802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置
精选
原创
©著作权归作者所有:来自51CTO博客作者lww_51CTO的原创作品,谢绝转载,否则将追究法律责任
802.1x原理阐述
2001年推出的共有标准协议,基于端口的网络控制解决方案
802.1x授权架构三个部分组成
1)请求方
2)认证方
3)认证服务器
认证方式:
EAP终结
EAP透传
802.1x工作流程
当802.1x被激活,相当于其它二三层认证,端口认证最先生效
802.1x支持二层静态访问端口、语音VLAN端口、三层路由端口、但不支持以下端口:
1)trunk port
2) dynamic ports-默认接口类型
3)etherchannel port
4)switch port analyzer(SPAN)
EAP协议原理
拓展身份验证协议,直接运行在数据链路层之上
EAP协议是一个身份验证框架,用于承载任意认证信息
为了能够让EAP协议支持802.1X,对其执行改进,生成了EAPOL(EAP Over LAN)
EAP认证方式
1、EAP-PEAP with MSCHAPv2
2、EAP-TLS
相比EAP-PEAP,EAP-TLS更加安全性,但部署和使用难度大,对工程师的综合能力要求高
基于X.509的PKI架构来实现双向认证(请求发<~>认证服务器)
3、EAP-FAST
思科私有技术
相比EAP-PEAP,EAP-FAST同样使用TLS隧道保护认证数据传输
区别在于不需要为用户提供基于PKI架构的数字证书,服务器证书认证也是可选的
认证服务器自动创建PAC(受保护证书)建立隧道
请求发和认证服务器之间基于一个强壮的共享秘钥进行认证,且该秘钥对于请求发而言是唯一的
共享秘钥可以由ISE自动分发到客户端也可以手动分发
工作流程第0阶段
工作流程第1~2阶段
802.1x终端配置开启(有线)
开启了后再看网卡,原来只有网络和分享,目前多了一个认证。到此客户端配置完毕
802.1x终端配置开启(无线)
进入网络和共享中心,添加新的连接
新建连接,注意SSID要和WLC上创建一致
RADIUS
通过网络策略服务器 (NPS),你可以针对连接请求身份验证和授权创建并实施组织级网络访问策略将 NPS 配置为远程身份验证拨入用户服务 (RADIUS) proxy 将连接请求转发到远程 NPS 或其他 RADIUS 服务器,以便可以对连接请求进行负载平衡,并将其转发到正确的域进行身份验证和授权
安装和详细说明查看官网 https://docs.microsoft.com/zh-cn/windows-server/networking/technologies/nps/nps-top
将 NPS 用作 RADIUS 服务器
将 NPS 用作 RADIUS 代理
