- 論壇徽章:
- 0
|
轉(zhuǎn)載請保留作者信息:
作者:紅頭發(fā)(aka CCIE#15101/JNCIP Candidate)
出處:http://www.91lab.com
一.802.1x端口認(rèn)證的原理:
IEEE 802.1x標(biāo)準(zhǔn)定義了WLAN用戶接入的認(rèn)證過程;現(xiàn)在802.1x標(biāo)準(zhǔn)已經(jīng)用于LAN,來實現(xiàn)基于交換機端口的認(rèn)證過程.802.1x標(biāo)準(zhǔn)是一種基于基于客戶到服務(wù)器的訪問控制和認(rèn)證協(xié)議,防止用戶在未經(jīng)認(rèn)證的情況下接入到LAN.認(rèn)證服務(wù)器對交換機每個端口所連的客戶機進(jìn)行認(rèn)證.當(dāng)客戶機被認(rèn)證時,IEEE 801.1x標(biāo)準(zhǔn)只允許EAPOL,CDP和STP流量穿越該端口到達(dá)客戶機;認(rèn)證通過后才允許常規(guī)流量穿越該端口.
IEEE 802.1x標(biāo)準(zhǔn)里的設(shè)備角色如下圖:
![]()
1.客戶機:向LAN發(fā)起訪問請求的普通工作站,必須裝有和802.1x兼容的軟件(比如Windows XP).
2.認(rèn)證服務(wù)器:實行認(rèn)證功能,并響應(yīng)給交換機.交換機充當(dāng)認(rèn)證代理,因此認(rèn)證服務(wù)器對客戶機來說是透明的.認(rèn)證服務(wù)器目前只支持RADIUS和EAP擴展.
3.交換機:可以是普通的接入層交換機或無線AP.根據(jù)對用戶的認(rèn)證狀態(tài)來決定用戶的物理訪問.交換機充當(dāng)客戶機與認(rèn)證服務(wù)器的認(rèn)證代理.客戶機和交換機負(fù)責(zé)對EAP幀進(jìn)行封裝和解封裝.
當(dāng)交換機收到EAPOL幀后,把它中繼給認(rèn)證服務(wù)器,將原先的以太網(wǎng)幀頭部信息給去掉,將EAP幀重新封裝成RADIUS支持的格式,在封裝過程中,EAP幀不會被修改;當(dāng)認(rèn)證服務(wù)器返回EAP幀給交換機時,交換機去掉頭部信息,將EAP幀重新封裝以太網(wǎng)頭部信息并轉(zhuǎn)發(fā)給客戶機.
802.1x認(rèn)證流程圖:
![]()
交換機啟用802.1x端口認(rèn)證后,端口狀態(tài)首先處于未授權(quán)(unauthorized)狀態(tài).在這種狀態(tài)下,只要該端口未配置成語音VLAN端口,那么只允許EAPOL,CDP和STP流量;當(dāng)客戶機認(rèn)證成功后,端口將轉(zhuǎn)變成授權(quán)(authorized)狀態(tài),允許所有的常規(guī)流量.如果端口被配置成了語音VLAN端口,在認(rèn)證成功前還允許VoIP流量.交換機下可以手動定義的3種端口狀態(tài):
1.強制授權(quán)(force-authorized):禁用802.1x認(rèn)證,在未經(jīng)認(rèn)證強制將端口轉(zhuǎn)換成授權(quán)狀態(tài).這也是交換機的默認(rèn)配置.
2.強制未授權(quán)(force-unauthorized):將端口處于未授權(quán)狀態(tài),忽略客戶機發(fā)起的一切認(rèn)證嘗試請求,并且交換機的該端口將不能向客戶機提供認(rèn)證服務(wù).
3.自動(auto):啟用802.1x認(rèn)證,初始化端口處于未授權(quán)狀態(tài),按照之前提到的認(rèn)證流程進(jìn)行認(rèn)證;認(rèn)證成功后,端口狀態(tài)轉(zhuǎn)換為授權(quán)狀態(tài).
還可以將啟用了802.1x的端口指定為單一主機(single-host)模式和多主機(multiple-hosts)模式.區(qū)別在于前者只能對其中一個客戶機進(jìn)行認(rèn)證;而后者只需要認(rèn)證其中一臺客戶機,允許其他客戶機在認(rèn)證成功后訪問網(wǎng)絡(luò)資源.下圖的AP仍然是做為客戶機:
![]()
RADIUS服務(wù)器維系著一個用戶名到VLAN映射信息的數(shù)據(jù)庫,基于客戶機用戶名的分配VLAN:
1.如果RADIUS服務(wù)器上沒有提供VLAN信息,或者802.1x認(rèn)證并未啟用,那么端口所屬的VLAN是由你在劃分VLAN時手動指定的.
