厂家面试必出问题之dot1x认证过程
802.1x工作过程
(1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
(2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
(3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
(4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
(5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
厂家面试必出问题之dot1x认证过程
802.1x工作过程 (1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。 (2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 (3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 (4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。 (5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。 (6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。 |
==================================================================
DOT1X和802.1x认证的区别和联系
当开启IEEE 802.1x后,并且连接的主机支持IEEE802.1x认证时,将得出如下结果:
★如果认证通过,交换机将接口放在配置好的VLAN中,并放行主机的流量。
★如果认证超时,交换机则将接口放入guest vlan。
★如果认证不通过,但是定义了失败VLAN,交换机则将接口放入定义好的失败VLAN中。
★如果服务器无响应,定义放行,则放行。
注:不支持IEEE 802.1x认证的主机,也会被放到guest vlan中。
提示:
当交换机使用IEEE802.1x对主机进行认证时,如果主机通过了认证,交换机还可以根据主机输入的不同账户而将接口划入不同的VLAN,此方式称为IEEE802.1x动态VLAN认证技术,并且需要在RADIUS服务器上做更多的设置。本文档并不对IEEE802.1x动态VLAN认证技术做更多的介绍,如有需要,本文档将补充对IEEE802.1x动态VLAN认证技术的详细介绍与配置说明。
当主机认证失败后,交换机可以让主机多次尝试认证,称为重认证(re-authentication),在交换机上开启re-authentication功能即可,默认是关闭的。并且还可以配置认证时间间隔,默认60秒,默认可以尝试2次重认证。
如果要手工对某接口重认证,在enable模式输入命令dot1xre-authenticate interface
在交换机接口上开启认证后,只要接口从down状态到up状态,就需要再次认证。
dot1x port-control auto接口开认证
对于开启了认证的接口,分为两种状态,unauthorized(未认证的)和authorized(认证过的)。
接口的状态,可以手工强制配置,接口可选的配置状态分以下3种:
force-authorized:就是强制将接口直接变认证后的状态,即authorized状态。
force-unauthorized:就是强制将接口直接变没有认证的状态,即unauthorized状态。
Auto:就是正常认证状态,主机通过认证,则接口在authorized状态,认证失败,则在unauthorized状态。.
注:当交换机接口从up到down,或者主机离开了发送logoff,都将合接口重新变成unauthorized状态。
开启了IEEE 802.1x 认证的接口除了有状态之外,还有主机模式,称为HostMode,分两种模式:single-host和multiple-host。
在single-host模式(默认),表示只有一台主机能连上来。
在multiple-hosts模式,表示可以有多台主机连上来,并且一台主机认证通过后,所有主机都可以访问网络。
当认证超时或主机不支持认证时,接口将被划到guest VLAN,当认证失败时,将被划失败VLAN,也就是受限制的VLAN(restricted VLAN),guestVLAN和restrictedVLAN可以定义为同一个VLAN,并且每接配置的。其实即使划入这个VLAN后,也会告诉客户是认证通过,要不然会得不到DHCP。
注:
★IEEE 802.1x认证只能配置在静态access模式的接口上。
★正常工作在IEEE 802.1x的接口被称为port access entity(PAE) authenticator。
★在认证超时或主机不支持认证时,才会将接口划入guest-vlan,在IOS12.2(25)SE之前,是不会将支持认证但认证失败的接口划入guest-vlan的,如果要开启guest-vlansupplicant功能,要全局配置dot1x guest-vlan supplicant。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(ExtensibleAuthentication Protocol over LAN)通过。
二、802.1X的认证体系分为三部分结构:
Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统
Authentication Server System,认证服务器
三、认证过程
1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;
3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
4、Supplicant System-Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、WindowsXP等
四、配置
1、先配置switch到radius server的通讯
全局启用802.1x身份验证功能
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x {default}method1[method2...]
指定radius服务器和密钥
switch(config)#radius-server host ip_add key string
2、在port上起用802.1x
Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
2.IEEE 802.1X主要是为了实现局域网的接入控制,比如禁止非法接入企业内部网络等。IEEE802.1X是一个二层协议。
因此这两者之间的适用范围不同。但是PPPoE可以做为802.1X的验证方式来使用,PPPoE用来验证用户身份,802.1X用来限制用户访问,这也是可以的。