802.1x认证协议PPT.ppt

1、802.1x认证协议认证协议安全服务事业部安全服务事业部1 我们的目标初步了解和认识802.1x协议的背景；了解802.1X的基本思想和目标；了解802.1x的特点；802.1X的作用；Cisco支持产品平台；802.1x有什么样的体系结构；802.1x采用什么样的认证流程；802.1x协议对于设备有什么特殊的要求？适合在何种范围下面使用？最后我们还要学习EAP协议的具体内容。22024/11/1 周五 802.1x 802.1x概况概况 -起源背景起源背景 -802.1x802.1x基本思想和实现目标基本思想和实现目标 -802.1x802.1x认证特点认证特点 -802.1x802.1x的

2、作用的作用 -802.1x802.1x认证优势认证优势 -802.1x802.1x应用环境特点应用环境特点 Cisco支持产品平台 术语介绍 802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍3 802.1x协议起源背景 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及CISCO、华为、北电等厂商的设备已经开始支持802.1X协议）。在802.1x出现之前，企业网上有线LAN应用

3、都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。42024/11/1 周五基本思想和目标这个标准的基本思想基本思想是：需要访问LAN的设备在能够连接形成LAN环境的交换机的物理或者逻辑端口之前需要认证和授权。这个标准的基本目标目标是：允许对LAN环境的受控访问。52024/11/1 周五802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.

4、1x协议为二层协议，对设备的整体性能要求不高，可以有效降低建网成本；借用了常用的EAP（扩展身份认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能，从而可以实现业务与认证的分离，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。62024/11/1 周五802.1x的作用802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略;802.1X是基于端口的认证策略

5、;802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。基于以太网端口认证的802.1x协议有如下作用：72024/11/1 周五802.1x认证的优势 简洁高效简洁高效 容易实现容易实现 安全可靠安全可靠 行业标准行业标准 应用灵活应用灵活82024/11/1 周五802.1x应用环境特点交换式以太网络环境交换式以太网络环境 对于交换式以太网络中

6、，用户和网络之间采用点到点的物理连接，用户彼此之间通过VLAN隔离，此网络环境下，网络管理控制的关键是用户接入控制，802.1x不需要提供过多的安全机制。共享式网络环境共享式网络环境 当802.1x应用于共享式的网络环境时，为了防止在共享式的网络环境中出现类似“搭载”的问题，有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系，并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中，用户之间共享接入物理媒介，接入网络的管理控制必须兼顾用户接入控制和用户数据安全，可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中，可

7、以通过加速WEP密钥重分配周期，弥补WEP静态分配秘钥导致的安全性的缺陷。92024/11/1 周五 Cisco Cisco支持产品平台支持产品平台 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点术语介绍 802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍10 Cisco支持产品平台Cisco Catalyst 6500 Series SwitchCisco Catalyst 4000 and 4500 Series SwitchesCisco ACS

8、 ServerCisco Catalyst 2950,3550,3750 RoutersCisco Aironet112024/11/1 周五术语介绍术语介绍 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍12 术语介绍PAEPAE（Port Access EntityPort Access Entity）：）：认证机制中负责处理算法和协议的实体。EAP(Extensible A

9、uthentication Protocol):EAP(Extensible Authentication Protocol):可扩展身份认证协议，EAP是一个相当灵活的协议，它原来的设计是仅用于携带PPP认证参数，但是它也能够用于其他协议，例如：802.1x，以满足它们的认证需求。它是802.1x的根本。EAPOL(Extensible Authentication Protocol over LAN)EAPOL(Extensible Authentication Protocol over LAN)：802.1x定义了一个封装/构造标准来允许产生请求者和认证者之间的通信，这种封装机制称为E

10、APOL。132024/11/1 周五802.1x802.1x认证体系结构认证体系结构 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍14 802.1x的认证体系结构（一）152024/11/1 周五802.1x的认证体系结构（二）802.1X的认证体系分为三部分结构：Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统Authentica

11、tion Server System，认证服务器2341162024/11/1 周五802.1x的认证体系结构（三）Supplicant System，客户端，这个设备需要访问LAN，例如：笔记本电脑。Supplicant SystemSupplicant System Client（客户端）是需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain，Microsoft Windows XP172024/11/1 周五802.1x的认证体系结构（四）在win98下提供的客户端：在winX

12、P下提供的客户端：182024/11/1 周五802.1x的认证体系结构（五）Authenticator SystemAuthenticator System，认证系统,这个设备负责初始的认证过程，然后作为认证服务器和请求者之间一个中继，例如：cisco3550、cisco3560。在允许不同的请求者通过交换机上的端口发送数据流量之前，请求者可以通过802.1x标准连接它，并通过它被认证和获得授权。Authenticator System Switch（边缘交换机或无线接入设备）是根据客户的认证状态控制物理接入的设备，switch在客户和认证服务器间充当代理角色（proxy）。switch与c

13、lient间通过EAPOL协议进行通讯，switch与认证服务器间通过EAPoL或EAP承载在其他高层协议上，以便穿越复杂的网络到达 Authentication Server（EAP Relay）；switch要求客户端提供identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同；switch根据认证结果控制端口是否可用；需要指出的是：需要指出的是：我们的802.1x协议在设备内终结并转换成标准的RADIUS协议报文，加密算法采用PPP的CHAP认证算法，所有支持PPP CHAP认证算法的认证计费服务器都可以与我们对接成功。192024/11/1 周

14、五802.1x的认证体系结构（六）Authentication Server SystemAuthentication Server System，认证服务器这个设备代表认证者负责真正的认证和授权。这个设备以数据库形式包含网络上所有用户的简要信息。能够这个信息去认证和授权连接认证者端口上的用户。认证服务器的例子是：CISCO的ACS，Radius。202024/11/1 周五802.1x802.1x认证过程认证过程 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认

