关于802.1x认证的那些事(一)

最新推荐文章于 2024-05-11 01:51:03 发布
最新推荐文章于 2024-05-11 01:51:03 发布
阅读量7.8k 收藏 16
点赞数 6
分类专栏: 安全认证 文章标签: 802.1x 网络安全 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pangpui/article/details/83344795
版权

前言:近期根据项目需要,学习了相关802.1x认证方面的内容并通过项目实际开发测试了一轮。再回过头静下心来对802.1x认证涉及到的概念、流程、细节再按自己的思路梳理一遍。关于802.1x的基本知识点,互联网上搜索下便可以了解的差不多了,回顾自己在网上学习的这段经历,发现带着问题去研究学习,效率会更高,目的性也更强。因此,这边列出些几点问题,不管是刚学习此方面知识的,还是温习知识的小伙伴,可以带着这几点问题学习回顾:

  1. 802.1x认证是用来干啥子的?

  2. 802.1x的体系结构为何样?

  3. 802.1x认证与EAP协议、EAPOL协议、PEAP协等认证协议之间的关系是什么?

  4. 802.1x认证是谁主动发起认证?

  5. 802.1x认证是在链路层上进行的,当一个设备去对一个接入端口进行认证时,由于不知道双方的目的MAC地址,如何进行链路层通讯?

  6. 802.1x认证涉及到步骤较多的协议交互,万一中间步骤由于外部因素中断了,认证过程将会如何?

接下来让我们带着这些问题一步步学习回顾802.1x认证吧。

一、802.1x认证干啥子用?

较官方的解释:802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

通俗易懂的说:不管是有线还是无线的交换机,如果支持802.1x认证并对相应端口(可以是物理上的也可以是逻辑上的)开启认证的话,我想要通过这个端口进行上网,就要想办法通过它的认证,让它知道我是经过你允许的那个他,否则交换机不让你享受他的上网服务。

二、什么是802.1x认证的体系结构?

802.1x认证的体系结构简单的说就是要进行802.1x认证时需要搭建哪些环境。802.1x系统是Client/Server结构,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server),如下图所示:

在这里插入图片描述

客户端:就是需要通过认证来享受网络服务的设备,必须要支持EAPOL协议。(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)

设备端:对客户端设备执行认证监测并转发认证数据的设备,其本身不对客户端上报的认证信息进行匹配认证,只是一个中介,用于联系客户端和认证服务器。

认证服务器:是为客户端提供认证服务的真家伙,是设备端背后默默支持的人。用于对设备端实现认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User
Service,远程认证拨号用户服务)服务器。

三、802.1x认证与EAP协议、EAPOL协议、PEAP协议等认证协议之间的关系是什么?

也许有些小伙伴在网上查了一堆802.1x认证相关知识点,但是看完也搞不灵清802.1x认证和EAP协议、EAPOL协议等是什么关系,为啥有时候可以用EAP协议认证、有时候可以用PEAP认证。这边先简单的理一下,关于各个协议的详细说明打算在后面的章节中详细概述。

个人认为,802.1x认证是一个认证体系,包含了所需的体系结构、认证流程、支持的认证协议。其不是一个实际意义上的具体协议,而EAP协议、PEAP协议、EAPOL协议等协议是在802.1x认证时用的到协议。这些协议也可能不是相互独立的协议,举个简单的例子,EAPOL协议仅是规定了一种802.1x协议的一种报文封装格式,其可以携带EAP协议。如果小伙伴想详细了解,可以先去搜索具体的协议说明。总结来说,802.1x认证提供了一种认证方案,而其认证方法的具体实现可以有多种,比如EAP-MD5、EAP-TLS、PEAP(PEAP-EAP-MS-CHAPV2)等。

四、802.1x认证是谁主动发起认证?

既然要认证,就要肯定有人先发起认证请求,那么是谁先发起这个请求呢?答案是有以下两种可能:

  1. 客户端主动触发:客户端主动向设备端发送EAPOL-Start报文来触发认证。

  2. 设备端主动触发:设备端会每隔N秒(比如30s)主动向客户端发送EAP-Request/Identity报文来触发认证,此种方式主要用于客户端不支持主动发送EAPOL-Start报文的情况。

五、802.1x认证如何在链路层通讯

由于双方刚开始都不知道对方的MAC地址,因此双方都通过将数据发送到一个组播地址:01-80-C2-00-00-03上,这个组播地址是官方保留的(

IEEE Std 802.1X PAE address)。双方通过解析目的地址为此组播地址上的数据来进行通讯。

六、802.1x认证涉及到步骤较多的协议交互,万一中间步骤由于外部因素中断了,认证过程将会如何?

