介绍802.1X的应用和在cisco2950.3550上配置802.1X协议。其中关于cisco配置的部分是translation ciso documents
802.1X起源于无线局域网802.11,但后来也被用于有线的LAN。是用来解决用户接入认证的一个协议。
配置基于端口的802.1X认证:
接下来将会描述怎麽在Catalyst2950,Catalyst2995上配置基于端口的IEEE802.1X认证协议,以用它来阻止没有被授权的客户端(PC或SWITCH)访问本地网络。
这一章有以下几节组成:
- 了解什麽是基于端口的802.1X认证。
- 怎样在CISCO设备上配置802.1X认证。
- 在CISCO设备上显示802.1X协议的状态。
一,了解什麽是基于端口802.1X认证协议。
IEEE802.1X标淮定义了一个C/S模式的认证和访问控制协议,以用来阻止未被授权的客户端通过公用的端口连接到LAN中。交换机或LAN提供任何可用的服务前,认证服务器将会认证每一个连接到交换机端口的客户端。在客户端未被认证前,802.1X访问控制只允许在LAN上的扩展认证协议(EAPOL),思科发现协议(CDP)和生成树协议(STP)在与客户端相连的端口上通讯。在客户端被成功认证后,这个端口将成为一个普通端口。
设备的架构:
- 客户端──可以请求访问LAN或交换服务的工作站(PC),这个工作站必须咝?02.1X-compliant客户端软件比如WINDOWS XP操作系统。(在802.1X规范中客户端扮演一个请求者的角色);
- 认证服务器──执行对客户端进行实际的验证。认证服务器使客户端的身份得到验证并通知交换机客户端是否被授权访问LAN或提供交换服务。实际上交换机起到了一个代理服务器的作用,认证服务对客户端和服务器来说是透明的。RADIUS提供了一个C/S模式的认证方法,在RADIUS服务器和RADIUS客户端交换安全认证的信息。
- 交换机(边缘交换机或无线访问点AP)──根据客户端认证状态(是否被授权)来控制客户端对网络的访问。在客户端和认证服务器中交换机起到了一个中间媒介的作用,客户端请求身份验证信息,认证服务器验证后的信息,客户端回应的信息都通过交换机来传递。交换机也是一个RADIUS的客户端,并负责封装和解封装EAP帧。当交换机收到EAPOL帧后,以太网报头将会被剥去,但会保留EAP帧,并将EAP帧重封装为RADIUS格式的帧,再将其转发给认证服务器。在进行重封装的时候EAP帧不会被检查或修改。认证服务器并必在本地帧(RADIUS)内支持EAP封装;当交换机收到来自认证服务器的帧后,移去RADIUS的帧头,保留EAP帧并封装在以太网帧中发送给用户端。这类装置扮演了一个中间物的角色,这包括catalyst3750,catalyst3550,catalyst2970,catalyst2995,catalyst2950,catalyst2940系列交换机或是无线访问点(wireless access point)。他们必须支持RADIUS客户端和802.1X协议。
初始化认证和相互交换认证信息:
交换机或客户端都可以初始化认证。如果你在端口配置模式执行dot1x port-control auto命令来打开端口的认证的话,
当交换机端口从连接的状态从down转为up时交换机必须执行初始化认证,向客户端发送EAP-request/identity帧来 请求其进行身份验证,在客户端收到这个帧后会回应一个EAP-response/identity帧。 不巧的是在客户端重起的时候,客户端并收不到来自交换机的EAP-request/response帧,这时客户端会初始他 认证──发送一个EAPOL-start 帧,要求交换机请求对其身份的验证。 当客户端发送自我身份信息的时候,交换机开始扮演中间媒介的角色,在服务器和客户端传递EAP帧,直到认证 成功或失败。如果认证成功,交换机端口被授权。 认证方法的应用,具体的EAP帧交换如下图。在客户端和认证服务器间使用OTP(one-time-password)认证方法
端口的状态
交换机端口状态决于了是否允许客户端访问网络。当端口状态处于未授权状态时,这个端口不允许除802.1X
协议包以外的通讯。当客户端被成功授权后,端口会变为授权状态,允许进行所有常规的通讯。 如果连接到一相未被授权端口的客户端不支持802.1X协议,当交换机发出请求,要求客户端身份验证时, 客户端不能回应这种请求,这时端口还是处于未授权状态,客户端不能获得访问网络的权限。 但是当一个支持802.1X协议的客户端连接到一个没有802.1X协议的交换机上时,客户端初始化认证过程,
发送一个EAPOL-start帧。客户端请求超过一定次数,但是收不到来自交换机的回应。但这时端口若被强制在授权状态客户端仍就可以发送正常的通讯帧了。
你可以用以下这些关键字配上接口命令行dot1x port-control来控制端口的授权状态:
- force-authorized──关闭802.1X并将端口设为授权状态,没有必要进行任何身份验证。端口可以进行正常的通讯而不关心802.1X协议。这是端口转默认的状态。
- force-unauthorized──使端口保持为未授权状态(不允许正常的通讯),忽略所有客户端发来的认证要求。在这个端口交换机不提供认证服务器到客户端的通讯。
- auto──打开802.1X认证使端口为未授权状态,只允许EAPOL帧信息的交换。 当交换机连接状态从DWON转换到UP,或是收到EAPOL-start帧,认证过程就开始了。交换机请求客户端进行身份验证后便 在认证服务器和客户端转发交换信息。 如果客户端被成功授权(收到认证服务器的认可帧),这个端口状态变为授权,来自客户端所 有帧都可以通过这个端口。如果认证失败,端口保持在未授权状态,但可以再次发送认证信息。 如果认证服务器没有连接上,交换机会不断重发认证的请求直到达到预设的次数,如果还不能 成功认证的话,这时认证失败,客户端不允许访问网络。 当客户端登出时会发送一个EAPOL-logoff消息,使交换机端口的状态变为未授权状态。 当交换机端口从UP状态变为DOWN状态,或是收到了一个EAPOL-logoff消息,端口的状态都会由授 权状态转变为未授权状态。 支持拓扑类型
基于端口的802.1X协议支持两种类型的拓扑(topology)。
- 点对点网络
- 无线局域网
先来看看点对点时的情况,只允许客户端连接到打开802.1X协议的交换机端口上,这样才能进行802.1X 认证。当端口从DWON转变为UP时状态交换机便能侦测到客户端。如果客户端离开(发送一个 EAPOL-logoff)或是更换为另外一个客户端(端口从UP to DWON),都可以使端口返回到未授权的状态。 下图表示了基于端口的802.1X协议在无线局域网中的拓扑。
交换机上的802.1X端品被配置为多主机端口(在接口模式下:dot1x host-mode multi-host),这样只要 有一个客户端被授权时,端口就会由unanthorized状态变为authorized状态,那麽连接在这个端口上的 所有主机都可以通这个端口来访问网络。如果端口为unauthorized状态(重认证失败或收到一个 EAPOL-logoff消息),那麽交换机会阻止所有通过该端口访问网络的主机。无线访问点(AP)充当 了交换机的一个客户端。
Comments: