交换网络安全防范系列五之802.1x-基于端口的网络访问控制技术

本文涉及的产品
访问控制,不限时长
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:


IEEE802.1xIEEE20016月通过的基于端口访问控制的接入管理协议标准。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
IEEE802.1x是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
5.1 IEEE802.1x体系介绍
虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。
IEEE802.1x的体系结构中包括三个部分:
Supplicant System,用户接入设备;
Authenticator System,接入控制单元;
Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即AuthenticatorIEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
SupplicantAuthenticator间运行IEEE802.1x定义的EAPOL协议;Authenticator  Authentication Sever 间同样运行 EAP协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
5.2 IEEE802.1x认证过程简介
IEEE802.1x的认证过程
1. 当用户有上网需求时打开 802.1X 客户端程序,输入用户名和口令,发起连接请求。此时客户端程序将发出请求认证的报文给交换机,启动一次认证过程。
2. 交换机在收到请求认证的数据帧后,将发出一个 EAP-Request/Identitybaowe 请求帧要求客户端程序发送用户输入的用户名
3. 客户端程序响应交换机的请求,将包含用户名信息的一个 EAP-Response/Identity 送给交换机,交换机将客户端送来的数据帧经过封包处理后生成 RADIUS Access-Request 报文送给认证服务器进行处理。
4. 认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字 Challenge 对它进行加密处理( MD5 ),通过接入设备将 RADIUS Access-Challenge 报文发送给客户端,其中包含有 EAP-Request/MD5-Challenge
5. 客户端收到 EAP-Request/MD5-Challenge 报文后,用该加密字对口令部分进行加密处理( MD5 )给交换机发送在 EAP-Response/MD5-Challenge 回应,交换机将 Challenge Challenged Password 和用户名一起送到 RADIUS  服务器进行认证。
6. 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功 / 失败报文到接入设备。如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,保持交换机端口的关闭状态,只允许认证信息数据通过。
 
5.3IEEE802.1x配置
IOS 全局配置命令:
aaa new-model   /*启用aaa
aaa authentication dot1x default group radius  /*配置dot1x认证列表
dot1x system-auth-control    /全局启用802.1x
radius-server host 192.168.0.167 auth-port 1812 key q1w2e3r4 /*认证服务器信息
接口配置命令:
dot1x port-control auto  /*接口启用802.1x



    本文转自hexianguo 51CTO博客,原文链接: http://blog.51cto.com/xghe110/90879 ,如需转载请自行联系原作者


相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
2月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
345 7
|
3月前
|
运维 资源调度 监控
|
18天前
|
监控 安全 网络协议
计算机端口:网络通信的桥梁
计算机端口是网络通信的逻辑通道,支持数据传输和服务识别。本文介绍端口定义、分类(知名、注册、动态端口)、作用及管理方法,涵盖常用知名端口如HTTP(80)、HTTPS(443)等,并强调端口安全配置的重要性,帮助读者全面理解这一关键组件。
40 6
|
2月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。ACL 可应用于路由器、防火墙等设备,通过设定规则控制访问。其类型包括标准、扩展、基于时间和基于用户的ACL,广泛用于企业网络和互联网安全中,以增强安全性、实现精细管理和灵活调整。然而,ACL 也存在管理复杂和可能影响性能的局限性。未来,ACL 将趋向智能化和自动化,与其他安全技术结合,提供更全面的安全保障。
156 4
|
2月前
|
安全 Linux 网络安全
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息。本文分三部分介绍 nmap:基本原理、使用方法及技巧、实际应用及案例分析。通过学习 nmap,您可以更好地了解网络拓扑和安全状况,提升网络安全管理和渗透测试能力。
224 5
|
2月前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
75 2
|
3月前
|
运维 监控 安全
|
3月前
|
网络协议 安全 网络安全
Cisco-网络端口地址转换NAPT配置
Cisco-网络端口地址转换NAPT配置
|
3月前
|
运维 安全 网络协议
Python 网络编程:端口检测与IP解析
本文介绍了使用Python进行网络编程的两个重要技能:检查端口状态和根据IP地址解析主机名。通过`socket`库实现端口扫描和主机名解析的功能,并提供了详细的示例代码。文章最后还展示了如何整合这两部分代码,实现一个简单的命令行端口扫描器,适用于网络故障排查和安全审计。
65 0
|
3月前
|
网络架构
【第二期】计算机网络常识(端口/网段/路由)
【第二期】计算机网络常识(端口/网段/路由)
69 0

热门文章

最新文章