1、802.1x認證協(xié)議,安全服務事業(yè)部,1,我們的目標,初步了解和認識802.1x協(xié)議的背景； 了解802.1X的基本思想和目標； 了解802.1x的特點； 802.1X的作用； Cisco支持產品平臺； 802.1x有什么樣的體系結構； 802.1x采用什么樣的認證流程； 802.1x協(xié)議對于設備有什么特殊的要求？適合在何種范圍下面使用？ 最后我們還要學習EAP協(xié)議的具體內容。,2,802.1x概況 -起源背景 -802.1x基本思想和實現(xiàn)目標 -802.1x認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1x應用環(huán)境特點,Cisco支持產品平臺 術語介紹 802.1x認證體

2、系結構 802.1x認證過程 802.1x協(xié)議認證端口 802.1x配置 EAP協(xié)議介紹,3,802.1x協(xié)議起源背景,802.1x協(xié)議起源于802.11協(xié)議，后者是標準的無線局域網協(xié)議，802.1x協(xié)議的主要目的是為了解決無線局域網用戶的接入認證問題?，F(xiàn)在已經開始被應用于一般的有線LAN的接入（微軟的Windows XP，以及CISCO、華為、北電等廠商的設備已經開始支持802.1X協(xié)議）。在802.1x出現(xiàn)之前，企業(yè)網上有線LAN應用都沒有直接控制到端口的方法。也不需要控制到端口。但是隨著無線LAN的應用以及LAN接入在電信網上大規(guī)模開展，有必要對端口加以控制，以實現(xiàn)用戶級的接入控制。80

3、2.1x就是IEEE為了解決基于端口的接入控制（Port-Based Access Control）而定義的一個標準。,4,基本思想和目標,這個標準的基本思想是：需要訪問LAN的設備在能夠連接形成LAN環(huán)境的交換機的物理或者邏輯端口之前需要認證和授權。 這個標準的基本目標是：允許對LAN環(huán)境的受控訪問。,5,802.1x認證特點,基于以太網端口認證的802.1x協(xié)議有如下特點： IEEE802.1x協(xié)議為二層協(xié)議，對設備的整體性能要求不高，可以有效降低建網成本； 借用了常用的EAP（擴展身份認證協(xié)議），可以提供良好的擴展性和適應性，實現(xiàn)對傳統(tǒng)PPP認證架構的兼容； 802.1x的認證體系結構中

4、采用了可控端口和不可控端口的邏輯功能，從而可以實現(xiàn)業(yè)務與認證的分離，業(yè)務報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數據包是無需封裝的純數據包； 可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能。,6,802.1x的作用,802.1X首先是一個認證協(xié)議，是一種對用戶進行認證的方法和策略; 802.1X是基于端口的認證策略; 802.1X的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關閉”，此時只允許802.1X的認證報文EAPOL

5、（Extensible Authentication Protocol over LAN）通過。,7,基于以太網端口認證的802.1x協(xié)議有如下作用：,802.1x認證的優(yōu)勢,簡潔高效 容易實現(xiàn) 安全可靠 行業(yè)標準 應用靈活,8,802.1x應用環(huán)境特點,交換式以太網絡環(huán)境 對于交換式以太網絡中，用戶和網絡之間采用點到點的物理連接，用戶彼此之間通過VLAN隔離，此網絡環(huán)境下，網絡管理控制的關鍵是用戶接入控制，802.1x不需要提供過多的安全機制。 共享式網絡環(huán)境 當802.1x應用于共享式的網絡環(huán)境時，為了防止在共享式的網絡環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實體由物理端口進一步擴展為

6、多個互相獨立的邏輯端口。邏輯端口和用戶/設備形成一一對應關系，并且各邏輯端口之間的認證過程和結果相互獨立。在共享式網絡中，用戶之間共享接入物理媒介，接入網絡的管理控制必須兼顧用戶接入控制和用戶數據安全，可以采用的安全措施是對EAPoL和用戶的其它數據進行加密封裝。在實際網絡環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態(tài)分配秘鑰導致的安全性的缺陷。,9,Cisco支持產品平臺,802.1x概況 -起源背景 -基本思想和實現(xiàn)目標 -認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1應用環(huán)境特點 術語介紹 802.1x認證體系結構 802.1x認證過程 802.1x協(xié)議認

7、證端口 802.1x配置 EAP協(xié)議介紹,10,Cisco支持產品平臺,11,Cisco Catalyst 6500 Series Switch,Cisco Catalyst 4000 and 4500 Series Switches,Cisco ACS Server,Cisco Catalyst 2950, 3550, 3750 Routers,Cisco Aironet,術語介紹,802.1x概況 -起源背景 -基本思想和實現(xiàn)目標 -認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1應用環(huán)境特點 Cisco支持產品平臺 802.1x認證體系結構 802.1x認證過程 80

