Chinaunix首页 | 论坛 | 博客
  • 博客访问: 570448
  • 博文数量: 155
  • 博客积分: 4015
  • 博客等级: 上校
  • 技术积分: 1625
  • 用 户 组: 普通用户
  • 注册时间: 2005-11-18 16:55
文章分类

全部博文(155)

文章存档

2009年(20)

2008年(39)

2007年(66)

2006年(29)

2005年(1)

我的朋友

分类: 系统运维

2005-11-18 16:55:13

介紹802.1X的應用和在cisco2950.3550上配置802.1X協議。

其中關於cisco配置的部分是translation ciso documents

802.1X起源於無線局域網802.11,但後來也被用於有線的LAN。是用來解決用戶接入認證的一個協議。

配置基於端口的802.1X認證:

  接下來將會描述怎麼在Catalyst2950,Catalyst2995上配置基於端口的IEEE802.1X認證協議,以用它來阻止沒有被授權的

客戶端(PC或SWITCH)訪問本地網絡。

這一章有以下幾節組成:

  1,了解什麼是基於端口的802.1X認證。

  2,怎樣在CISCO設備上配置802.1X認證。

  3,在CISCO設備上顯示802.1X協議的狀態。

一,了解什麼是基於端口802.1X認證協議。

  IEEE802.1X標准定義了一個C/S模式的認證和訪問控制協議,以用來阻止未被授權的客戶端通過公用的端口連接到LAN中。

交換機或LAN提供任何可用的服務前,認證服務器將會認證每一個連接到交換機端口的客戶端。在客戶端未被認證前,802.1X訪問

控制只允許在LAN上的擴展認證協議(EAPOL),思科發現協議(CDP)和生成樹協議(STP)在與客戶端相連的端口上通訊。在

客戶端被成功認證後,這個端口將成為一個普通端口。

設備的架構:


● 客戶端──可以請求訪問LAN或交換服務的工作站(PC),這個工作站必須咝?02.1X-compliant客戶端軟件比如

WINDOWS XP操作系統。(在802.1X規范中客戶端扮演一個請求者的角色);

● 認證服務器──執行對客戶端進行實際的驗證。認證服務器使客戶端的身份得到驗證並通知交換機客戶端是否被授

權訪問LAN或提供交換服務。實際上交換機起到了一個代理服務器的作用,認證服務對客戶端和服務器來說是透明的。

RADIUS提供了一個C/S模式的認證方法,在RADIUS服務器和RADIUS客戶端交換安全認證的信息。

● 交換機(邊緣交換機或無線訪問點AP)──根據客戶端認證狀態(是否被授權)來控制客戶端對網絡的訪問。在客

戶端和認證服務器中交換機起到了一個中間媒介的作用,客戶端請求身份驗證信息,認證服務器驗證後的信息,客戶端

回應的信息都通過交換機來傳遞。交換機也是一個RADIUS的客戶端,並負責封裝和解封裝EAP幀。

         當交換機收到EAPOL幀後,以太網報頭將會被剝去,但會保留EAP幀,並將EAP幀重封裝為RADIUS格式的幀,

再將其轉發給認證服務器。在進行重封裝的時候EAP幀不會被檢查或修改。認證服務器並必在本地幀(RADIUS

內支持EAP封裝;當交換機收到來自認證服務器的幀後,移去RADIUS的幀頭,保留EAP幀並封裝在以太網幀中

發送給用戶端。

          這類裝置扮演了一個中間物的角色,這包括catalyst3750,catalyst3550,catalyst2970,catalyst2995,catalyst2950,

catalyst2940系列交換機或是無線訪問點(wireless access point)。他們必須支持RADIUS客戶端和802.1X協議。

初始化認證和相互交換認證信息:

        交換機或客戶端都可以初始化認證。如果你在端口配置模式執行dot1x port-control auto命令來打開端口的認證的話,

當交換機端口從連接的狀態從down轉為up時交換機必須執行初始化認證,向客戶端發送EAP-request/identity幀來

請求其進行身份驗證,在客戶端收到這個幀後會回應一個EAP-response/identity幀。

       不巧的是在客戶端重起的時候,客戶端並收不到來自交換機的EAP-request/response幀,這時客戶端會初始他

認證──發送一個EAPOL-start 幀,要求交換機請求對其身份的驗證。

        當客戶端發送自我身份信息的時候,交換機開始扮演中間媒介的角色,在服務器和客戶端傳遞EAP幀,直到認證

成功或失敗。如果認證成功,交換機端口被授權。

認證方法的應用,具體的EAP幀交換如下圖。在客戶端和認證服務器間使用OTPone-time-password)認證方法

端口的狀態

      交換機端口狀態決於了是否允許客戶端訪問網絡。當端口狀態處於未授權狀態時,這個端口不允許除802.1X

 

協議包以外的通訊。當客戶端被成功授權後,端口會變為授權狀態,允許進行所有常規的通訊。

       如果連接到一相未被授權端口的客戶端不支持802.1X協議,當交換機發出請求,要求客戶端身份驗證時,

客戶端不能回應這種請求,這時端口還是處於未授權狀態,客戶端不能獲得訪問網絡的權限。

 但是當一個支持802.1X協議的客戶端連接到一個沒有咝?/span>802.1X協議的交換機上時,客戶端初始化認證過程,

 

發送一個EAPOL-start幀。客戶端請求超過一定次數,但是收不到來自交換機的回應。但這時端口若被強制在授

權狀態客戶端仍就可以發送正常的通訊幀了。

 你可以用以下這些關鍵字配上接口命令行dot1x  port-control來控制端口的授權狀態:

    force-authorized──關閉802.1X並將端口設為授權狀態,沒有必要進行任何身份驗證。端口可以進行

正常的通訊而不關心802.1X協議。這是端口轉默認的狀態。

    force-unauthorized──使端口保持為未授權狀態(不允許正常的通訊),忽略所有客戶端發來的認證要求。

在這個端口交換機不提供認證服務器到客戶端的通訊。

    auto──打開802.1X認證使端口為未授權狀態,只允許EAPOL幀信息的交換。  當交換機連接狀態從DWON

轉換到UP,或是收到EAPOL-start幀,認證過程就開始了。交換機請求客戶端進行身份驗證後便

在認證服務器和客戶端轉發交換信息。

        如果客戶端被成功授權(收到認證服務器的認可幀),這個端口狀態變為授權,來自客戶端所

有幀都可以通過這個端口。如果認證失敗,端口保持在未授權狀態,但可以再次發送認證信息。

        如果認證服務器沒有連接上,交換機會不斷重發認證的請求直到達到預設的次數,如果還不能

成功認證的話,這時認證失敗,客戶端不允許訪問網絡。

當客戶端登出時會發送一個EAPOL-logoff消息,使交換機端口的狀態變為未授權狀態。

當交換機端口從UP狀態變為DOWN狀態,或是收到了一個EAPOL-logoff消息,端口的狀態都會由授

權狀態轉變為未授權狀態。

支持拓撲類型

基於端口的802.1X協議支持兩種類型的拓撲(topology)。

    點對點網絡

    無線局域網

先來看看點對點時的情況,只允許客戶端連接到打開802.1X協議的交換機端口上,這樣才能進行802.1X

認證。當端口從DWON轉變為UP時狀態交換機便能偵測到客戶端。如果客戶端離開(發送一個

EAPOL-logoff)或是更換為另外一個客戶端(端口從UP to DWON),都可以使端口返回到未授權的狀態。

下圖表示了基於端口的802.1X協議在無線局域網中的拓撲。

交換機上的802.1X端品被配置為多主機端口(在接口模式下:dot1x host-mode multi-host),這樣只要

有一個客戶端被授權時,端口就會由unanthorized狀態變為authorized狀態,那麼連接在這個端口上的

所有主機都可以通這個端口來訪問網絡。如果端口為unauthorized狀態(重認證失敗或收到一個

EAPOL-logoff消息),那麼交換機會阻止所有通過該端口訪問網絡的主機。無線訪問點(AP)充當

了交換機的一個客戶端。

 


 

 

阅读(2429) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:對抗寂寞,走過無聊

给主人留下些什么吧!~~