網絡測試技術——802.1X原理

1、以太網優勢缺點

1.以太網優勢

（1）即插即用，簡單快捷

（2）任何一臺電腦只要接入網絡便有訪問網絡資源的權限

2.以太網缺點

（1）缺少安全認證機制（二層）

（2）電腦接到交換機上就能訪問網絡

（3）安全性得不到保障

 

2、二層網絡安全技術

1.在用戶接入網絡以前進行認證

 

2.認證經過

（1）交換機端口打開

（2）訪問二層局域網

 

3.認證不經過

（1）交換機端口關閉

（2）不能訪問二層局域網

 

3、802.1X誕生

1.IEEE 802.1X

（1）Port-Based Networks Access Control

（2）基於端口的網絡接入控制

 

2.起源於無線標準802.11協議

（1）最初是爲解決無線局域網的用戶接入認證問題

（2）對局域網具備普適性，移植到有線領域

 

3.正式標準

（1）IEEE 802委員會制定的LAN標準

（2）2001年6月標準化

 

4.DOT1x vs 802.1x

（1）DOT1x = 802.1x

（2）「.」 英文是DOT

 

4、802.1X三個角色

1.Supplicant

（1）客戶端

（2）Winow、Linux、MAC、第三方客戶端

（3）支持EAPoL認證

 

2.Authenticator

（1）認證系統

（2）交換機

 

3.Authentication Server

（1）認證服務器

（2）Radius服務器

（3）思科ACS、華爲Policy Center、Freeradius

 

5、802.1X認證過程

1.認證發生地點

（1）客戶端<--->服務器

（2）認證在客戶端和服務器之間進行

 

2.認證系統

（1）做爲代理

（2）將EAP認證從以太網轉爲Radius格式

（3）感知認證過程

（4）不感知認證內容（交換信息）

 

 

6、802.1X認證結果

1.認證成功

（1）認證系統打開端口

（2）端口狀態變爲Authenticated

（3）交換機轉發客戶端發送報文

 

2.認證失敗

（1）認證系統關閉端口

（2）端口狀態爲Unauthenticated

（3）交換機不轉發客戶端發送報文

 

 

7、EAP簡介

1.802.1X的核心是EAP

（1）認證發生在客戶端和認證服務器之間

（2）認證系統透傳EAP報文

 

2.EAP

（1）Extensible Authentication Protocol

（2）可擴展認證協議

（3）RFC5247

 

8、EAP是框架

1.EAP是一個認證框架

（1）不是具體的認證機制

（2）提供協商 「EAP方法」的功能

 

2.EAP方法

（1）RFC5247

（2）大約40種

（3）EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM

 

 

9、EAP方法分類：Tunneled EAP

1.Tunneled EAP

（1）在客戶端和服務器之間, 先創建安全隧道

（2）在安全隧道里, 使用 MD5、GTC、MSCHAP

 

2.典型表明

（1）PEAP、EAP-FAST、TTLS

 

10、EAPoL

1.EAPOL

（1）EAP over LAN

（2）基於局域網的擴展認證協議

（3）定義EAP在以太網上的傳輸格式

 

2.以太網封裝

（1）目標MAC地址是01-80-c2-00-00-03

 

11、EAPoL認證全過程

1.EAP會話四階段

（1）Session initiation

（2）Session authentication

（3）Session authorization

（4）Session accounting