802.1X要培训.pptVIP

802.1X 技术介绍 技术起源和介绍 IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。 802.1X协议是一种基于端口的网络接入控制协议（port based network acce ss control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。 实际上，基于端口的接入控制，其本质也就是对于认证通过的用户所对应的MAC地址开启完整的地址学习及转发功能，来完成正常的通信过程 技术组成 EAPOL 客户端和接入设备（一般是交换机或者路由交换一体设备）之间运行的是“局域网上的可扩展认证协议” 注意，这个是2层协议，主要完成和认证客户端的交互，接收客户端的认证请求，开始整个认证过程，并最终返回认证的结果给客户端 Radius 接入设备和认证服务器之间运行的标准radius协议，使用udp，走三层，常用端口1812或者1645，主要作用是把从客户端接收到的EAP报文用radius传递给服务器，在传递时分为三种情况 终结：早期很多认证服务器不能识别EAP报文，所以需要中间设备使用终结方式，把EAP报文中的认证相关内容提取出来，然后封装在标准radius里交给服务器，eap报文在接入上就终结掉 中继：随着认证服务器的发展，和一些新的需求，目前绝大部分认证服务器都能识别，并自行处理eap报文，因此对应的接入设备无需再做中间的转换步骤，直接将eap报文放在特定的radius avp里交给服务器，eap报文在接入设备上进行中继。 透传：这个就很简单，交换机不处理eap报文，直接再往后传，一般的结构是 认证设备--透传设备--客户端。中间的设备完全当hub使用 EAP中继 802.1x认证的触发方式 在方式2时，我司的命令为dot1x multicast-trigger，在客户端一直不弹出认证界面时，可以尝试该命令 完整的认证流程 终结现在几乎用不到了，就直接跳过，左侧这个是中继的完整流程，在遇到认证不通过等问题时，重点关注的就是图里的几个关键报文的交互是否完整 实际应用 理论部分大家有空的时候可以慢慢看，EAP和Radius对应的RFC分别是3748和2865 大家在遇到802.1x问题的时候根据原理和流程一定要有一个排查思路，而且在反馈前完全可以参考下面的排查顺序尝试解决问题： 1.show ip route 查看radius服务器的路由是否正确，带源地址ping radius服务器，检测通信是否正常 2.和服务器核对使用的端口，到底是1812还是1645 3.打开debug 802.1x和radius，首先不用仔细去看报文细节，而是要确认设备上是否收到eap报文，在收到以后是否发送radius给服务器 4.在步骤3中，如果根本没有eap报文，请着重检查客户端和设备的配置（在路由交换一体机上，做认证的端口所属的vlan是否有三层接口） 5.如果前面都没问题，已经有radius报文交互，但仍然不通过认证，那么检查下客户端上勾选的认证方式，可能的话查看下服务器日志 6.最后的手段，上联服务器的端口和下联客户端的端口通过镜像，一起抓包 实际应用（二） 最后，我们介绍几个大家经常会问道，或者有疑问的功能点： 1.mac地址免认证（MAB）和白名单 很多同事对这两个概念比较混淆，澄清一下：MAB是通过交换机自动把客户端的mac地址作为用户名和密码往服务器发，服务器上必须要添加相应的用户，也是要经过认证的 白名单则是通过配置，让该客户端的mac地址不通过认证，也能正确的写入mac转发表，常见的是配置静态mac表（交换机和我们的1800上）或者直接写dot1x白名单（27,28上 dot1x permit static-mac ）这种方式和服务器完全没有关系，纯粹的本地实现 2.重认证 这个在协议实现里面其实没有明确的规定，但实现方式一般无外乎两种： a.服务器和客户端之间走私有报文保活（少见） b.接入设备定期查看客户端是否在线，一般通过arp或者走部分eap认证流程来实现（arp请求/eap-request是否得到响应来做判断） 3.各种认证方式和特殊需求在端口下混用 MAB和macbase混用，dot1x和端口混用，等等等等... 最好的回答就是：不要这么用！多个功能模块同时操作mac地址表，很容易有问题，而且大部分的混用方式我们目前正式宣称的都是不支持，大家在和客户交流的时候也尽量引导客户