2.如果啟用了802.1x認(rèn)證,但是RADIUS服務(wù)器上的VLAN信息無效(VLAN信息制定錯誤),端口將返回到未授權(quán)狀態(tài),并且仍將處于你在劃分VLAN時手動指定的那個VLAN.
3.如果啟用了802.1x認(rèn)證,RADIUS服務(wù)器上的VLAN信息也有效,認(rèn)證成功后,端口將處于特定VLAN(根據(jù)用戶名到VLAN的映射信息決定).
4.如果端口啟用了多主機模式,當(dāng)?shù)谝粋主機認(rèn)證成功后,所有主機將處于相同VLAN(根據(jù)用戶名到VLAN的映射信息決定).
5.如果端口同時啟用了802.1x認(rèn)證和端口安全(port security)特性,端口將處于特定VLAN(根據(jù)用戶名到VLAN的映射信息決定).
用戶名到VLAN映射這一特性不支持trunk端口和動態(tài)VLAN端口.
可以為啟用了802.1x認(rèn)證的端口定義客戶(guest)VLAN,在客戶VLAN里只能做些有限的事情,比如這些客戶機通常是些不支持802.1x(如Windows 9 的客戶機.客戶VLAN支持單一主機和多主機模式.可以把除了語音VLAN,RSPAN VLAN以及私有VLAN以外的任意VLAN指定為客戶VLAN.客戶VLAN只支持接入端口,不支持trunk端口和可路由端口.
除了客戶VLAN,還可以定義受限(restricted)VLAN,該VLAN是分配給無法訪問客戶VLAN的服務(wù)受限的客戶機,通常是些支持802.1x,但是認(rèn)證失敗的客戶機.如果沒有這一特性,當(dāng)客戶機在多次認(rèn)證失敗后,STP將把該端口堵塞;而啟用這一特性后,交換機在3次認(rèn)證失敗(默認(rèn)情況)之后,將端口定義到受限VLAN里.可以把除了語音VLAN,RSPAN VLAN以及私有VLAN以外的任意VLAN指定為客戶VLAN.受限VLAN只支持單一主機模式和層2端口.
在某些CISCO IOS版本,比如CATALYST 3560系列CISCO IOS Release 12.2(25)SED及其后續(xù)版本,如果交換機無法到達(dá)RADIUS服務(wù)器,那么客戶機也將無法被認(rèn)證.這種情況下可以采用一種叫做臨界認(rèn)證(critical authentication)的方法(即inaccessible authentication bypass),將客戶機連接到臨界(critical)端口來訪問網(wǎng)絡(luò)資源.當(dāng)啟用該特性后,交換機將檢查認(rèn)證服務(wù)器的狀態(tài),如果服務(wù)器可用,那么交換機將能夠?qū)蛻魴C認(rèn)證;如果服務(wù)器不可用,交換機將授權(quán)客戶機訪問網(wǎng)絡(luò)的權(quán)限,并將端口設(shè)置為臨界認(rèn)證(critical-authentication)狀態(tài).該特性依賴于:
1.如果在認(rèn)證過程中,RADIUS服務(wù)器突然不可用,那么交換機把端口設(shè)置為臨界認(rèn)證狀態(tài)直到下一次的認(rèn)證嘗試的開始.
2.如果端口處于未授權(quán)狀態(tài),當(dāng)客戶機連接到臨界端口時RADIUS服務(wù)器不可用,那么端口將進(jìn)入臨界認(rèn)證狀態(tài),并處于用戶手動劃分VLAN時所指定的那個VLAN.
3.如果端口處于授權(quán)狀態(tài),當(dāng)客戶機連接到臨界端口,進(jìn)行重認(rèn)證的時候RADIUS服務(wù)器不可用,端口將進(jìn)入臨界認(rèn)證狀態(tài),端口被定義到之前RADIUS服務(wù)器所指定的那個VLAN里.
可以基于MAC地址對客戶機進(jìn)行認(rèn)證(MAC authentication bypass特性),比如在連接到打印機的端口上啟用802.1x認(rèn)證.甚至還可以將端口安全特性和802.1x認(rèn)證結(jié)合使用. |
|
免費注冊
發(fā)表于 2007-05-14 15:24
發(fā)表于 2008-06-18 20:13