802.1x協(xié)議應用與配置(base on cisco)

jiyuan51

介紹802.1X的應用和在cisco2950.3550上配置802.1X協(xié)議。
其中關於cisco配置的部分是translation ciso documents
802.1X起源於無線局域網(wǎng)802.11，但後來也被用於有線的LAN。是用來解決用戶接入認證的一個協(xié)議。
配置基於端口的802.1X認證：
　　接下來將會描述怎麼在Catalyst2950，Catalyst2995上配置基於端口的IEEE802.1X認證協(xié)議，以用它來阻止沒有被授權的
客戶端（PC或SWITCH）訪問本地網(wǎng)絡。
這一章有以下幾節(jié)組成：
　　1，了解什麼是基於端口的802.1X認證。
　　2，怎樣在CISCO設備上配置802.1X認證。
　　3，在CISCO設備上顯示802.1X協(xié)議的狀態(tài)。
一，了解什麼是基於端口802.1X認證協(xié)議。
　　IEEE802.1X標準定義了一個C/S模式的認證和訪問控制協(xié)議，以用來阻止未被授權的客戶端通過公用的端口連接到LAN中。
交換機或LAN提供任何可用的服務前，認證服務器將會認證每一個連接到交換機端口的客戶端。在客戶端未被認證前，802.1X訪問
控制只允許在LAN上的擴展認證協(xié)議（EAPOL），思科發(fā)現(xiàn)協(xié)議（CDP）和生成樹協(xié)議（STP）在與客戶端相連的端口上通訊。在
客戶端被成功認證後，這個端口將成為一個普通端口。
設備的架構(gòu)：
file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/My%20Pictures/1.bmp
● 客戶端──可以請求訪問LAN或交換服務的工作站（PC），這個工作站必須咝?02.1X－compliant客戶端軟件比如
WINDOWS XP操作系統(tǒng)。（在802.1X規(guī)范中客戶端扮演一個請求者的角色）；
● 認證服務器──執(zhí)行對客戶端進行實際的驗證。認證服務器使客戶端的身份得到驗證並通知交換機客戶端是否被授
權訪問LAN或提供交換服務。實際上交換機起到了一個代理服務器的作用，認證服務對客戶端和服務器來說是透明的。
RADIUS提供了一個C/S模式的認證方法，在RADIUS服務器和RADIUS客戶端交換安全認證的信息。
● 交換機（邊緣交換機或無線訪問點AP）──根據(jù)客戶端認證狀態(tài)（是否被授權）來控制客戶端對網(wǎng)絡的訪問。在客
戶端和認證服務器中交換機起到了一個中間媒介的作用，客戶端請求身份驗證信息，認證服務器驗證後的信息，客戶端
回應的信息都通過交換機來傳遞。交換機也是一個RADIUS的客戶端，並負責封裝和解封裝EAP幀。
         當交換機收到EAPOL幀後，以太網(wǎng)報頭將會被剝?nèi)ィ�但會保留EAP幀，並將EAP幀重封裝為RADIUS格式的幀，
再將其轉(zhuǎn)發(fā)給認證服務器。在進行重封裝的時候EAP幀不會被檢查或修改。認證服務器並必在本地幀（RADIUS）
內(nèi)支持EAP封裝；當交換機收到來自認證服務器的幀後，移去RADIUS的幀頭，保留EAP幀並封裝在以太網(wǎng)幀中
發(fā)送給用戶端。
          這類裝置扮演了一個中間物的角色，這包括catalyst3750,catalyst3550,catalyst2970,catalyst2995,catalyst2950,
catalyst2940系列交換機或是無線訪問點（wireless access point）。他們必須支持RADIUS客戶端和802.1X協(xié)議。
初始化認證和相互交換認證信息：
        交換機或客戶端都可以初始化認證。如果你在端口配置模式執(zhí)行dot1x port-control auto命令來打開端口的認證的話，
當交換機端口從連接的狀態(tài)從down轉(zhuǎn)為up時交換機必須執(zhí)行初始化認證，向客戶端發(fā)送EAP-request/identity幀來
請求其進行身份驗證，在客戶端收到這個幀後會回應一個EAP-response/identity幀。
       不巧的是在客戶端重起的時候，客戶端並收不到來自交換機的EAP-request/response幀，這時客戶端會初始他
認證──發(fā)送一個EAPOL-start 幀，要求交換機請求對其身份的驗證。
        當客戶端發(fā)送自我身份信息的時候，交換機開始扮演中間媒介的角色，在服務器和客戶端傳遞EAP幀，直到認證
成功或失敗。如果認證成功，交換機端口被授權。
認證方法的應用，具體的EAP幀交換如下圖。在客戶端和認證服務器間使用OTP（one-time-password）認證方法
file:///g:/2.bmp
端口的狀態(tài)
      交換機端口狀態(tài)決於了是否允許客戶端訪問網(wǎng)絡。當端口狀態(tài)處於未授權狀態(tài)時，這個端口不允許除802.1X