出现此种情况,一般的思路是等待一段时间,如果对方没有及时回复你的请求,就重新发送请求,如果多次没回复,就当失败了。802.1x认证就设计了多个定时器用于控制流程的异常问题。一般有以下几种定时器:

用户名请求超时定时器(tx-period)、客户端认证超时定时器(supp-timeout)、认证服务器超时定时器(server-timeout)、握手定时器(handshake-period)、静默定时器(quiet-period)、周期性重认证定时器(reauth-period)。

挪威森林的猫
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
交换机802.1X认证配置
weixin_34075551的博客
05-02 3197
交换机802.1X认证配置 IEEE802.1X(基于端口的访问控制Port based network access control)是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用...
802.1X认证配置案列
02-11
在华三、华为系的交换机上的802.1X认证配置案例
802.1X认证客户端测试必备软件xClient
11-21
802.1X认证客户端测试必备软件xClient 802.1X认证客户端测试必备软件xClient 802.1X认证客户端测试必备软件xClient
2024年最全802(1),2024年最新面试突击版
最新发布
2401_84281594的博客
05-11 581
在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.5)认证服务器收到后,取出里面的用户名,到数据库的用户名列表查询对应的密码,并随机生成一个加密字(MD5 Challenge)加密这个密码,然后把加密字封装成radius报文( RADIUS Access-Challenge )发送给交换机。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
802.1x工程简单案例
weixin_33828101的博客
09-11 148
在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已 经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port- Based Access Control)而定义的一...
802.1X认证配置及命令解析(含华为和华三设备)
weixin_47402139的博客
02-29 3971
本篇文章介绍了华为和华三交换设备针对802.1X认证(对接华为Agile Controller-Campus,NAC为统一模式,认证点部署在接入交换机)的配置命令,及相关命令解析
H3C_端口802.1X认证基础配置案例
04-26
802.1X端口认证是一种基于端口的网络访问控制技术,它允许网络管理员在设备连接到网络之前对其进行身份验证。...这个案例为初学者提供了一个实践802.1X认证配置的起点,有助于理解和掌握这一核心技术。
全面解析802.1x认证原理.doc
05-11
802.1x 认证系统是 IEEE 制定的关于用户接入网络的认证标准,全称是“基于端口的网络接入控制”。它于 2001 年正式颁布,最初是为有线网络设计,之后为了配合无线网络的接入进行修订改版,并于 2004 年完成。 802.1...
win10开启802.11x认证
08-17
802.11x认证是无线网络中一种安全的接入控制方式,主要指的是802.1X协议,它是一种基于端口的网络访问控制协议。在Windows 10操作系统中,启用802.11x认证可以增强无线网络的安全性,防止未经授权的设备接入网络。该...
华为华三通用的802.1X客户端软件
03-30
华为和华三(H3C)作为中国领先的网络设备供应商,它们提供了802.1X客户端软件,以便用户在进行网络设备配置和实验时进行802.1X认证。这款通用的802.1X客户端软件可以与eNSP(Enterprise Network Simulation ...
linux下的802.1x客户端源代码(EAP-MD5认证
09-12
linux下的802.1x客户端源代码,采用的是EAP-MD5认证。最简单的802.1x客户端代码,只有一个c文件,基于pcap实现(需要安装libpcap)。可直接编译和运行,自己测试通过。
linux 802.1x客户端
05-28
linux下可以用于作为freeradius服务器的测试客户端,用于测试802.1x。 使用过程中将压缩包拷贝到任意目录,解压,然后按照readme.txt操作即可。
802.1x协议 详解
07-24
802.1x协议,非常经典的资料!!!!估计现在已经找不到了!!!
802.1X协议详细说明书
11-17
介绍了802.1X的原理,比较详细! 包括EAP-TLS,EAP-MD5,PEAP,LEAP,RADIUS等等。 还讲了实现的方法和例子!
802.1x认证原理
07-12 435
802.1x认证系统基础 IEEE 802.1X是由IEEE制定的关于用户接入网络的认证标准,全称是“基于端口的网络接入控制”。它于2001年正式颁布,最初是为有线网络设计,之后为了配合无线网络的接入进行修订改...
802.1x认证技术简介文章中术语介绍之RFC 1483
frankzyw的专栏
03-29 1595
RFC1483( 通过ATM适应层5的多协议封装 ) RFC1483--Multiprotocol Encapsulation over ATM Adaptation Layer 5    本备忘录的状态    2摘要       21.    简介       22.    多路复用方法的选择    23.    AAL5帧格式 34.    LLC
身份认证——802.1x认证和MAC认证讲解
m0_49864110的博客
03-16 7817
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证
微软高级项目经理关于802.1x的一篇文章
weixin_33811961的博客
09-15 109
被认为有害的有线网络上的 802.1X 首先,文章指出“802.1X 是一种基于端口的访问控制方法,可以配置成需要客户端和网络间的相互身份验证。如果没有身份验证,将不允许进行通信。802.1X 同“可扩展身份验证协议一起使用,以便向网络验证客户端,向客户端验证网络,并确保双方以被识别的实体进行通信。” 然后,作者...
网络安全接入认证-802.1X接入说明
wangtd的博客
03-29 1225
802.1X是一个网络访问控制协议,它可以通过认证和授权来控制网络访问。它的基本原理是在网络交换机和认证服务器之间建立一个安全的通道,并要求客户端提供身份验证凭据。如果客户端提供的凭据是有效的,交换机将开启端口并允许访问。否则,交换机将禁用端口,并阻止客户端访问网络。客户端连接到网络交换机端口。
802.1X认证原理及应用
11-29
"802.1X认证是一种基于端口的网络访问控制标准,用于在LAN上提供安全的点对点接入。它由IEEE 802.1x标准定义,旨在增强以太网的安全性,通过对连接到局域网的设备的用户进行身份验证来控制网络访问。这种技术广泛...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值