802.1x协议&eap类型

EAP:

0,扩展认证协议

1,一个灵活的传输协议,用来承载任意的认证信息(不包括认证方式)

2,直接运行在数据链路层,如ppp或以太网

3,支持多种类型认证

注:EAP 客户端---服务器之间一个协议

802.1x协议:客户端---NAD,承载电脑到交换机之间一段的一个二层的封装协议.

radius:NAD—服务器,承载交换机到radius服务器之间的一个三层的radius的封装协议.如下图.

交换机的作用:转来转去做封装;交换机收到电脑的包,把外层的802.1x的包去掉,封装成3层的radius报文.发给服务器.

前两者都把EAP封装.

请求者:路由器 交换机 pc

认证者:AP Sw Router

什么是802.1x协议?

pc和交换机之间的传输认证信息的二层封装协议.跑在以太网上就叫EAPoL

基于mac地址认证的.端口状态监控.

802.1x的特点?

802.1x 和AAA管理设备不一样

AAA管理设备是由NAS来认证,去radius服务器读取数据

而802.1x认证是由radius认证.

原因:ap和sw一般不适合做认证,ios小.

802.1x怎么工作?

严重声明:EAP的认证是客户一直到服务器之间的.

EAP的种类?

1,EAP-MD5

2,EAP-TLS

3,EAP-FAST

4,PEAP

EAP-MD5

场景:大量的有线交换机环境中使用.--pc接上来,sw就会给pc打招呼"你是否支持802.1x呀,你要提供xxx"

原理:通过MD5来保证密码安全性

特点:不是一个安全的协议

EAP-TLS

特点:

1,提供per packet私密性和完整性的保护.

2,提供了密钥交换机制

3,提供基于802.1x基于端口访问的证书认证.

4,每个客户端和服务器都要有证书,部署麻烦.

EAP-FAST(灵活的认证通过隧道)

特点:

1,使用TLS隧道保障用户私密性和完整性

2,不需要PKI为用户提供证书.(通过共享密钥实现安全.)

3,S针对每个C的密钥都是唯一的.这个密钥叫做PAC.

PEAP(保护的PEAP)

1,radius需要安装个人证书(服务器端证书)和证书服务器根证书,客户也建议安装

2,客户端也建议安装证书

3,能够实现域的一次性登陆.

类似于HTTPS加密

过程大致如下：

1） SSL客户端通过TCP和服务器建立连接之后（443端口），并且在一般的tcp连接协商（握手）过程中请求证书。

即客户端发出一个消息给服务器，这个消息里面包含了自己可实现的算法列表和其它一些需要的消息，SSL的服务器端会回应一个数据包，这里面确定了这次通信所需要的算法，然后服务器向客户端返回证书。（证书里面包含了服务器信息：域名。申请证书的公司，公共秘钥）。

2）Client在收到服务器返回的证书后，判断签发这个证书的公共签发机构，并使用这个机构的公共秘钥确认签名是否有效，客户端还会确保证书中列出的域名就是它正在连接的域名。

3）  如果确认证书有效，那么生成对称秘钥并使用服务器的公共秘钥进行加密。然后发送给服务器，服务器使用它的私钥对它进行解密，这样两台计算机可以开始进行对称加密进行通信。

https通信的优点：

1）客户端产生的密钥只有客户端和服务器端能得到；

2）加密的数据只有客户端和服务器端才能得到明文；

3）客户端到服务端的通信是安全的。

Dot1x实验：

802.1x EAP-MD5认证配置步骤:

1,网络基本配置

2,AAA基本配置

3,3560 802.1x认证基本配置

4,xp测试

5,查看dot1x状态

AAA基本配置

R1(config)#aaa new-model

R1(config)#aaa authentication login noacs line none

R1(config)#line console 0

R1(config-line)#login authentication noacs

radius-server host 10.1.1.2 key cisco

test aaa group radius aaa aaa new-code

802.1x配置步骤:

1,创建dot1x认证策略(sw和server间用radius封装,不支持tacase)

aaa authentication dot1x default group radius

2,全局激活802.1x

dot1x system-auth-control

3,接口启用dot1x

interface FastEthernet0/1

sw mo access

switchport access vlan 2

dot1x port-control auto

软件说明:

radius:winradius

xp802.1x客户端:神州数码的dot1.x客户端

实验拓扑:

sundray 802.1x

两种都是二层认证：

证书认证（EAP-TLS）

用户名、密码认证（PEAP-MSCHAPv2）

EAP-TLS 认证要求服务器提供 (CA 证书和服务器证书)    证书认证

EAP-PEAP 要求提供服务器证书                                   用户名密码认证

无线新产品证书相关

我们设备里面的证书主要有三个用途:

1. CA 证书， 用于验证由该 CA 签发的用户证书；

2. 服务器证书 提供给客户端验证的， 告诉客户端你连接的这台就是你想要连接的而不是一台钓鱼机器（客户端验证服务器证书是可选的）

3. 设备证书 主要用于做 https 处理

sundray-wac 设备登陆使用。

在部署基于证书认证，且使用内置 CA 颁发用户证书的无线网络时，需要启用 "证书注册服务"，使得 "自动配置工具" 能为用户自动申请并安装个人证书，才能完成无线网络的自动配置。

勾选了记住用户所使用凭据时，当用户第一次认证后，下次认证就不需要再次输入用户名和密码，无线网络会自动使用认证成功的用户名和密码登录。

验证服务器证书，当勾选时，需要配置下发内置 CA 中心到 PC 的受信任的根证书管理机构中，

服务器名称"tzm"也是可选的。

若服务器验证不通过，  根据安全需要来选择，为了防止钓鱼 AP，该选项需要勾选为"拒绝接入无线网络"