2024年6月2日发(作者:)

第十五章:802.1X认证实战

802.1X

简介

IEEE802 LAN/WAN

委员会为解决无线局域网网络安全问题,提出了

802.1X

协议。后

来,

802.1X

协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主

要解决以太网内认证和安全方面的问题。

802.1X

协议是一种基于端口的网络接入控制协议(

port based network access control

protocol

)。“基于端口的网络接入控制”是指,在局域网接入设备的端口这一级,对

所接入的用户设备通过认证来控制对网络资源的访问。

1.1.1 802.1X的体系结构

802.1X

系统为典型的

Client/Server

结构,如图

1-1

所示,包括三个实体:客户端

Client

)、设备端(

Device

)和认证服务器(

Server

)。

1-1802.1X

认证系统的体系结构

客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认

证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起

802.1X

证。客户端必须支持

EAPOL

Extensible Authentication Protocol over LAN

,局域网

上的可扩展认证协议)。

设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端

通常为支持

802.1X

协议的网络设备,它为客户端提供接入局域网的端口,该端口可以

是物理端口,也可以是逻辑端口。

认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认

证、授权和计费,通常为

RADIUS

Remote Authentication Dial-In User Service

,远

程认证拨号用户服务)服务器。

1.1.2 802.1X的认证方式

802.1X

认证系统使用

EAP

Extensible Authentication Protocol

,可扩展认证协议),

来实现客户端、设备端和认证服务器之间认证信息的交换。

在客户端与设备端之间,

EAP

协议报文使用

EAPOL

封装格式,直接承载于

LAN

环境中。

在设备端与

RADIUS

服务器之间,可以使用两种方式来交换信息。一种是

EAP

议报文由设备端进行中继,使用

EAPOR

EAP over RADIUS

)封装格式承载于

RADIUS

协议中;另一种是

EAP

协议报文由设备端进行终结,采用包含

PAP

Password Authentication Protocol

,密码验证协议)或

CHAP

Challenge

Handshake Authentication Protocal

,质询握手验证协议)属性的报文与

RADIUS

服务

器进行认证交互。

1.1.3 802.1X的基本概念

1.

受控

/

非受控端口

设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口

和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。

非受控端口始终处于双向连通状态,主要用来传递

EAPOL

协议帧,保证客户端

始终能够发出或接收认证报文。

受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下

禁止从客户端接收任何报文。

2.

授权

/

非授权状态

802.1x Page 1

设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果

Accept

Reject

)对受控端口的授权

/

非授权状态进行相应地控制。

1-2

显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个

802.1X

认证系统的端口状态。系统

1

的受控端口处于非授权状态(相当于端口开关打

开),系统

2

的受控端口处于授权状态(相当于端口开关关闭)。

1-2

受控端口上授权状态的影响

用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下

三种接入控制模式:

强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不

经认证授权即可访问网络资源。

强制非授权模式(unauthorized-force):表示端口始终处于非授权状态,不

允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。

自动识别模式(auto):表示端口初始状态为非授权状态,仅允许

EAPOL

报文

收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户

访问网络资源。这也是最常见的情况。

3.

受控方向

在非授权状态下,受控端口可以被设置成单向受控和双向受控。

实行双向受控时,禁止帧的发送和接收;

实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。

Windows域与802.1X协议统一认证解决方案

【实验名称】Windows域与802.1X协议统一认证解决方案

【实验目的】使管理人员了解Windows域与802.1X协议结合进行统一认证的配置方法。

【背景描述】

随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全

威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT 管

理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。

这种威胁在大中型企业的IT 环境中影响尤其明显。因此,建立内部网络接入防御体系

势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统,通过Windows

域管理用户访问权限和应用执行权限。然而,基于Windows的权限控制只能作用到应用

层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用

户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。为了更加有

效地控制和管理网络资源,提高网络接入的安全性,很多政府和企业网络的管理者希

望通过802.1x认证实现对接入用户的身份识别和权限控制。

通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。

802.1x Page 2