全部博文(155)
分类: 系统运维
2005-11-18 16:55:13
介紹802.1X的應用和在cisco2950.3550上配置802.1X協議。
其中關於cisco配置的部分是translation ciso documents
802.1X起源於無線局域網802.11,但後來也被用於有線的LAN。是用來解決用戶接入認證的一個協議。
配置基於端口的802.1X認證:
接下來將會描述怎麼在Catalyst2950,Catalyst2995上配置基於端口的IEEE802.1X認證協議,以用它來阻止沒有被授權的
客戶端(PC或SWITCH)訪問本地網絡。
這一章有以下幾節組成:
1,了解什麼是基於端口的802.1X認證。
2,怎樣在CISCO設備上配置802.1X認證。
3,在CISCO設備上顯示802.1X協議的狀態。
一,了解什麼是基於端口802.1X認證協議。
IEEE802.1X標准定義了一個C/S模式的認證和訪問控制協議,以用來阻止未被授權的客戶端通過公用的端口連接到LAN中。
交換機或LAN提供任何可用的服務前,認證服務器將會認證每一個連接到交換機端口的客戶端。在客戶端未被認證前,802.1X訪問
控制只允許在LAN上的擴展認證協議(EAPOL),思科發現協議(CDP)和生成樹協議(STP)在與客戶端相連的端口上通訊。在
客戶端被成功認證後,這個端口將成為一個普通端口。
設備的架構:
● 客戶端──可以請求訪問LAN或交換服務的工作站(PC),這個工作站必須咝?02.1X-compliant客戶端軟件比如
WINDOWS XP操作系統。(在802.1X規范中客戶端扮演一個請求者的角色);
● 認證服務器──執行對客戶端進行實際的驗證。認證服務器使客戶端的身份得到驗證並通知交換機客戶端是否被授
權訪問LAN或提供交換服務。實際上交換機起到了一個代理服務器的作用,認證服務對客戶端和服務器來說是透明的。
RADIUS提供了一個C/S模式的認證方法,在RADIUS服務器和RADIUS客戶端交換安全認證的信息。
● 交換機(邊緣交換機或無線訪問點AP)──根據客戶端認證狀態(是否被授權)來控制客戶端對網絡的訪問。在客
戶端和認證服務器中交換機起到了一個中間媒介的作用,客戶端請求身份驗證信息,認證服務器驗證後的信息,客戶端
回應的信息都通過交換機來傳遞。交換機也是一個RADIUS的客戶端,並負責封裝和解封裝EAP幀。
當交換機收到EAPOL幀後,以太網報頭將會被剝去,但會保留EAP幀,並將EAP幀重封裝為RADIUS格式的幀,
再將其轉發給認證服務器。在進行重封裝的時候EAP幀不會被檢查或修改。認證服務器並必在本地幀(RADIUS)
內支持EAP封裝;當交換機收到來自認證服務器的幀後,移去RADIUS的幀頭,保留EAP幀並封裝在以太網幀中
發送給用戶端。
這類裝置扮演了一個中間物的角色,這包括catalyst3750,catalyst3550,catalyst2970,catalyst2995,catalyst2950,
catalyst2940系列交換機或是無線訪問點(wireless access point)。他們必須支持RADIUS客戶端和802.1X協議。
初始化認證和相互交換認證信息:
交換機或客戶端都可以初始化認證。如果你在端口配置模式執行dot1x port-control auto命令來打開端口的認證的話,
當交換機端口從連接的狀態從down轉為up時交換機必須執行初始化認證,向客戶端發送EAP-request/identity幀來
請求其進行身份驗證,在客戶端收到這個幀後會回應一個EAP-response/identity幀。
不巧的是在客戶端重起的時候,客戶端並收不到來自交換機的EAP-request/response幀,這時客戶端會初始他
認證──發送一個EAPOL-start 幀,要求交換機請求對其身份的驗證。
當客戶端發送自我身份信息的時候,交換機開始扮演中間媒介的角色,在服務器和客戶端傳遞EAP幀,直到認證
成功或失敗。如果認證成功,交換機端口被授權。
認證方法的應用,具體的EAP幀交換如下圖。在客戶端和認證服務器間使用OTP(one-time-password)認證方法
端口的狀態
交換機端口狀態決於了是否允許客戶端訪問網絡。當端口狀態處於未授權狀態時,這個端口不允許除802.1X
協議包以外的通訊。當客戶端被成功授權後,端口會變為授權狀態,允許進行所有常規的通訊。
如果連接到一相未被授權端口的客戶端不支持802.1X協議,當交換機發出請求,要求客戶端身份驗證時,
客戶端不能回應這種請求,這時端口還是處於未授權狀態,客戶端不能獲得訪問網絡的權限。
但是當一個支持802.1X協議的客戶端連接到一個沒有咝?/span>802.1X協議的交換機上時,客戶端初始化認證過程,
發送一個EAPOL-start幀。客戶端請求超過一定次數,但是收不到來自交換機的回應。但這時端口若被強制在授
權狀態客戶端仍就可以發送正常的通訊幀了。
你可以用以下這些關鍵字配上接口命令行dot1x port-control來控制端口的授權狀態:
● force-authorized──關閉802.1X並將端口設為授權狀態,沒有必要進行任何身份驗證。端口可以進行
正常的通訊而不關心802.1X協議。這是端口轉默認的狀態。
● force-unauthorized──使端口保持為未授權狀態(不允許正常的通訊),忽略所有客戶端發來的認證要求。
在這個端口交換機不提供認證服務器到客戶端的通訊。
● auto──打開802.1X認證使端口為未授權狀態,只允許EAPOL幀信息的交換。 當交換機連接狀態從DWON
轉換到UP,或是收到EAPOL-start幀,認證過程就開始了。交換機請求客戶端進行身份驗證後便
在認證服務器和客戶端轉發交換信息。
如果客戶端被成功授權(收到認證服務器的認可幀),這個端口狀態變為授權,來自客戶端所
有幀都可以通過這個端口。如果認證失敗,端口保持在未授權狀態,但可以再次發送認證信息。
如果認證服務器沒有連接上,交換機會不斷重發認證的請求直到達到預設的次數,如果還不能
成功認證的話,這時認證失敗,客戶端不允許訪問網絡。
當客戶端登出時會發送一個EAPOL-logoff消息,使交換機端口的狀態變為未授權狀態。
當交換機端口從UP狀態變為DOWN狀態,或是收到了一個EAPOL-logoff消息,端口的狀態都會由授
權狀態轉變為未授權狀態。
支持拓撲類型
基於端口的802.1X協議支持兩種類型的拓撲(topology)。
● 點對點網絡
● 無線局域網
先來看看點對點時的情況,只允許客戶端連接到打開802.1X協議的交換機端口上,這樣才能進行802.1X
認證。當端口從DWON轉變為UP時狀態交換機便能偵測到客戶端。如果客戶端離開(發送一個
EAPOL-logoff)或是更換為另外一個客戶端(端口從UP to DWON),都可以使端口返回到未授權的狀態。
下圖表示了基於端口的802.1X協議在無線局域網中的拓撲。
交換機上的802.1X端品被配置為多主機端口(在接口模式下:dot1x host-mode multi-host),這樣只要
有一個客戶端被授權時,端口就會由unanthorized狀態變為authorized狀態,那麼連接在這個端口上的
所有主機都可以通這個端口來訪問網絡。如果端口為unauthorized狀態(重認證失敗或收到一個
EAPOL-logoff消息),那麼交換機會阻止所有通過該端口訪問網絡的主機。無線訪問點(AP)充當
了交換機的一個客戶端。