802.1x协议应用与配置(base on cisco)


介绍802.1X的应用和在cisco2950.3550上配置802.1X协议。其中关于cisco配置的部分是translation ciso documents

802.1X起源于无线局域网802.11,但后来也被用于有线的LAN。是用来解决用户接入认证的一个协议。

配置基于端口的802.1X认证

接下来将会描述怎麽在Catalyst2950,Catalyst2995上配置基于端口的IEEE802.1X认证协议,以用它来阻止没有被授权的客户端(PC或SWITCH)访问本地网络。

这一章有以下几节组成:

  1. 了解什麽是基于端口的802.1X认证。
  2. 怎样在CISCO设备上配置802.1X认证。
  3. 在CISCO设备上显示802.1X协议的状态。

一,了解什麽是基于端口802.1X认证协议。

IEEE802.1X标淮定义了一个C/S模式的认证和访问控制协议,以用来阻止未被授权的客户端通过公用的端口连接到LAN中。交换机或LAN提供任何可用的服务前,认证服务器将会认证每一个连接到交换机端口的客户端。在客户端未被认证前,802.1X访问控制只允许在LAN上的扩展认证协议(EAPOL),思科发现协议(CDP)和生成树协议(STP)在与客户端相连的端口上通讯。在客户端被成功认证后,这个端口将成为一个普通端口。

设备的架构

初始化认证和相互交换认证信息

交换机或客户端都可以初始化认证。如果你在端口配置模式执行dot1x port-control auto命令来打开端口的认证的话,
当交换机端口从连接的状态从down转为up时交换机必须执行初始化认证,向客户端发送EAP-request/identity帧来 请求其进行身份验证,在客户端收到这个帧后会回应一个EAP-response/identity帧。 不巧的是在客户端重起的时候,客户端并收不到来自交换机的EAP-request/response帧,这时客户端会初始他 认证──发送一个EAPOL-start 帧,要求交换机请求对其身份的验证。 当客户端发送自我身份信息的时候,交换机开始扮演中间媒介的角色,在服务器和客户端传递EAP帧,直到认证 成功或失败。如果认证成功,交换机端口被授权。 认证方法的应用,具体的EAP帧交换如下图。在客户端和认证服务器间使用OTP(one-time-password)认证方法

端口的状态

交换机端口状态决于了是否允许客户端访问网络。当端口状态处于未授权状态时,这个端口不允许除802.1X

协议包以外的通讯。当客户端被成功授权后,端口会变为授权状态,允许进行所有常规的通讯。 如果连接到一相未被授权端口的客户端不支持802.1X协议,当交换机发出请求,要求客户端身份验证时, 客户端不能回应这种请求,这时端口还是处于未授权状态,客户端不能获得访问网络的权限。 但是当一个支持802.1X协议的客户端连接到一个没有802.1X协议的交换机上时,客户端初始化认证过程,

发送一个EAPOL-start帧。客户端请求超过一定次数,但是收不到来自交换机的回应。但这时端口若被强制在授权状态客户端仍就可以发送正常的通讯帧了。

你可以用以下这些关键字配上接口命令行dot1x port-control来控制端口的授权状态:

基于端口的802.1X协议支持两种类型的拓扑(topology)。

先来看看点对点时的情况,只允许客户端连接到打开802.1X协议的交换机端口上,这样才能进行802.1X 认证。当端口从DWON转变为UP时状态交换机便能侦测到客户端。如果客户端离开(发送一个 EAPOL-logoff)或是更换为另外一个客户端(端口从UP to DWON),都可以使端口返回到未授权的状态。 下图表示了基于端口的802.1X协议在无线局域网中的拓扑。

交换机上的802.1X端品被配置为多主机端口(在接口模式下:dot1x host-mode multi-host),这样只要 有一个客户端被授权时,端口就会由unanthorized状态变为authorized状态,那麽连接在这个端口上的 所有主机都可以通这个端口来访问网络。如果端口为unauthorized状态(重认证失败或收到一个 EAPOL-logoff消息),那麽交换机会阻止所有通过该端口访问网络的主机。无线访问点(AP)充当 了交换机的一个客户端。

published at Nov. 18, 2005, 8 a.m.

Comments:

Sharing your thoughts: