AC-Campus准入控制--802.1x

最新推荐文章于 2024-12-05 19:30:00 发布
最新推荐文章于 2024-12-05 19:30:00 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: AC-Campus
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44763840/article/details/114874988
版权
本文详细介绍了802.1x认证的工作原理及其在网络接入控制中的应用。包括NAC安全构架、802.1x协议的基础概念、认证流程、触发方式等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

准入控制的定义

准入控制是指出于网络安全考虑对尝试接入网络的用户进行认证 和授权,确保只有身份合法并且符合条件的用户才允许接入网络。

背景

NAC(Network Admission Control)称为网络接入控制,是一种“端到端”的安全结构,包括802.1x认证、MAC认证与Portal认证。

图1所示,NAC作为解决网络安全接入控制的一种方案,主要包括以下几个部分:

  • 接入用户:需要对其进行认证。如果采用802.1x认证,用户还需要安装客户端软件。

  • NAD(Network Access Device):网络接入设备,对接入用户进行认证和授权。一般需要和AAA服务器配合使用,防止非法终端接入,降低不安全终端的威胁;防止合法终端越权访问,保护核心资源。

  • ACS(Access Control Server):接入控制服务器,主要进行终端安全健康性检查与策略管理;用户行为管理与违规审计,强化行为审计,防止恶意终端破坏。

目的

传统的网络安全技术只考虑了外部计算机对网络的威胁,而没有考虑到内部计算机对网络的威胁,而且现有的网络设备难以有效防止内部设备对网络的威胁。

为了保证网络通信业务的安全性,可引入NAC安全构架。NAC安全构架从用户终端角度考虑内部网络安全,实现对接入用户进行安全控制,提供了“端到端”的安全保证。

802.1x简介

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指,在局域网接入设备的端口这一级,对所接入的用户设备通过认证来控制对网络资源的访问。802.1x协议是基于Client/Server访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

图1所示,802.1x系统为典型的Client/Server结构,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。

  • 客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)。
  • 设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
  • 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS服务器。

802.1x基本概念 

认证模式:

  • 基于接口
  • 基于MAC

认证方式:

  • EAP透传
  • EAP终结

端口控制方式:

  • 自动识别
  • 强行授权
  • 强行非授权

1、受控/非受控端口

设备端为客户端提供接入局域网的端口,这个端口被划分为端两个逻辑口:受控端口和非受控端口。

  • 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
  • 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。

2、授权/非授权状态

设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制。

图2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1x认证系统的端口状态。系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关闭合)

802.1x的认证方式

EAP简介

可扩展身份认证协议(Extensible Authentication Portocol,EAP)最早定义在RFC2284中,是一种支持多种认证方法的认证框架,而不是一个认证机制。EAP最初被设计用于PPP,后来被RFC 3748更新,用于基于端口的802.1X访问控制,最后又被RFC 5247所更新。

EAP是一种非常灵活的二层协议,包括多种类型。有些EAP类型是产商私有的,有些EAP类型是标准的,如LEAP是Cisco私有的,PEAP是公有的标准。有些EAP仅能提供单向认证,而有些EAP可提供双向认证(mutual authenticaiton)。在双向认证中,不仅认证服务器需要对请求方的身份进行认证,请求方也必须对认证服务器的身份进行认证,以防止自己提供的用户名和密码被非法或假冒的认证服务器窃取。大部分要求双向认证的EAP采用服务器证书对认证服务器的身份进行验证。下表列出了各种EAP的特点和具体特性:

802.1x认证系统使用可扩展认证协议EAP(Extensible Authentication Protocol)来实现客户端、设备端和认证服务器之间认证信息的交换,各实体之间EAP协议报文的交互形式如下:

  1. 在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,并直接承载于LAN环境中。
  2. 在设备端与RADIUS服务器之间,EAP协议报文可以使用以下两种方式进行交互。
    • EAP中继(透传):EAP协议报文由设备端进行中继,设备将EAP报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中,发送给RADIUS服务器进行认证。该认证方式的优点是:设备处理简单,可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的认证方法。
    • EAP终结:EAP协议报文由设备端进行终结,设备将客户端认证信息封装在标准RADIUS报文中,与服务器之间采用密码验证协议PAP(Password Authentication Protocol)或质询握手验证协议CHAP(Challenge Handshake Authentication Protocol)方式进行认证。该认证方式的优点是:现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且不能支持除MD5-Challenge之外的其它EAP认证方法。

