802.1x原理阐述

2001年推出的共有标准协议,基于端口的网络控制解决方案

802.1x授权架构三个部分组成
1)请求方
2)认证方
3)认证服务器

认证方式:
EAP终结
EAP透传

802.1x工作流程

当802.1x被激活,相当于其它二三层认证,端口认证最先生效
802.1x支持二层静态访问端口、语音VLAN端口、三层路由端口、但不支持以下端口:
1)trunk port
2) dynamic ports-默认接口类型
3)etherchannel port 
4)switch port analyzer(SPAN)

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署

EAP协议原理

拓展身份验证协议,直接运行在数据链路层之上
EAP协议是一个身份验证框架,用于承载任意认证信息
为了能够让EAP协议支持802.1X,对其执行改进,生成了EAPOL(EAP Over LAN)

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_02

EAP认证方式

1、EAP-PEAP with MSCHAPv2

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_RADIUS部署_03

2、EAP-TLS

相比EAP-PEAP,EAP-TLS更加安全性,但部署和使用难度大,对工程师的综合能力要求高
基于X.509的PKI架构来实现双向认证(请求发<~>认证服务器)

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_04

3、EAP-FAST

思科私有技术
相比EAP-PEAP,EAP-FAST同样使用TLS隧道保护认证数据传输
区别在于不需要为用户提供基于PKI架构的数字证书,服务器证书认证也是可选的
认证服务器自动创建PAC(受保护证书)建立隧道
请求发和认证服务器之间基于一个强壮的共享秘钥进行认证,且该秘钥对于请求发而言是唯一的
共享秘钥可以由ISE自动分发到客户端也可以手动分发

工作流程第0阶段

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_05

工作流程第1~2阶段

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_802.1x、EAP原理_06

802.1x终端配置开启(有线)

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_身份验证_07

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_08

开启了后再看网卡,原来只有网络和分享,目前多了一个认证。到此客户端配置完毕

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_09

802.1x终端配置开启(无线)

进入网络和共享中心,添加新的连接

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_10

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_11

新建连接,注意SSID要和WLC上创建一致

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_身份验证_12

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_身份验证_13

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_身份验证_14

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_身份验证_15

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_客户端802.1x部署_16


RADIUS

通过网络策略服务器 (NPS),你可以针对连接请求身份验证和授权创建并实施组织级网络访问策略将 NPS 配置为远程身份验证拨入用户服务 (RADIUS) proxy 将连接请求转发到远程 NPS 或其他 RADIUS 服务器,以便可以对连接请求进行负载平衡,并将其转发到正确的域进行身份验证和授权

安装和详细说明查看官网  ​​https://docs.microsoft.com/zh-cn/windows-server/networking/technologies/nps/nps-top​

将 NPS 用作 RADIUS 服务器

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_身份验证_17

将 NPS 用作 RADIUS 代理

802.1x/dot1x原理、EAP协议、RADIUS配置、客户端配置_身份验证_18