6 元
下载资源

博达交换机802.1x认证配置手册

上传人:细水****9 文档编号:244258911 上传时间:2024-10-03 格式:PPT 页数:39 大小:894.50KB
返回 下载 相关 举报
博达交换机802.1x认证配置手册_第1页
第1页 / 共39页
博达交换机802.1x认证配置手册_第2页
第2页 / 共39页
博达交换机802.1x认证配置手册_第3页
第3页 / 共39页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,802.1X-,-,39,起始页面,课程内容,802.1x,简介,802.1x,认证的基本原理和过程,802.1x,在博达交换机上的认证方式,802.1x,的,配置,802.1x,的认证实例,一、,802.1x,简介,1. 802.1x,起源,802.1x,,基于端口的网络访问控制,,起源于,EAPOW,和,802.11,协议。,802.1x,是,IEEE,为了解决基于端口的接入控制(,Port,Based Network Access Control,),而定义的一个标准,主要目的是为了解决无线局域网用户的接入认证问题 。,加强了传统园区网安全特性,适用于以太网接入运营网的安全认证,廉价且易实现。,2. 802.1x,作用,3.,前景,世界著名网络厂家都已推出解决方案。,Windows XP,支持客户端。,二、,802.1x,认证的基本原理和过程,基本原理,802.1X,的网络中,一个用户请求访问一个接入点,接入点强迫用户进入一种未经授权状态,这种状态下用户就只能发送一个,EAP,(,Extensible Authentication Protocol,),开始消息。然后接入点返回给用户一个,EAP,消息请求用户进行身份验证。用户将身份验证发给接入点,之后接入点就会将其转发给验证服务器,由它使用一个算法来验证用户是否合法并且将接受或拒绝消息返还给接入点。当验证通过即接收到的是接受消息,则接入点将把用户的状态变为已授权,此时就可以进行正常的通信了。,1. 802.1x,的体系结构,802.1x,协议包括,Supplicant System,客户端(,PC,/,网络设备)、,Authenticator System,认证系统、,Authentication Server System,认证服务器三部分,它们之间的关系如上图所示,2. System,间信息交换,Authenticator,与,Authentication Server,间通过,EAP,帧交换信息,Supplicant,与,Authenticator,间则以,IEEE 802.1x,所定义的,EAPoL,帧交换信息。,EAP,帧中封装了认证数据,该认证数据将被封装在其它,AAA,上层协议(如,RADIUS,),的报文中以穿越复杂的网络到达,Authentication Server,,,这一过程被称为,EAP Relay,。,3.,端口类型,LAN/WLAN,受控端口,非受控端口,设备端,授权,/,非授权,.,设备的每个端口同时有受控和非受控两个通道。,受控端口和非受控制端口,设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,用于传递认证报文。受控端口在授权状态下处于连通状态,用于传递业务报文;受控端口在非授权状态下处于断开状态,禁止传递任何报文。受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。,4.,受控端口状态变化,LAN/WLAN,受控端口,非受控端口,设备端,1,非授权,LAN/WLAN,受控端口,非受控端口,设备端,2,授权,5.,端口控制方式,小区中心,楼栋,楼,单元,user,user,use,r,user,user,user,user,基于物理端口,基于全程,VLAN,基于用户设备,MAC,7. 802.1x,的协议帧,802.1x,通过,EAP,帧承载认证信息。标准中共定义了如下几种类型的,EAP,帧:,EAP-Packet,:,认证信息帧,用于承载认证信息。,EAPoL,-Start,:,认证发起帧,,Supplicant,主动发起的认证发起帧。,EAPoL,-Logoff,:,退出请求帧,主动终止已认证状态。,EAPoL,-Key,:,密钥信息帧,支持对,EAP,报文的加密。,EAPoL,-Encapsulated-ASF-Alert,:,用于支持,Alert Standard Forum,(,ASF,)的,Alerting,消息。,8. EAP,帧结构,EAP,报文的格式 :,9. EAPOL,帧结构,EAPOL,报文的格式 :,8. 802.1x,的认证过程,10. 802.1x,的特点,建网成本低:是,二层协议,对设备要求不高。,通过组播实现,解决其他认证协议广播问题。,采用业务和认证流分离。,IEEE,标准化,。,优点:,缺点:,需要特定的客户端软件,三、,802.1x,在博达交换机上的认证方式,1.,本地数据库认证,EAPOL-Start,EAP-Request/Identity,EAP-Response/Identity,EAP-Response/MD5 Challenge,EAP-Request/MD5 Challenge,EAP-Success,2,3,4,5,6,1,客户端,博达交换机,2.,结合,Radius,认证,(,续,),EAP,终结方式:,EAPOL-Start,EAP-Request/Identity,EAP-Response/Identity,EAP-Response/MD5 Challenge,EAP-Request/MD5 Challenge,EAP-Success,2,3,4,5,8,1,客户端,博达交换机,Radius Server,Radius-access-Request,6,(Chap-Response/MD5 Challenge),7,Radius-access-Accept,(Chap-Success),802.1x