協(xié)議包以外的通訊。當客戶端被成功授權後，端口會變?yōu)槭跈酄顟B(tài)，允許進行所有常規(guī)的通訊。
       如果連接到一相未被授權端口的客戶端不支持802.1X協(xié)議，當交換機發(fā)出請求，要求客戶端身份驗證時，
客戶端不能回應這種請求，這時端口還是處於未授權狀態(tài)，客戶端不能獲得訪問網(wǎng)絡的權限。
　但是當一個支持802.1X協(xié)議的客戶端連接到一個沒有咝?/span>802.1X協(xié)議的交換機上時，客戶端初始化認證過程，
  
發(fā)送一個EAPOL-start幀�？蛻舳苏埱蟪�過一定次數(shù)，但是收不到來自交換機的回應。但這時端口若被強制在授
權狀態(tài)客戶端仍就可以發(fā)送正常的通訊幀了。
　你可以用以下這些關鍵字配上接口命令行dot1x  port-control來控制端口的授權狀態(tài)：
●    force-authorized──關閉802.1X並將端口設為授權狀態(tài)，沒有必要進行任何身份驗證。端口可以進行
正常的通訊而不關心802.1X協(xié)議。這是端口轉(zhuǎn)默認的狀態(tài)。
●    force-unauthorized──使端口保持為未授權狀態(tài)（不允許正常的通訊），忽略所有客戶端發(fā)來的認證要求。
在這個端口交換機不提供認證服務器到客戶端的通訊。
●    auto──打開802.1X認證使端口為未授權狀態(tài)，只允許EAPOL幀信息的交換。  當交換機連接狀態(tài)從DWON
轉(zhuǎn)換到UP，或是收到EAPOL-start幀，認證過程就開始了。交換機請求客戶端進行身份驗證後便
在認證服務器和客戶端轉(zhuǎn)發(fā)交換信息。
        如果客戶端被成功授權（收到認證服務器的認可幀），這個端口狀態(tài)變?yōu)槭跈�，來自客戶端�?br /> 有幀都可以通過這個端口。如果認證失敗，端口保持在未授權狀態(tài)，但可以再次發(fā)送認證信息。
        如果認證服務器沒有連接上，交換機會不斷重發(fā)認證的請求直到達到預設的次數(shù)，如果還不能
成功認證的話，這時認證失敗，客戶端不允許訪問網(wǎng)絡。
當客戶端登出時會發(fā)送一個EAPOL-logoff消息，使交換機端口的狀態(tài)變?yōu)槲词跈酄顟B(tài)。
當交換機端口從UP狀態(tài)變?yōu)镈OWN狀態(tài)，或是收到了一個EAPOL-logoff消息，端口的狀態(tài)都會由授
權狀態(tài)轉(zhuǎn)變?yōu)槲词跈酄顟B(tài)。
支持拓撲類型
基於端口的802.1X協(xié)議支持兩種類型的拓撲（topology）。
●    點對點網(wǎng)絡
●    無線局域網(wǎng)
先來看看點對點時的情況，只允許客戶端連接到打開802.1X協(xié)議的交換機端口上，這樣才能進行802.1X
認證。當端口從DWON轉(zhuǎn)變?yōu)閁P時狀態(tài)交換機便能偵測到客戶端。如果客戶端離開（發(fā)送一個
EAPOL-logoff）或是更換為另外一個客戶端(端口從UP to DWON)，都可以使端口返回到未授權的狀態(tài)。
下圖表示了基於端口的802.1X協(xié)議在無線局域網(wǎng)中的拓撲。
file:///g:/1.bmp
交換機上的802.1X端品被配置為多主機端口（在接口模式下:dot1x host-mode multi-host），這樣只要
有一個客戶端被授權時，端口就會由unanthorized狀態(tài)變?yōu)閍uthorized狀態(tài)，那麼連接在這個端口上的
所有主機都可以通這個端口來訪問網(wǎng)絡。如果端口為unauthorized狀態(tài)（重認證失敗或收到一個
EAPOL-logoff消息），那麼交換機會阻止所有通過該端口訪問網(wǎng)絡的主機。無線訪問點（AP）充當
了交換機的一個客戶端。





本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u/11680/showart_57639.html