以前搞無線時候,會涉及到無線client接入方式的認證協議. 認證方式+加密方式+有線的dot1x.
注:以前都是doc粘貼到博客的,加上沒寫博客的習慣,因此會比較亂.
EAP(擴展認證協議)是什么?
0,擴展認證協議
1,一個靈活的傳輸協議,用來承載任意的認證信息(不包括認證方式)
2,直接運行在數據鏈路層,如ppp或以太網
3,支持多種類型認證
注:EAP 客戶端---服務器之間一個協議
802.1x協議:客戶端---NAD,承載電腦到交換機之間一段的一個二層的封裝協議.
radius:NAD—服務器,承載交換機到radius服務器之間的一個三層的radius的封裝協議.如下圖.(交換機的作用:轉來轉去做封裝;交換機收到電腦的包,把外層的802.1x的包去掉,封裝成3層的radius報文.發給服務器.)
前兩者都把EAP封裝.
請求者:路由器 交換機 pc
認證者:AP Sw Router
什么是802.1x協議?
pc和交換機之間的傳輸認證信息的二層封裝協議.跑在以太網上就叫EAPoL
基於mac地址認證的.端口狀態監控.
802.1x的特點?
802.1x 和AAA管理設備不一樣. AAA管理設備是由NAS來認證,去radius服務器讀取數據,而802.1x認證是由radius認證.
原因:ap和sw一般不適合做認證,ios小.
802.1x怎么工作?
嚴重聲明:EAP的認證是客戶一直到服務器之間的.
EAP的種類?
1,EAP-MD5
2,EAP-TLS
3,EAP-FAST
4,PEAP
EAP-MD5
場景:大量的有線交換機環境中使用.--pc接上來,sw就會給pc打招呼"你是否支持802.1x呀,你要提供xxx"
原理:通過MD5來保證密碼安全性
特點:不是一個安全的協議
EAP-TLS
特點:
1,提供per packet私密性和完整性的保護.
2,提供了密鑰交換機制
3,提供基於802.1x基於端口訪問的證書認證.
4,每個客戶端和服務器都要有證書,部署麻煩.
EAP-FAST(靈活的認證通過隧道)
特點:
1,使用TLS隧道保障用戶私密性和完整性
2,不需要PKI為用戶提供證書.(通過共享密鑰實現安全.)
3,S針對每個C的密鑰都是唯一的.這個密鑰叫做PAC.
PEAP(保護的PEAP)
1,radius需要安裝個人證書(服務器端證書)和證書服務器根證書,客戶也建議安裝
2,客戶端也建議安裝證書
3,能夠實現域的一次性登陸.
類似於HTTPS加密
過程大致如下:
1) SSL客戶端通過TCP和服務器建立連接之后(443端口),並且在一般的tcp連接協商(握手)過程中請求證書。
即客戶端發出一個消息給服務器,這個消息里面包含了自己可實現的算法列表和其它一些需要的消息,SSL的服務器端會回應一個數據包,這里面確定了這次通信所需要的算法,然后服務器向客戶端返回證書。(證書里面包含了服務器信息:域名。申請證書的公司,公共秘鑰)。
2)Client在收到服務器返回的證書后,判斷簽發這個證書的公共簽發機構,並使用這個機構的公共秘鑰確認簽名是否有效,客戶端還會確保證書中列出的域名就是它正在連接的域名。
3) 如果確認證書有效,那么生成對稱秘鑰並使用服務器的公共秘鑰進行加密。然后發送給服務器,服務器使用它的私鑰對它進行解密,這樣兩台計算機可以開始進行對稱加密進行通信。
https通信的優點:
1)客戶端產生的密鑰只有客戶端和服務器端能得到;
2)加密的數據只有客戶端和服務器端才能得到明文;
3)客戶端到服務端的通信是安全的。
Dot1x實驗:
802.1x EAP-MD5認證配置步驟: 1,網絡基本配置 2,AAA基本配置 3,3560 802.1x認證基本配置 4,xp測試 5,查看dot1x狀態
AAA基本配置
R1(config)#aaa new-model R1(config)#aaa authentication login noacs line none R1(config)#line console 0 R1(config-line)#login authentication noacs radius-server host 10.1.1.2 key cisco test aaa group radius aaa aaa new-code
802.1x配置步驟:
1,創建dot1x認證策略(sw和server間用radius封裝,不支持tacase)
aaa authentication dot1x default group radius
2,全局激活802.1x
dot1x system-auth-control
3,接口啟用dot1x
interface FastEthernet0/1 sw mo access switchport access vlan 2 dot1x port-control auto
軟件說明:
radius:winradius
xp802.1x客戶端:神州數碼的dot1.x客戶端
實驗拓撲:
某廠商802.1x認證協議使用小結
兩種都是二層認證:
證書認證(EAP-TLS)
用戶名、密碼認證(PEAP-MSCHAPv2)
EAP-TLS 認證要求服務器提供(CA 證書和服務器證書) 證書認證
EAP-PEAP 要求提供服務器證書 用戶名密碼認證
無線新產品證書類型(我們無線設備里面的證書主要有三個用途)
1.CA 證書 用於驗證由該 CA 簽發的用戶證書;
2.服務器證書 提供給客戶端驗證的, 告訴客戶端你連接的這台就是你想要連接的而不是一台釣魚機器(客戶端驗證服務器證書是可選的)
3.設備證書 主要用於做 https 處理
某廠商-wac 設備登陸使用。
配置選項說明
在部署基於證書認證,且使用內置 CA 頒發用戶證書的無線網絡時,需要啟用 "證書注冊服務",使得 "自動配置工具" 能為用戶自動申請並安裝個人證書,才能完成無線網絡的自動配置。 勾選了記住用戶所使用憑據時,當用戶第一次認證后,下次認證就不需要再次輸入用戶名和密碼,無線網絡會自動使用認證成功的用戶名和密碼登錄。 驗證服務器證書,當勾選時,需要配置下發內置 CA 中心到 PC 的受信任的根證書管理機構中, 服務器名稱"xxx"也是可選的。 若服務器驗證不通過,根據安全需要來選擇,為了防止釣魚 AP,該選項需要勾選為"拒絕接入無線網絡"
