一、802.1x协议介绍
认证方法:8021x认证、EAPOE认证
弥补了原来认证的短板:未通过认证就可以访问内网资源
8021.1x:主要目的是为了解决局域网用户接入认证问题
RADIUS协议认证方式,C/S架构
认证模式:基于端口,基于MAC
认证方式:EAP终结、EAP透传
端口控制:自动识别、强制授权、强制非授权
1、802.1x的使用背景:
AC一般路由部署或者网桥部署,只能对经过设备的用户做认证和管控,内网这些终端设备无法管控,没有经过可信认证就可接入二层交换机,从而直接访问服务器。无法保证业务安全。
2、认证流程:
(1)客户端发起请求
(2)交换机收到请求,要求客户端提交认证信息
(3)客户端提交认证信息
(4)交换机收到认证信息,转交AC
(5)AC收到认证信息判断是否认证成功,并把结果交给交换机
(6)如果认证成功,则交换机打开端口
3、上线流程:
完成认证之后就放通了端口,但是未在AC设备上线,上线过程如下(需要收到计费开始请求之后才开始走上线流程):
1、认证成功后,将终端MAC地址缓存在设备内存中5分钟
2、需要获取IP/MAC对应关系完成上线
(1)计费报文带IP
(2)通过镜像获取DHCP,ARP广播报文
(3)跨三层取MAC的方式
4、旁路重定向认证
(1)AC旁挂在核心交换机上,对未认证通过的请求发reset包的方式拒绝请求;对需要认证的发302重定向,进行重定向认证。
(2)在没有认证之前不能访问内网业务,即不能经过核心交换机,这种方案实施非常方便简单,仅需要在交换机上镜像数据就可以,不需要交换机做各种配置对接
5、旁路模式密码认证与802.1x认证对比
6、旁路模式密码认证流程:
(1)终端访问业务或上网数据经过交换机,交换机镜像数据包到AC上,AC检查终端是否已经认证过了,如果没有认证,则发302重定向包;
(2)终端接到302重定向包,到AC设备上进行认证;
(3)认证通过后不再发重定向包,进行放行;认证不通过的,发reset阻断用户对业务的访问;
7、终端检查功能
杀软检查:
检测方法:流量检测、准入插件检测
支持禁止上网,提示用户,只记录结果,违规修复和限制用户权限五种违规处理方式
登陆域检查:
检测方法:准入插件
支持禁止上网,提示用户,只记录结果和违规修复四种违规处理方式
非法外联检测
终端管控功能:
外设管控:支持存储设备、网络设备、蓝牙设备、摄像头和打印机的管控
动作:允许、禁止、精准管控
识别审计功能:
终端识别:识别内网资产
IP管理:方便网络管理员知道IP段地址使用情况
业务审计,做到:知道你是谁,能做什么,做了什么
U盘审计,支持离线审计
AC支持审计那些类型业务:web业务 smb类型业务 ftp类型业务
给准入插件发送审计日志端口:886
惩罚通道只能给用户限额使用
全网上网态势分析适用于总部多分支网络场景
Pop3只支持单点登录,不支持外部认证
扫一扫
5416
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