15、证体系结构802.1x协议认证端口 802.1x配置 EAP协议介绍21 802.1x认证过程（一）222024/11/1 周五802.1x认证过程（二）认证前后端口的状态 802.1X的认证中，端口的状态决定了客户端是否能接入网络，在启用802.1x认证时端口初始状态一般为非授权（unauthorized），在该状态下，除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。232024/11/1 周五802.1x认证过程（三）基本的认证过程：认证通过前认证通过前，通道的状态为unaut

16、horized，此时只能通过EAPOL的802.1X认证报文；认证通过时，认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；认证通过后认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。242024/11/1 周五802.1x认证过程（四）要控制端口授权状态，使用dot1x port-control 接口配置命令，现在的设备（switch）端口有三种认证方式：Force Authorized：802.1x验证被禁用，并且接口无需任何验证

17、交换即转换到授权状态，端口一直维持授权状态，switch的 Authenticator不主动发起认证。这是默认配置。Force Unauthorized：端口一直维持非授权状态，忽略所有客户端发起的认证请求，交换机不能通过该接口为客户提供验证服务。Auto：激活802.1X，设置端口为非授权状态，同时通知设备管理模块要求进行端口认证控制，使端口仅允许EAPOL报文收发，当发生UP事件或接收到EAPOL-start报文，开始认证流程，请求客户端Identify，并中继客户和认证服务器间的报文。认证通过后端口切换到授权状态，在退出前可以进行重认证。252024/11/1 周五802.1x802.1

18、x协议认证端口协议认证端口 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程 802.1x配置 EAP协议介绍26 802.1x协议认证端口（一）受控端口受控端口：在通过认证前，只允许认证报文EAPOL报文和广播报文（DHCP、ARP）通过端口，不允许任何其他业务数据流通过；逻辑受控端口逻辑受控端口：多个Supplicant共用一个物理端口，当某个Supplicant没有通过认证前，只允许认证报文通过该物理端口，不允许业务数据，但其他

19、已通过认证的Supplicant业务不受影响。272024/11/1 周五802.1x协议认证端口（二）现在在使用中有下面三种情况：现在在使用中有下面三种情况：仅对使用同一物理端口的任何一个用户进行认证（仅对一个用户进行认证，认证过程中忽略其他用户的认证请求），认证通过后其他用户也就可以利用该物理端口访问网络服务。对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制MAC地址数目），但不指定MAC地址，让系统根据先到先得原则进行MAC地址学习，系统将拒绝超过限制数目的请求，若有用户退出，则可以覆盖已退出得MAC地址。对利用不同物理端口的用户进行VLAN认证

20、控制，即只允许访问指定VLAN，限制用户访问非授权VLAN；用户可以利用受控端口，访问指定VLAN，同一用户可以在不同的端口访问相同的VLAN。282024/11/1 周五802.1x802.1x配置配置 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程802.1x协议认证端口EAP协议介绍29 802.1x在交换机上的配置Switch(config)#aaa authentication dot1x default method1m

21、ethod2Creates an 802.1x port-based authentication method listSwitch(config)#dot1x system-auth-controlGlobally enables 802.1x port-based authenticationSwitch(config)#interface type slot/portEnters interface configuration modeSwitch(config-if)#dot1x port-control autoEnables 802.1x port-based authentic

22、ation on the interfaceSwitch(config)#aaa new-modelEnables AAA302024/11/1 周五802.1x在交换机上的配置认证不通过时：Cisco 3550交换机将客户放入guestvlan里面，需要一条命令支持：dot1x guest-vlan supplicantdot1x guest-vlan supplicantCisco 3560交换机将客户模式划到access模式下面。312024/11/1 周五EAPEAP协议介绍协议介绍 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认

23、证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程802.1x协议认证端口802.1x配置32 EAP协议介绍Extensible Authentication Protocol,EAP 802.1x协议使用一个EAP（可扩展身份认证协议）的RFC标准帮助实现通信。三个实体间的认证数据使用EAP分组进行交换，这个EAP分组可以装载在EAPOL帧中。332024/11/1 周五EAP协议介绍下面是一个典型的下面是一个典型的PPP协议的帧格式：协议的帧格式：当PPP帧中的protocol域表明协议类型为C227(PPP EAP)时，在PPP

24、数据链路层帧的Information域中封装且仅封装PPP EAP数据包，此时表明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务，下一步的EAP认证都将通过它来进行。FlagAddressControlProtocolInformation342024/11/1 周五EAP协议介绍EAP报文的格式为：典型的EAP认证的过程分为：requestresponsesuccessfailure每一个阶段的报文传送都由Information域所携带的EAP报文来承担。CodeIdentifierLengthData352024/11

25、/1 周五EAP协议介绍Code域域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下：Code1 Request Code2 Response Code3 Success Code4 FailureIdentifier域域为一个字节，辅助进行request和response的匹配，每一个request都应该有一个response相对应，这样的一个Identifier域就建立了这样的一个对应关系，相同的Identifier相匹配。Length域域为两个字节，表明了EAP数据包的长度，包括Code，Identifier Length，Data域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。Data域域为0个或者多个字节，Data域的格式由Code的值来决定。362024/11/1 周五总 结IEEE 802.1x定义了基于端口的网络接入控制协议，其中端口可以是物理端口，也可以是逻辑端口。802.1X关心的只是一个端口（物理的或者逻辑的）是否打开，而不关心打开之后上来的是什么样的报文。802.1x协议只是提供了一种用户接入认证的手段，它也只是对用户的认证进行控制，而接入网络设备必须具备的其他的一些安全和管理特性，由各厂家设备自行来提供的。372024/11/1 周五Thank You!Thank You!38