EAP,终结认证图示,Radius-access-Challenge,EAP,透传方式:,3.,结合,Radius,认证,EAPOL-Start,EAP-Request/Identity,EAP-Response/Identity,EAP-Response/MD5 Challenge,EAP-Request/MD5 Challenge,EAP-Success,2,3,6,7,10,1,客户端,博达交换机,Radius Server,Radius-access-Request,4,(EAP-Request/MD5 Challenge),5,(EAP-Response/Identity),Radius-access-Request,8,(EAP-Response/MD5 Challenge),9,Radius-access-Accept,(EAP-Success),802.1x EAP,透传认证图示,四、,802.1x,的配置,802.1x,的配置任务,dot1x enable,使能,802.1x,功能,dot1x multiple-hosts,配置,802.1x,多主机端口认证,802.1x,的配置任务,dot1x port-control auto|force-authorized|force-unauthorized,配置端口控制方式,802.1x,的配置任务,aaa,authentication dot1x,method,配置,802.1x,的,AAA,认证方式,dot1x max-,req,count,配置身份认证请求的最大次数,802.1x,的配置任务,dot1x user-permit,xxxx,配置端口下绑定的用户,dot1x authentication method,yyy,配置,802.1x,端口下的认证方式,802.1x,的配置任务,dot1x authentication type ,chap|eap,配置,802.1x,认证类型,dot1x default,将所有的全局配置恢复到默认配置,监控,802.1x,认证配置和状态,show dot1x ,interface ,查看,802.1x,认证配置和状态,五、,802.1x,的认证实例,实验一:本地数据库认证,客户端,博达交换机,S3224,!,dot1x enable /,启动,802.1X,username,bdcom,password 0,bdcom,/,定义用户名和密码,aaa,authentication dot1x test local /,定义,802.1x,的,aaa,认证方式采用本地数据库认证,interface FastEthernet0/1,dot1x authentication type,eap,/,认证类型是,eap,dot1x authentication method test,/,认证方法使用自定义的本地数据库认证,dot1x multiple-hosts /,启用多主机端口访问,dot1x port-control auto,/,启动,802.1X,认证方式,默认状态是关闭的,dot1x user-permit,bdcom,/,启用端口和用户的绑定,!,认证过程图,实验二:,EAP,终结方式,博达交换机,S3224,客户端,Radius Server,!,username,bdcom,password 0,bdcom,/,定义用户名和密码,aaa,authentication dot1x test radius /,定义,802.1x,的,aaa,认证方式采用,Radius,认证,interface FastEthernet0/2,dot1x authentication type,chap,/,认证类型是,chap,dot1x authentication method test,/,认证方式使用自定义的,Radius,认证,dot1x port-control auto,/,启动,802.1X,认证方式,默认状态是关闭的,radius server 192.168.0.211 auth-port 1812 acct-port 1813,/,指定,Radius,服务器的,IP,地址,以及为认证请求,UDP,目的端口和为记录请求,UDP,目的端口,radius key 12345 /,对交换机和,Radius,服务器之间通信信道进行加密,!,认证过程图,实验三:,EAP,透传方式,客户端,博达交换机,S3224,Radius Server,!,username,bdcom,password 0,bdcom,/,定义用户名和密码,aaa,authentication dot1x test radius /,定义,802.1x,的,aaa,认证方式采用,Radius,认证,interface FastEthernet0/2,dot1x authentication type,eap,/,认证类型是,eap,dot1x authentication method test,/,认证方式使用自定义的,Radius,认证,dot1x port-control auto,/,启动,802.1X,认证方式,默认状态是关闭的,radius server 192.168.0.211 auth-port 1812 acct-port 1813,/,指定,Radius,服务器的,IP,地址,以及为认证请求,UDP,目的端口和为记录请求,UDP,目的端口,radius key 12345 /,对交换机和,Radius,服务器之间通信信道进行加密,!,认证过程图,总结,802.1 x,是一个认证协议,是一种对用户进行认证的方法和策略。,802.1x,是基于,(,物理,/,逻辑,),端口的认证策略。,802.1x,认证的最终目的就是确定一个端口是否可用。,结束,Thanks!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 解决方案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!