1、基础
端口安全认证
2、身份的基本概念
1)身份标识:数字标识身份
2)认证:×××实
3)授权
3、扩展认证协议:EAP
1)不依赖IP封装,支持所有链路层协议
2)EAP类型
(1)EAP-MD5:MD5的挑战响应方式
(2)EAP-MSCHAPv2:username/password的挑战响应
(3)EAP-TLS:证书+TLS
(4)PEAP:证书+其他认证
(5)EAP-FAST:TLS(无证书)
3)选择因素
(1)C/S是否都支持
(2)网络安全策略
(3)对后台目录基础设施的支持。(并非每种身份存储都支持所有的EAP)
4)EAP成帧格式
(1)数据包类型
· EAP数据包(0):认证信息帧,用于承载认证信息
· EAPOL Start(1):认证发起帧
· EAPOL Logoff(2):退出请求帧
· EAPOL 密钥(3):交换机发给申请者,用于在TLS认证时包含一个密钥
4、IEEE 802.1X
1)角色
(1)Supplicant(请求者):PC
(2)Authenticator(认证者):交换机
(3)Authentication Server(认证服务器):AAA服务器
2)802.1X安全
(1)非受控端口
仅为认证流量提供一条用于传送EAPOL流量的路径
(2)受控端口
提供数据平面(须认证后)
3)认证模式
(1)单主机认证(single-auth)模式。(默认)
遏制流氓设备,hub(后面连多用户)
(2)多主机模式(Multihost)
Switch(config-if)#dot1x host-mode multi-host
一个MAC认证后,其他MAC都可以通过
5、使用无802.1X的设备
1)设备
打印机、IP电话、传真机
2)MAC认证旁路(MAB)
根据MAC地址控制不支持802.1X的设备对网络的认证
3)Guest-VLAN
为不支持802.1X且不知道MAC的客户访问
交换机主动发出身份请求,3次失败后(3*30s),端口移入Guest-VLAN
Switch(config-if)#dot1x max-reauth-req 3
Switch(config-if)#dot1x timeout tx-period 30
Switch(config-if)#dot1x port-control auto
Switch(config-if)#dot1x guest-vlan 10
6、MAC地址认证
1)port security
2)VMPS
3)用户注册工具(User-Registration Tool,URT),采用vlan查询协议(VQP),与VMPS相同
7、MAB
Switch(config-if)#dot1x mac-auth-bypass
Switch(config-if)#dot1x pae authenticator
Switch(config-if)#dot1x port-control auto
802.1X未失败(超时或没开启802.1X)--->MAC认证--->Guest-VLAN
仅802.1X认证失败或旁路没开启才会拒绝访问