802.1x系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。图3图4关于两种认证方式的过程描述,都以客户端主动发起认证为例。

EAP终结方式与EAP中继方式的认证流程相比,不同之处在于步骤(4)中用来对用户密码信息进行加密处理的MD5 challenge由设备端生成,之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理。

EAP中继认证的过程如下:

  1. 当用户需要访问外部网络时打开802.1x客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。

  2. 设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。

  3. 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。

  4. 设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文( RADIUS Access-Request)中发送给认证服务器进行处理。

  5. RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。

  6. 设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。

  7. 客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。

  8. 设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文( RADIUS Access-Request)中发送给RADIUS服务器。
  9. RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。
  10. 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。
  11. 用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
  12. 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
  13. 客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。
  14. 设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。

 802.1x认证触发方式

客端户主动触发方式

  • 组播方式
  • 广播方式

设备主动触发方式

  • 组播触发
  • 单播触发
AC-Campus准入控制--Mac
qq_44763840的博客
03-17 1446
MAC认证 简介 MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后,即启动对该用户的认证。 用户名形式 根据接入设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC认证使用的用户名格式分为三种类型: MAC地址格式:设备使用用户的MAC地址作为用户名进行认证,同时可以使用MAC地址或者自定义的字符串作为密码。 固定用户名形式:不论用户的MA
802.1x准入技术
qq_45055351的博客
10-15 1726
一、802.1x准入技术 实现802.1x准入技术需客户端、设备端、radius服务器 在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)和广播报文数据通过设备连接的交换机端口;认证通过后,正常的数据才可以顺利的通过以太网端口 数据流分析: 客户端点击802x准入程序,就会发起连接请求(EAPOL-Start报文)给设备端 设备端收到报文后,发出一个请求报文(EAP-Request/Identtity报文)给客户端,要求客户端发送输入的用户名 客户端收到请求报文后,将用户名信息通过
有线802.1X准入控制 CISCO
01-20
有线的准入认证,思科、windows AD结合认证,原创,写的较为简单,但是绝对可用,需要的朋友可以下载,谢谢。
华为交换机(802.1X准入配置).txt
04-09
详细描述了802.1x的配置步骤,以及每一步的含义。如: 全局下配置: dot1x enable //全局下使能802.1x dot1x authentication-method eap //认证协议为eap dot1x retry 5 //认证最大重尝试数设置为5 dot1x timer tx-period 10 //命令用来配置发送认证请求的时间间隔 domain c
802.1x准入控制技术
purvispanwu的博客
04-17 593
端口控制 开启dot1x后一个物理端口分为两个逻辑端口(受控接口和非受控端口) **非受控端口:**始终处于双向连通状态,主要用来传递认证报文,保证客户端始终能够发出或接受认证报文 ** **授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文 受控端口如何通过认证 EAPOL协议(EAP)认证通过(业务场景应该使用的方式) 强制授权 ...
华为交换机802.1X准入配置指南:保障网络安全的利器
gitblog_06605的博客
10-31 581
华为交换机802.1X准入配置指南:保障网络安全的利器 【下载地址】华为交换机802.1X准入配置指南分享 华为交换机802.1X准入配置指南 项目地址: https://gitcode.com/Open-source-docum...
Agile Controller-Campus手把手安装部署(1)
2401_86454672的博客
09-04 1516
