简介
802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。
二层协议:802.1x为2层协议,不需要到达三层,对接入设备的整体性能要求不高,即可以使用二层交换机作为接入设备,有效降低建网成本。
安全性:认证报文和数据报文通过裸机接口分离,提高安全性。
C/S架构:包含三个实体,客户端、接入设备、认证服务器。
客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)。
设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS服务器。
基于EAP:802.1x使用EAP(扩展认证协议)作为其核心,实现客户端、设备端、认证服务器之间的信息交互。不是直接使用radius协议。
EAP和radius相比:
适配性高:可以基于各种底层,包括数据链路层、UDP层、TCP层。而radius只能基于UDP。
免IP:不需要IP地址。而radius必然要求IP地址啊。
客户端和接入设备之间:EAP使用EAPoL(EAP over LAN)封装格式
接入设备和服务器之间:根据实际情况可以选用EAP终结方式或中继方式。42
802.1X认证安全性较高,但是却需要客户终端安装802.1X客户端,网络部署不灵活。
MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理复杂
Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。
所以,802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。
802.1x系统为典型的C/S结构,包括三个实体:客户端,认证服务器,设备端
认证方式
EAP透传
常用。
- 当用户需要访问外部网络时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。
- 设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
- 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。
- 设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。
- RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,
最低0.47元/天 解锁文章
815
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
