当然,我们都听说过802.1倍,但是它如何工作?使身份验证成功的必要项目是什么?敬请关注
802.1x是基于2层的基于端口的网络访问控制过程,最初于1998年定义在IEEE标准802.1d-1998中。最新标准是802.1X-2013
Any .1X network will have 3 working participates。(有时身份验证器也可以是身份验证服务器)
- 身份验证服务器 - 直接radius服务器* - 包含或访问数据库以检查用户的凭据,然后将信息继电给身份验证器以允许或拒绝访问。
- Authenticator – Allows access to the network and communicates with the Auth. Server.
- Suplicant - 试图访问网络的客户设备。
身份验证过程
这个过程类似于进入一个invitation only gathering. Upon arrival at the gathering you (supplicant) will meet the doorman (authenticator). You will provide your name (credentials) to the doorman (authenticator). He will then check his list (auth server / database), and if your name is indeed on the list you will be granted access to the gathering. This is a very simple way of explaining the process.The actual process is a bit more involved:
The supplicant and authentication server will have to be configured to use the same EAP type。
首先,求职者将与AP或身份验证器关联,并发送EAPOL启动数据包**。身份验证者将使用身份请求对IEPOL响应。然后,求职者将以身份响应,例如用户名。然后,身份验证者将将其转发到身份验证服务器上。身份验证服务器将对求职者构成挑战。挑战将是用户数据库中包含的用户帐户的密码。当求职者收到挑战请求时,它将用用户帐户的密码响应。然后,身份验证服务器将检查数据库中帐户条目的凭据。如果所有检查所有检查,身份验证服务器都将使用接受数据包进行响应,而身份验证者将授予对求职者的访问。
支持的EAP类型:
- EAP-TLS—The EAP-TLS (Transport Layer Security) uses Public key Infrastructure (PKI) to set up authentication with a RADIUS server or any authentication server.
- EAP-TLV- The EAP-TLV (type-length-value) method allows you to add additional information in an EAP message. Often this method is used to provide more information about a EAP message.
- EAP-TTLS - EAP-TTL(隧道传输层安全性)方法使用服务器端证书在客户端和服务器之间设置身份验证。
- EAP-SIM—The EAP-SIM (Subscriber Identity Module) uses Global System for Mobile Communication (GSM) Subscriber Identity Module (SIM) for authentication and session key distribution.
- EAP-MD5—The EAP-MD5 method verifies MD5 hash of a user password for authentication.
- EAP-FAST - EAP-FAST(通过安全隧道的灵活身份验证)是PEAP的替代身份验证方法
- EAP-AKA- EAP-AKA(身份验证和关键协议)身份验证机制通常用于包括通用移动电信系统(UMTS)和CDMA 2000在内的移动网络中
- EAP-GTC - EAP-GTC(通用令牌卡)类型使用清晰的文本方法来交换客户端和服务器之间的身份验证控件。由于身份验证机制使用一次令牌(由卡生成),因此这种凭证交换方法被认为是安全的。
- PEAP-受到保护的EAP(PEAP)是一种802.1X身份验证方法,它使用服务器端公钥证书用服务器对客户端进行身份验证。PEAP身份验证在客户端和身份验证服务器之间创建一个加密的SSL / TLS隧道。信息的交换被加密并存储在隧道中,以确保用户凭据保持安全。
- LEAP- LIGHTER LIGHTER可扩展身份验证协议(LEAP)使用Dynamic WEP密钥和客户端和RADIUS服务器之间的相互认证。
* .1x身份验证服务器有几种不同的选项。例如,Windows中的IAS。现在,许多控制器可以容纳用户数据库。这将消除用于身份验证目的的被定制框的需求。(不建议仅在大型部署中尝试小型部署。)
**在身份验证之前仅通过EAP流量。
