x认证协议.pptVIP

802.1x在交换机上的配置 Switch(config)#aaa authentication dot1x {default} method1 [method2…] Creates an 802.1x port-based authentication method list Switch(config)#dot1x system-auth-control Globally enables 802.1x port-based authentication Switch(config)#interface type slot/port Enters interface configuration mode Switch(config-if)#dot1x port-control auto Enables 802.1x port-based authentication on the interface Switch(config)#aaa new-model Enables AAA 802.1x在交换机上的配置 认证不通过时： Cisco 3550交换机将客户放入guestvlan里面，需要一条命令支持： dot1x guest-vlan supplicant Cisco 3560交换机将客户模式划到access模式下面。 EAP协议介绍 802.1x概况 ----起源背景 ----基本思想和实现目标 ----认证特点 ----802.1x的作用 ----802.1x认证优势 ----802.1应用环境特点 Cisco支持产品平台 术语介绍 802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置  EAP协议介绍 Extensible Authentication Protocol ,EAP 802.1x协议使用一个EAP（可扩展身份认证协议）的RFC标准帮助实现通信。三个实体间的认证数据使用EAP分组进行交换，这个EAP分组可以装载在EAPOL帧中。 EAP协议介绍 下面是一个典型的PPP协议的帧格式： 当PPP帧中的protocol域表明协议类型为C227(PPP EAP)时，在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包，此时表明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务，下一步的EAP认证都将通过它来进行。 Flag Address Control Protocol Information EAP协议介绍 EAP报文的格式为： 典型的EAP认证的过程分为： request response success failure 每一个阶段的报文传送都由Information域所携带的EAP报文来承担。 Code Identifier Length Data EAP协议介绍 Code域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下： Code＝1 ————→Request Code＝2 ————→Response Code＝3 ————→Success Code＝4 ————→Failure Identifier域为一个字节，辅助进行request和response的匹配，每一个request都应该有一个response相对应，这样的一个Identifier域就建立了这样的一个对应关系，相同的Identifier相匹配。 Length域为两个字节，表明了EAP数据包的长度，包括Code，Identifier Length，Data域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。 Data域为0个或者多个字节，Data域的格式由Code的值来决定。 总 结 IEEE 802.1x定义了基于端口的网络接入控制协议，其中端口可以是物理端口，也可以是逻辑端口。 802.1X关心的只是一个端口（物理的或者逻辑的）是否打开，而不关心打开之后上来的是什么样的报文。 802.1x协议只是提供了一种用户接入认证的手段，它也只是对用户的认证进行控制，而接入网络设备必须具备的其他的一些安全和管理特性，由各厂家设备自行来提供的。 * * 802.1x认证协议 安