Agile Controller-Campus系统包括:业务管理器(Service Manager,简称SM)、业务控制器(Service Controller,简称SC)以及客户端,网络接入设备(Network Access Device,简称NAD)作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。业务管理器 Service Manager(SM)SM承担业务管理的角色,向已经连接的SC发送实施指令,完成各种业务配置。
Agile Controller-Campus手把手安装部署
2401_84253380的博客
06-24 1135
Agile Controller-Campus系统包括:业务管理器(Service Manager,简称SM)、业务控制器(Service Controller,简称SC)以及客户端,网络接入设备(Network Access Device,简称NAD)作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。业务管理器 Service Manager(SM)SM承担业务管理的角色,向已经连接的SC发送实施指令,完成各种业务配置。
HCIE-Security Day44:AC产品概述、功能、架构组成、AC准入主要技术、RADIUS协议
小梁的博客
08-21 1479
Agile Controller:敏健控制器。基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。Agile Controller-Campus:主要面向企业做接入管理( 园区网),园区智慧的大脑Agile Controller-DCN:做控制器(用于数据中心和云计算中心)区别ACAccess Controller):无线控制点最新升级设备iMaster NCE。
HUAWEI无线部署802.1认证
weixin_33676492的博客
06-07 954
需求:1、全网WIFI实现802.1X认证2、AC实现在线用户显示为AD成员,非IP地址,对AD成员进行管控及策略下发3、AD组成员部门与部门之间实现网络隔离4、建立无线网络802.1x认证逃生机制 WLC:10.100.250.1Aglie:10.100.246.47 1、全网WIFI实现802.1X认证HUAWEI_S12708属于敏捷系列交换机,融合了有线无线技术,所以本案例无线控制器配置均...
802.1X功能测试指导书
12-16
802.1X功能测试指导书,用于802.1x部分设置详细解释
网络安全接入认证-802.1X接入说明
wangtd的博客
03-29 2280
802.1X是一个网络访问控制协议,它可以通过认证和授权来控制网络访问。它的基本原理是在网络交换机和认证服务器之间建立一个安全的通道,并要求客户端提供身份验证凭据。如果客户端提供的凭据是有效的,交换机将开启端口并允许访问。否则,交换机将禁用端口,并阻止客户端访问网络。客户端连接到网络交换机端口。
关于势头正旺的802.1X准入认证,不可不知的那些事
leagsoft_1003的博客
03-10 1832
目前,联软科技已为金融、制造业、运营商、政府、医疗、能源等行业客户实施部署了基于802.1X强准入认证技术的UniNAC网络准入控制系统,联软的ESPP各子系统以及以全网零信任安全管理为代表的系列解决方案,已经为3000多家行业企业提供持续创新的网络安全解决方案和技术服务。:实现一个客户端,一个平台,可以做到网络准入控制、桌面安全管理、 信息防泄露等领域,包含网络准入控制、主机监控审计、桌面管理、补丁管理、安全管理、终端行为管理等功能的一体化、全方位的终端安全解决方案。如何正确处理用户终端安全接入的问题?
网络准入控制(NAC)与802.1X原理简介
最新发布
Linux内核研究者
12-05 1812
网络准入控制(NAC)是一种重要的网络安全技术,负责验证设备和用户的身份、检查设备健康状况,并动态分配访问权限,确保只有符合安全策略的设备可以接入网络。NAC的关键角色包括终端设备、NAC服务器、认证服务器、接入设备和管理平台,各自分工明确,协同工作。
AC敏捷控制器及准入控制技术对比
曹世宏的博客
05-31 4094
a Agile Controller介绍 AC-Campus是做什么的: 基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。 AC应用场景: 传统园区有线无线一体化接入 敏捷园区接入 公共场所无线接入 AC的功能特性: 准入控制(接入管理) 支持多种认证方式,可基于用户/用户组,接入时间,接入地点,接入终端,终端类型、接入方式等...
Agile Controller产品概述
Jian Sun_的博客
09-17 3457
背景 随着移动化时代的来临,用户的位置不再固定,所使用的终端也更多样化,越来越多的BYOD设备加入网络,访客WiFi接入日渐成为企业和各公共场所的刚需,应用类别日新月异。如何快速适应移动用户和BYOD接入,如何提供多元化的访客接入和如何应对BYOD设备和日新月异应用带来的安全风险显得格外重要。AC通过全网业务权限统一控制、安全资源统一调度,实现用户灵活接入、安全资源共享 移动化,虚拟化趋势不可阻挡: 有线无线接入管理:在移动化时代,有线无线同时存在,用户可能同时拥有移动或者固定终端,需要实现统一...
基于华为云平台上iMaster-NCE Campus的中继认证(RADIUS方式)方案简介及配置参考
m0_46129105的博客
03-25 5766
基于华为云平台上iMaster-NCE Campus的中继认证(RADIUS方式)方案简介及配置参考 功能概述 第三方认证主要应用于商业Wi-Fi终端用户在商场酒店、机场地铁、企业来访等情景通过Wi-Fi访问互联网的场景,需要对接入网络的访客进行用户认证,同时提供宣传,推荐及营销等功能,通过认证的访客被允许接入Wi-Fi使用网络。 第三方合作伙伴或开发者为接入访客提供认证Portal页面(如下图),并调用华为iMaster NCE-Campus API授权接口,或通过标准RADIUS协议与iMaster N
网络准入控制
2401_84389418的博客
10-30 1658
网络准入控制、NAC
H12-723题库-个人整理笔记
热门推荐
小闫的博客
04-21 1万+
HCIP安全 H12-723题库 个人笔记整理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值