802.1x技术
1、准入控制概述
2、802.1x认证与MAC认证原理
- 802.1x协议起源于 WLAN的802.11协议,用于无线用户的链路层接入和身份认证。经过扩展后,802.1x也可以使用以太网帧作为承载报文,从而可适用于以太网以及其他的有线接入方式。
802.1x认证,又称EAPOE认证(可扩展认证协议),可以用于有线环境解决局域网用户的接入认证问题。
- 如图所示,802.1x系统为典型的Client/Server结构,包括三个实体:终端、接入控制设备和RADIUS服务器。
802.1x基本概念
- 基于MAC地址的认证要比基于接口更安全。基于MAC地址认证,每个PC都要认证。
- 自动识别就是正常的情况,认证就可以上网;强制授权,端口始终处于授权状态,允许用户不经认证即可访问网络资源,绑定MAC地址;强制非授权,端口始终处于非授权状态,不允许用户访问网络资源。
- EAP终结认证:由网络接入设备终结用户的EAP报文,解析出用户名和密码,并对密码进行加密,再发送到AAA服务器进行认证。
- EAP透传认证:也叫EAP中继认证,由网络接入设备直接把802.1x用户的认证信息以及EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器,而无需将EAP报文转换成标准的RADIUS报文后再发送给RADIUS服务来完成认证。()
802.1x认证流程
MAC认证简介
MAC认证就是以终端的MAC地址作为身份凭据到系统进行认证。启用MAC认证后,当终端接入网络时,网络准入设备提取终端MAC地址,并将该MAC地址作为用户和密码进行认证。
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户名的MAC地址以后,即启动对该用户的认证操作,认证过程中,不需要用户手动输入用户名和密码。
Protal认证简介
- Protal认证通常也叫Web认证,一般将Protal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,只有认证通过后,才可以使用网络资源。
用户可以主动访问已知的Protal认证网站,输入用户名和密码进行认证,这种开始Protal认证的方式成为主动认证方式。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Protal认证网站,从而开始认证过程,这种方式称为强制认证。
- Protal认证系统的组成部分:
- 客户端:安装有运行HTTP协议的浏览器主机。
- 接入设备:交换机、路由器等,主要有三方面的作用:
- 在认证之前,将认证网段内用户所有的HTTP请求重定向到Protal服务器。
- 在认证过程中,与Protal服务器、RADIUS服务器交互,完成对用户身份认证,授权等
- 在认证通过后,允许用户访问被管理员授权的互联网资源。
3.Protal服务器:接受客户端认证请求的服务器系统,提供免费门户服务和认证界面,与接入设备交互客户端的认证信息。
4.RADIUS服务器:与接入设备进行交互,完成对用户的认证、授权与计费。
RADIUS服务简介
- RADIUS是一种分布式的、客户端/服务器结构的服务凡是,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要控制远程用户访问权限的各种网络环境中。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