8、2.1x協(xié)議認證端口 802.1x配置 EAP協(xié)議介紹,12,術語介紹,PAE（Port Access Entity）：認證機制中負責處理算法和協(xié)議的實體。 EAP(Extensible Authentication Protocol):可擴展身份認證協(xié)議，EAP是一個相當靈活的協(xié)議，它原來的設計是僅用于攜帶PPP認證參數，但是它也能夠用于其他協(xié)議，例如：802.1x，以滿足它們的認證需求。它是802.1x的根本。 EAPOL(Extensible Authentication Protocol over LAN)：802.1x定義了一個封裝/構造標準來允許產生請求者和認證者之間的通信，這種封

9、裝機制稱為EAPOL。,13,802.1x認證體系結構,802.1x概況 -起源背景 -基本思想和實現(xiàn)目標 -認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1應用環(huán)境特點 Cisco支持產品平臺 術語介紹 802.1x認證過程 802.1x協(xié)議認證端口 802.1x配置 EAP協(xié)議介紹,14,802.1x的認證體系結構（一）,15,802.1x的認證體系結構（二）,802.1X的認證體系分為三部分結構： Supplicant System，客戶端(PC/網絡設備) Authenticator System，認證系統(tǒng) Authentication Server System，

10、認證服務器,16,2,3,4,1,802.1x的認證體系結構（三）,Supplicant System，客戶端，這個設備需要訪問LAN，例如：筆記本電腦。 Supplicant System Client（客戶端）是需要接入LAN，及享受switch提供服務的設備（如PC機），客戶端需要支持EAPOL協(xié)議，客戶端必須運行802.1X客戶端軟件，如：802.1X-complain，Microsoft Windows XP,17,802.1x的認證體系結構（四）,18,在win98下提供的客戶端：,在winXP下提供的客戶端：,802.1x的認證體系結構（五）,Authenticator Syst

11、em，認證系統(tǒng),這個設備負責初始的認證過程，然后作為認證服務器和請求者之間一個中繼，例如：cisco3550、cisco3560。在允許不同的請求者通過交換機上的端口發(fā)送數據流量之前，請求者可以通過802.1x標準連接它，并通過它被認證和獲得授權。 Authenticator System Switch （邊緣交換機或無線接入設備）是根據客戶的認證狀態(tài)控制物理接入的設備，switch在客戶和認證服務器間充當代理角色（proxy）。 switch與client間通過EAPOL協(xié)議進行通訊，switch與認證服務器間通過EAPoL或EAP承載在其他高層協(xié)議上，以便穿越復雜的網絡到達 Authent

12、ication Server （EAP Relay）；switch要求客戶端提供identity，接收到后將EAP報文承載在Radius格式的報文中，再發(fā)送到認證服務器，返回等同； switch根據認證結果控制端口是否可用； 需要指出的是：我們的802.1x協(xié)議在設備內終結并轉換成標準的RADIUS協(xié)議報文，加密算法采用PPP的CHAP認證算法，所有支持PPP CHAP認證算法的認證計費服務器都可以與我們對接成功。,19,802.1x的認證體系結構（六）,Authentication Server System，認證服務器這個設備代表認證者負責真正的認證和授權。這個設備以數據庫形式包含網絡上所

13、有用戶的簡要信息。能夠這個信息去認證和授權連接認證者端口上的用戶。認證服務器的例子是：CISCO的ACS，Radius。,20,802.1x認證過程,802.1x概況 -起源背景 -基本思想和實現(xiàn)目標 -認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1應用環(huán)境特點 Cisco支持產品平臺 術語介紹 802.1x認證體系結構 802.1x協(xié)議認證端口 802.1x配置 EAP協(xié)議介紹,21,802.1x認證過程（一）,22,802.1x認證過程（二）,認證前后端口的狀態(tài) 802.1X的認證中，端口的狀態(tài)決定了客戶端是否能接入網絡，在啟用802.1x認證時端口初始狀態(tài)一般為非授

14、權（unauthorized），在該狀態(tài)下，除802.1X 報文和廣播報文外不允許任何業(yè)務輸入、輸出通訊。當客戶通過認證后，則端口狀態(tài)切換到授權狀態(tài)（authorized），允許客戶端通過端口進行正常通訊。,23,802.1x認證過程（三）,基本的認證過程： 認證通過前，通道的狀態(tài)為unauthorized，此時只能通過EAPOL的802.1X認證報文； 認證通過時，通道的狀態(tài)切換為authorized，此時從遠端認證服務器可以傳遞來用戶的信息，比如VLAN、CAR參數、優(yōu)先級、用戶的訪問控制列表等等； 認證通過后，用戶的流量就將接受上述參數的監(jiān)管，此時該通道可以通過任何報文，注意只有認證通過

