NAC IEEE 802.1x 将会有如下四个实体参加整个过程:
(1) 端口访问请求者
端口访问请求者为试图接入到网络中终端或服务器设备。按照这些设备对802.1x 协议的支持情况,分为:
1、有 agent 的主机:安装有支持 802.1x 协议的客户端软件。能够遵照 802.1x的协议标准对 EAPOL 报文进行接受、响应、回包。典型的支持 802.1x的客户端软件为 Cisco 的 CTA,联软的 UniAccess Agent。
2、 无 agent 的主机:没有或无法安装支持 802.1x 协议的客户端软件,无法对 802.1x 协议的报文进行任何处理。如服务器、打印机、外来人员终端、无线智能终端、智能手机等。根据无 agent 终端的性质不同,又可以继续细分为:
3、访客主机:未安装 agent 的主机,被 802.1x 置于不信任状态(guest vlan,与企业网内其它资源所在 vlan 隔离),可访问资源受限。
4、MAB 主机:不需要安装 agent 的主机,被 802.1x 置于信任状态,可访问资源不受限。端口访问请求者在连上网络后,连接的网络设备的端口会变成 up 状态。一旦发现端口 UP,802.1x 就启动工作网络设备会向端口访问请求者发出 EAPOL start 的报文信息,端口访问请求者开始回复报文进行响应,直到完成整个协议的报文交互过程。
(2) 端口访问认证器
端口访问认证器为支持 802.1x 准入架构的网络设备。端口访问认证器,负责与端口访问请求者进行通信,并将来自端口访问请求者的身份和安全状态信息转发到 Radius 服务器进行验证,并且依据 Radius 服务器下发的授权信息,来改变端口对端口访问请求者的授权信息,对端口访问请求者可以通过该端口访问的网络资源进行控制。支持 802.1x 准入控制的常见设备列表请参见附件一。
(3) Radius 服务器
Radius 服务器在 802.1x 中主要提供 AAA 服务,即认证,授权,计费服务。802.1x 中典型的 Radius 服务器为 Cisco 的 ACS,联软的 UniRadius Server。Radius 服务器通过 Radius 协议与端口访问认证器也就是网络设备进行数据通信。Radius 服务器通过接收来自网络设备转发的源于端口访问请求者的身份信息和安全状态检查信息,并将身份信息发送给目录服务器进行验证。依据目录服务器返回的验证结果,Radius 服务器选取对应的授权信息,并将其封装到给网络设备的回包中,完成对端口访问请求者可访问网络资源的授权。同时 Radius 将认证和授权信息写入数据库,完成对准入控制的审计工作。
转载于:https://blog.51cto.com/yingaogui/1905034
