802.1x技術
1、准入控制概述
2、802.1x認證與MAC認證原理
- 802.1x協議起源於 WLAN的802.11協議,用於無線用戶的鏈路層接入和身份認證。經過擴展后,802.1x也可以使用以太網幀作為承載報文,從而可適用於以太網以及其他的有線接入方式。
802.1x認證,又稱EAPOE認證(可擴展認證協議),可以用於有線環境解決局域網用戶的接入認證問題。
- 如圖所示,802.1x系統為典型的Client/Server結構,包括三個實體:終端、接入控制設備和RADIUS服務器。
802.1x基本概念
- 基於MAC地址的認證要比基於接口更安全。基於MAC地址認證,每個PC都要認證。
- 自動識別就是正常的情況,認證就可以上網;強制授權,端口始終處於授權狀態,允許用戶不經認證即可訪問網絡資源,綁定MAC地址;強制非授權,端口始終處於非授權狀態,不允許用戶訪問網絡資源。
- EAP終結認證:由網絡接入設備終結用戶的EAP報文,解析出用戶名和密碼,並對密碼進行加密,再發送到AAA服務器進行認證。
- EAP透傳認證:也叫EAP中繼認證,由網絡接入設備直接把802.1x用戶的認證信息以及EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器,而無需將EAP報文轉換成標准的RADIUS報文后再發送給RADIUS服務來完成認證。()
802.1x認證流程
MAC認證簡介
MAC認證就是以終端的MAC地址作為身份憑據到系統進行認證。啟用MAC認證后,當終端接入網絡時,網絡准入設備提取終端MAC地址,並將該MAC地址作為用戶和密碼進行認證。
MAC認證是一種基於接口和MAC地址對用戶的網絡訪問權限進行控制的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC認證的接口上首次檢測到用戶名的MAC地址以后,即啟動對該用戶的認證操作,認證過程中,不需要用戶手動輸入用戶名和密碼。
Protal認證簡介
- Protal認證通常也叫Web認證,一般將Protal認證網站稱為門戶網站。用戶上網時,必須在門戶網站進行認證,只有認證通過后,才可以使用網絡資源。
用戶可以主動訪問已知的Protal認證網站,輸入用戶名和密碼進行認證,這種開始Protal認證的方式成為主動認證方式。反之,如果用戶試圖通過HTTP訪問其他外網,將被強制訪問Protal認證網站,從而開始認證過程,這種方式稱為強制認證。
- Protal認證系統的組成部分:
- 客戶端:安裝有運行HTTP協議的瀏覽器主機。
- 接入設備:交換機、路由器等,主要有三方面的作用:
- 在認證之前,將認證網段內用戶所有的HTTP請求重定向到Protal服務器。
- 在認證過程中,與Protal服務器、RADIUS服務器交互,完成對用戶身份認證,授權等
- 在認證通過后,允許用戶訪問被管理員授權的互聯網資源。
3.Protal服務器:接受客戶端認證請求的服務器系統,提供免費門戶服務和認證界面,與接入設備交互客戶端的認證信息。
4.RADIUS服務器:與接入設備進行交互,完成對用戶的認證、授權與計費。
RADIUS服務簡介
- RADIUS是一種分布式的、客戶端/服務器結構的服務凡是,能保護網絡不受未授權訪問的干擾,常被應用在既要求較高安全性、又要控制遠程用戶訪問權限的各種網絡環境中。