一、以太网优点缺点
1.以太网优点
(1)即插即用,简单快捷
(2)任何一台电脑只要接入网络便有访问网络资源的权限
2.以太网缺点
(1)缺乏安全认证机制(二层)
(2)电脑接到交换机上就能访问网络
(3)安全性得不到保障
二、二层网络安全技术
1.在用户接入网络之前进行认证
2.认证通过
(1)交换机端口打开
(2)访问二层局域网
3.认证不通过
(1)交换机端口关闭
(2)不能访问二层局域网
三、802.1X诞生
1.IEEE 802.1X
(1)Port-Based Networks Access Control
(2)基于端口的网络接入控制
2.起源于无线标准802.11协议
(1)最初是为解决无线局域网的用户接入认证问题
(2)对局域网具有普适性,移植到有线领域
3.正式标准
(1)IEEE 802委员会制定的LAN标准
(2)2001年6月标准化
4.DOT1x vs 802.1x
(1)DOT1x = 802.1x
(2)“.” 英文是DOT
四、802.1X三个角色
1.Supplicant
(1)客户端
(2)Winow、Linux、MAC、第三方客户端
(3)支持EAPoL认证
2.Authenticator
(1)认证系统
(2)交换机
3.Authentication Server
(1)认证服务器
(2)Radius服务器
(3)思科ACS、华为Policy Center、Freeradius
1.认证发生地点
(1)客户端<--->服务器
(2)认证在客户端和服务器之间进行
2.认证系统
(1)作为代理
(2)将EAP认证从以太网转为Radius格式
(3)感知认证过程
(4)不感知认证内容(交换信息)
1.认证成功
(1)认证系统打开端口
(2)端口状态变为Authenticated
(3)交换机转发客户端发送报文
2.认证失败
(1)认证系统关闭端口
(2)端口状态为Unauthenticated
(3)交换机不转发客户端发送报文
1.802.1X的核心是EAP
(1)认证发生在客户端和认证服务器之间
(2)认证系统透传EAP报文
2.EAP
(1)Extensible Authentication Protocol
(2)可扩展认证协议
(3)RFC5247
1.EAP是一个认证框架
(1)不是具体的认证机制
(2)提供协商 “EAP方法”的功能
2.EAP方法
(1)RFC5247
(2)大约40种
(3)EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM
1.Tunneled EAP
(1)在客户端和服务器之间, 先建立安全隧道
(2)在安全隧道里, 使用 MD5、GTC、MSCHAP
2.典型代表
(1)PEAP、EAP-FAST、TTLS
1.EAPOL
(1)EAP over LAN
(2)基于局域网的扩展认证协议
(3)定义EAP在以太网上的传输格式
2.以太网封装
(1)目标MAC地址是01-80-c2-00-00-03
1.EAP会话四阶段
(1)Session initiation
(2)Session authentication
(3)Session authorization
(4)Session accounting
