的协议通信,目前采用最普遍的两个协议时RADIUS(Remote Authentication Dial In User Service——远程认证拨号接入用户服务)和TACACS+(Terminal Access Controller Access-Control System Plus——增强型终端访问控制器访问控制系统)。总体说来,TACACS+的稳定性、安全性和灵活性更高,但TACACS+是思科私有协议,因此,在一般的用户接入场合,RADIUS更加常见。

二层准入正如其名所示,所有的流程都是在二层环境下完成的,客户端与交换机之间不会进行IP层面的信令交互。实际上,在客户端通过验证之前,它甚至无法通过DHCP获取IP地址,如果你查看一个802.1X验证失败的电脑网卡,你会发现上面没有可以使用的IP地址。

经过多年的发展,802.1X+RADIUS的实现方式已经发展成为一个功能非常强大的准入方案,RADIUS丰富的字段使
--------------------- 
原文:https://blog.csdn.net/blog_szhao/article/details/34478941?utm_source=copy 
版权声明:本文为博主原创文章,转载请附上博文链接!

安全的网络通道——网络准入之二层准入相关推荐

  1. 4.云计算和大数据时代网络揭秘-安全的网络通道-网络加密

    2019独角兽企业重金招聘Python工程师标准>>> 4.   安全的网络通道-网络加密 4.1 通过VPN隧道保证云计算的数据安全 VPN具备两个基本条件:长连接和加密.长连接的 ...

  2. 安全的网络通道——网络准入之三层准入

    随着网络的发展,接入环境越来越复杂,802.1X在某些方面渐渐显得力不从心了.例如,某些企业需要为访客提供无线网络接入,但不可能每次有访客人员时都在访客的笔记本电脑上配置802.1X策略,这就需要一个 ...

  3. 无线信道是什么意思,无线网络通道是什么意思?

    1.什么是无线信道 无线信道指频段,是以无线信号作为传输载体的数据信号传送通道.按照规定,我国使用的信道有 13 个,使用 1 - 13 信道.同一信道上的设备越多,WiFi 信号的强度越弱,如果想要 ...

  4. 1分钟链圈 | 闪电网络通道数增加29.5%,突破1.1万条通道!EOS 在过去七天区块链活跃度中排名第一...

    Hi,艾瑞巴蒂! 这里是 9 月 3 日的每日1句话新闻晚报,只需1分钟,看看全球最热.最新的区块链新闻. 实时币价:BTC $7271.90    ETH $292.99    EOS $6.53( ...

  5. 全球将建设覆盖中国的物流专线通道网络

    日前,我国印发北京到哈尔滨<服务业发展"十二五"规划>(简称<规划>),提出加快发展交通运输业.现代物流业等生产性服务业,拓展海洋服务业领域. 交通运输网更 ...

  6. 第20节 应用HSRP协议布署双核心交换机网络——提高网络故障容错率

    核心交换机应用HSRP协议--提高网络故障容错率 1背景 1.1核心交换机的地位及作用 1.2核心交换机故障的后果 1.3应用背景 2潜在的问题 2.1核心交换机与HSRP协议 2.2网络环路问题及解 ...

  7. java 编程原理_Java网络编程 -- 网络编程基础原理

    Hello,今天记录下 Java网络编程 --> 网络编程基础原理. 一起学习,一起进步.继续沉淀,慢慢强大.希望这文章对您有帮助.若有写的不好的地方,欢迎评论给建议哈! 初写博客不久,我是杨展 ...

  8. 《实战网络营销 网络推广经典案例战术解》扫描版[PDF]

    电驴资源 下面是用户共享的文件列表,安装电驴后,您可以点击这些文件名进行下载 一┳═┻︻▃内容简介处附有网盘快速下载通道▃︻┻═┳一 [实战网络营销.网络推广经典案例战术解].扫描版.张书乐.pdf详 ...

  9. 【网络】网络基础概念

    目录 网络是什么? 网络的两大组成部分 网络分类 网络的性能 1.速率(某网络发送设备的实际速率) 2.带宽(某网络通道的理论最大速率) 3.吞吐量(某网络传输数据的实际速率) 4.时延(某网络传输数 ...

最新文章

  1. 对于二叉树三种非递归遍历方式的理解
  2. 每日一皮:听说学琵琶的都很文弱...
  3. auto register volatile 比较总结
  4. mysql无法安装弹出Log_[MySQL FAQ]系列 -- 启用GTID binlog新安装完的MySQL提示无法登录...
  5. java 常量池 和 堆 的关系_Java堆、栈和常量池以及相关String的详细讲解(经典中的经典)...
  6. 删除virtual bridge
  7. 自动驾驶_基于强化学习的自动驾驶系统
  8. 找不到MSVCR120.dll,无法执行代码 ——问题解决方案
  9. 【docx4j】docx4j操作docx,实现替换内容、转换pdf、html等操作
  10. 计算机 数据挖掘 知识,计算机软考考试必备知识点:数据挖掘
  11. Matlab 图像平移、旋转、缩放、镜像
  12. duck duck go VS Google
  13. js拆分百分数_一组数据百分比的优化算法(js)
  14. 在tomcat里面配置数据库地址,以及在Spring和Java中的使用
  15. vant Webapp 快速使用
  16. 图扑数字孪生军演,构建跨域作战体系
  17. 基于Linux用C语言实现TCP半双工通信和UDP半双工通信
  18. Cortex-M3处理器的舞台
  19. js 跨域下载图片解决方法
  20. 使用UltraISO制作U盘安装盘的方法

热门文章

  1. 火狐浏览器(firefox)简体中文最新版下载:
  2. IF/RF数据转换器中的数字信号处理
  3. iOS12 Siri ShortCuts 应用 (二)
  4. 北理工计算机学院新闻,北理工计算机学院召开物联网工程本科专业建设研讨会...
  5. layui:图片上传
  6. 【MySQL数据库开发之一】Mac下配置安装数据库-MySQL
  7. Microsoft Edge:你不能不知道的6个Web开发者工具
  8. 深入理解 Linux 2.6 的 initramfs 機制 (上)
  9. 如何通过在FMC上为FTD下发PBR以及FMC如何为FTD开启traceroute回显
  10. 突发!微信大更新,黄脸表情会动了,还能炸群!还有状态、浮窗...张小龙剧透的功能全来了...