802.1X:EAP Over Eth、EAP Over LAN
用于在pc与交换机之间承载EAP协议
EAP协议:可扩展认证协议
C/S架构,客户端----EAPOL-----设备----RADIUS-------服务器
802.1X封装:DMAC==01:80:C2:00:00:03 )Type:0x888E
RADIUS:通过UDP封装EAP==AVP属性79进行EAP传递。
EAP的透传认证:(EAP-MD5方式)
交换机作为NAS设备,对终端来的802.1X中EAP解封装,通过RADUIS重封装给server。通过server的授权信息,ACL添加在本交换机,从而进行访问授权控制。
缺点: 过程明文传输
EAP-TLS:
引入TLS的握手协议,要求client与server都要证书。
握手后数据包在TLS隧道中进行加密传递。
缺点:每个client都需要证书
EAP-PEAP with MS-CHAPv2
仅需要Server有证书,Client不需要证书。
建立TLS握手时候,仅对server进行证书认证(可以自签名)。
在隧道建立后,Server在加密隧道中通过Chap对client进行认证。
802.1X
数据包封装
EAPOL封装如下:
EAP封装如下: 当Type=0时,封装EAP数据
此时EAP-DATA中为 EAP-Method
EAP透传交互过程