15、后才有DHCP等過程。,24,802.1x認證過程（四）,要控制端口授權狀態(tài)，使用dot1x port-control 接口配置命令，現(xiàn)在的設備（switch）端口有三種認證方式： Force Authorized：802.1x驗證被禁用，并且接口無需任何驗證交換即轉換到授權狀態(tài)，端口一直維持授權狀態(tài)，switch的 Authenticator不主動發(fā)起認證。這是默認配置。 Force Unauthorized：端口一直維持非授權狀態(tài)，忽略所有客戶端發(fā)起的認證請求，交換機不能通過該接口為客戶提供驗證服務。 Auto： 激活802.1X，設置端口為非授權狀態(tài)，同時通知設備管理模塊要求進行端口認證

16、控制，使端口僅允許EAPOL報文收發(fā)，當發(fā)生UP事件或接收到EAPOL-start報文，開始認證流程，請求客戶端Identify，并中繼客戶和認證服務器間的報文。認證通過后端口切換到授權狀態(tài)，在退出前可以進行重認證。,25,802.1x協(xié)議認證端口,802.1x概況 -起源背景 -基本思想和實現(xiàn)目標 -認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1應用環(huán)境特點 Cisco支持產品平臺 術語介紹 802.1x認證體系結構 802.1x認證過程 802.1x配置 EAP協(xié)議介紹,26,802.1x協(xié)議認證端口（一）,受控端口：在通過認證前，只允許認證報文EAPOL報文和廣播報

17、文（DHCP、ARP）通過端口，不允許任何其他業(yè)務數據流通過； 邏輯受控端口：多個Supplicant共用一個物理端口，當某個Supplicant沒有通過認證前，只允許認證報文通過該物理端口，不允許業(yè)務數據，但其他已通過認證的Supplicant業(yè)務不受影響。,27,802.1x協(xié)議認證端口（二）,現(xiàn)在在使用中有下面三種情況： 僅對使用同一物理端口的任何一個用戶進行認證（僅對一個用戶進行認證，認證過程中忽略其他用戶的認證請求），認證通過后其他用戶也就可以利用該物理端口訪問網絡服務。 對共用同一個物理端口的多個用戶分別進行認證控制，限制同時使用同一個物理端口的用戶數目（限制MAC地址數目），但不

18、指定MAC地址，讓系統(tǒng)根據先到先得原則進行MAC地址學習，系統(tǒng)將拒絕超過限制數目的請求，若有用戶退出，則可以覆蓋已退出得MAC地址。 對利用不同物理端口的用戶進行VLAN認證控制，即只允許訪問指定VLAN，限制用戶訪問非授權VLAN；用戶可以利用受控端口，訪問指定VLAN，同一用戶可以在不同的端口訪問相同的VLAN。,28,802.1x配置,802.1x概況 -起源背景 -基本思想和實現(xiàn)目標 -認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1應用環(huán)境特點 Cisco支持產品平臺 術語介紹 802.1x認證體系結構 802.1x認證過程 802.1x協(xié)議認證端口 EAP協(xié)議介

19、紹,29,802.1x在交換機上的配置,30,Switch(config)#aaa authentication dot1x default method1 method2,Creates an 802.1x port-based authentication method list,Switch(config)#dot1x system-auth-control,Globally enables 802.1x port-based authentication,Switch(config)#interface type slot/port,Enters interface configura

20、tion mode,Switch(config-if)#dot1x port-control auto,Enables 802.1x port-based authentication on the interface,Switch(config)#aaa new-model,Enables AAA,802.1x在交換機上的配置,認證不通過時： Cisco 3550交換機將客戶放入guestvlan里面，需要一條命令支持： dot1x guest-vlan supplicant Cisco 3560交換機將客戶模式劃到access模式下面。,31,EAP協(xié)議介紹,802.1x概況 -起源背景

21、-基本思想和實現(xiàn)目標 -認證特點 -802.1x的作用 -802.1x認證優(yōu)勢 -802.1應用環(huán)境特點 Cisco支持產品平臺 術語介紹 802.1x認證體系結構 802.1x認證過程 802.1x協(xié)議認證端口 802.1x配置,32,EAP協(xié)議介紹,Extensible Authentication Protocol ,EAP 802.1x協(xié)議使用一個EAP（可擴展身份認證協(xié)議）的RFC標準幫助實現(xiàn)通信。三個實體間的認證數據使用EAP分組進行交換，這個EAP分組可以裝載在EAPOL幀中。,33,EAP協(xié)議介紹,下面是一個典型的PPP協(xié)議的幀格式： 當PPP幀中的protocol域表明協(xié)議類型為C227(PPP EAP)時，在PPP數據鏈路層幀的Information域中封裝且僅封裝PPP EAP數據包，此時表明將應用PPP的擴展認證協(xié)議EAP。這個時候這個封裝著EAP報文的information域就擔負起了下一步認證的全部任務，下一步的EAP認證都將通過它來進行。,34,Flag,Address,Control,Protoc