DOT1X和802.1x认证的区别和联系

21 篇文章 1 订阅
9 篇文章 1 订阅

厂家面试必出问题之dot1x认证过程


  
 
802.1x工作过程

  (1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。 
  (2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 
  (3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 
  (4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。 
  (5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。 
  (6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。


==================================================================


DOT1X和802.1x认证的区别和联系


  
dot1 X 是 IEEE 802.1X的缩写,是基于Client/Server的访问控制和认证协议。 简单的说,IEEE 802.1x是一种认证技术,是对交换机上的2层接口所连接的主机做认证,当主机接到开启了IEEE802.1x认证的接口上,就有可能被认证,否则就有可能被拒绝访问网络。在接口上开启IEEE802.1x认证后,在没有通过认证之前,只有IEEE 802.1x认证消息,CDP,以及STP的数据包能够通过。

 

     因为主机接到开启了IEEE802.1x认证的接口后,需要通过认证才能访问网络,要通过认证,只要输入合法的用户名和密码即可。交换机收到用户输入的账户信息后,要判断该账户是否合法,就必须和用户数据库做个较对,如果是数据库中存在的,则认证通过,否则认证失败,最后拒绝该用户访问网络。

 

     交换机提供给IEEE802.1x认证的数据库可以是交换机本地的,也可以是远程服务器上的,这需要通过AAA来定义,如果AAA指定认证方式为本地用户数据库(Local),则读取本地的账户信息,如果AAA指定的认证方式为远程服务器,则读取远程服务器的账户信息,AAA为IEEE802.1x提供的远程服务器认证只能是RADIUS服务器,该RADIUS服务器只要运行Access Control ServerVersion 3.0(ACS 3.0)或更高版本即可。

 

当开启IEEE 802.1x后,并且连接的主机支持IEEE802.1x认证时,将得出如下结果:

★如果认证通过,交换机将接口放在配置好的VLAN中,并放行主机的流量。

★如果认证超时,交换机则将接口放入guest vlan。

★如果认证不通过,但是定义了失败VLAN,交换机则将接口放入定义好的失败VLAN中。

★如果服务器无响应,定义放行,则放行。

 

注:不支持IEEE 802.1x认证的主机,也会被放到guest vlan中。

 

提示:

当交换机使用IEEE802.1x对主机进行认证时,如果主机通过了认证,交换机还可以根据主机输入的不同账户而将接口划入不同的VLAN,此方式称为IEEE802.1x动态VLAN认证技术,并且需要在RADIUS服务器上做更多的设置。本文档并不对IEEE802.1x动态VLAN认证技术做更多的介绍,如有需要,本文档将补充对IEEE802.1x动态VLAN认证技术的详细介绍与配置说明。

 

当主机认证失败后,交换机可以让主机多次尝试认证,称为重认证(re-authentication),在交换机上开启re-authentication功能即可,默认是关闭的。并且还可以配置认证时间间隔,默认60秒,默认可以尝试2次重认证。

如果要手工对某接口重认证,在enable模式输入命令dot1xre-authenticate interface

在交换机接口上开启认证后,只要接口从down状态到up状态,就需要再次认证。

dot1x port-control auto接口开认证

对于开启了认证的接口,分为两种状态,unauthorized(未认证的)和authorized(认证过的)。

接口的状态,可以手工强制配置,接口可选的配置状态分以下3种:

force-authorized:就是强制将接口直接变认证后的状态,即authorized状态。

force-unauthorized:就是强制将接口直接变没有认证的状态,即unauthorized状态。

Auto:就是正常认证状态,主机通过认证,则接口在authorized状态,认证失败,则在unauthorized状态。.

 

注:当交换机接口从up到down,或者主机离开了发送logoff,都将合接口重新变成unauthorized状态。

 

开启了IEEE 802.1x 认证的接口除了有状态之外,还有主机模式,称为HostMode,分两种模式:single-host和multiple-host。

在single-host模式(默认),表示只有一台主机能连上来。

在multiple-hosts模式,表示可以有多台主机连上来,并且一台主机认证通过后,所有主机都可以访问网络。

 

当认证超时或主机不支持认证时,接口将被划到guest VLAN,当认证失败时,将被划失败VLAN,也就是受限制的VLAN(restricted VLAN),guestVLAN和restrictedVLAN可以定义为同一个VLAN,并且每接配置的。其实即使划入这个VLAN后,也会告诉客户是认证通过,要不然会得不到DHCP。

 

注:

★IEEE 802.1x认证只能配置在静态access模式的接口上。

★正常工作在IEEE 802.1x的接口被称为port access entity(PAE) authenticator。

★在认证超时或主机不支持认证时,才会将接口划入guest-vlan,在IOS12.2(25)SE之前,是不会将支持认证但认证失败的接口划入guest-vlan的,如果要开启guest-vlansupplicant功能,要全局配置dot1x guest-vlan supplicant。

 
【转载】802.1X(DOT1X)端口用户认证协议
一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-BasedAccess Control)而定义的一个标准。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(ExtensibleAuthentication Protocol over LAN)通过。

二、802.1X的认证体系分为三部分结构:
Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统
Authentication Server System,认证服务器

三、认证过程
1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;
3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
4、Supplicant System-Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、WindowsXP等

四、配置
1、先配置switch到radius server的通讯
全局启用802.1x身份验证功能
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x {default}method1[method2...]
指定radius服务器和密钥
switch(config)#radius-server host ip_add key string
2、在port上起用802.1x
Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
 
通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等
 
PS: 802.1X与PPPOE及WEB/PORTAL的区别与联系
1.PPPOE简单点理解为在PPP协议上加上了以太网的报头,以便在以太网中传输。用户可以使用简单的桥接设备进入远程服务器,然后实现接入控制和计费等功能。
2.IEEE 802.1X主要是为了实现局域网的接入控制,比如禁止非法接入企业内部网络等。IEEE802.1X是一个二层协议。
因此这两者之间的适用范围不同。但是PPPoE可以做为802.1X的验证方式来使用,PPPoE用来验证用户身份,802.1X用来限制用户访问,这也是可以的。
3. 事实上802.1X本身依赖于其他的验证方式来进行身份验证,802.1X实际是上对端口进行接入控制,其他验证用户的方式还是有多种,可以是PPPOE,也可以是WEB/PORTAL,它支持多种验证协议。或许把802.1X叫做“联动机制”比较恰当,也就是说,802.1X是用来控制端口的验证状态的,而端口处于什么状态又由验证方式来决定。
  • 3
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值