[na]802.1x协议无线认证协议&dot1x有线认证实验

本小妞迷上赌 提交于 2020-03-31 09:15:19

以前搞无线时候,会涉及到无线client接入方式的认证协议. 认证方式+加密方式+有线的dot1x. 

注:以前都是doc粘贴到博客的,加上没写博客的习惯,因此会比较乱.

EAP(扩展认证协议)是什么?

0,扩展认证协议

1,一个灵活的传输协议,用来承载任意的认证信息(不包括认证方式)

2,直接运行在数据链路层,如ppp或以太网

3,支持多种类型认证

 

注:EAP 客户端---服务器之间一个协议

802.1x协议:客户端---NAD,承载电脑到交换机之间一段的一个二层的封装协议.

radius:NAD—服务器,承载交换机到radius服务器之间的一个三层的radius的封装协议.如下图.(交换机的作用:转来转去做封装;交换机收到电脑的包,把外层的802.1x的包去掉,封装成3层的radius报文.发给服务器.)

前两者都把EAP封装.

请求者:路由器 交换机 pc

认证者:AP Sw Router

 

什么是802.1x协议?

pc和交换机之间的传输认证信息的二层封装协议.跑在以太网上就叫EAPoL

基于mac地址认证的.端口状态监控.

802.1x的特点?

802.1x 和AAA管理设备不一样. AAA管理设备是由NAS来认证,去radius服务器读取数据,而802.1x认证是由radius认证.

原因:ap和sw一般不适合做认证,ios小.

802.1x怎么工作?

严重声明:EAP的认证是客户一直到服务器之间的.

 

EAP的种类?

1,EAP-MD5

2,EAP-TLS

3,EAP-FAST

4,PEAP

EAP-MD5

场景:大量的有线交换机环境中使用.--pc接上来,sw就会给pc打招呼"你是否支持802.1x呀,你要提供xxx"

原理:通过MD5来保证密码安全性

特点:不是一个安全的协议

EAP-TLS

特点:

1,提供per packet私密性和完整性的保护.

2,提供了密钥交换机制

3,提供基于802.1x基于端口访问的证书认证.

4,每个客户端和服务器都要有证书,部署麻烦.

EAP-FAST(灵活的认证通过隧道)

特点:

1,使用TLS隧道保障用户私密性和完整性

2,不需要PKI为用户提供证书.(通过共享密钥实现安全.)

3,S针对每个C的密钥都是唯一的.这个密钥叫做PAC.

PEAP(保护的PEAP)

1,radius需要安装个人证书(服务器端证书)和证书服务器根证书,客户也建议安装

2,客户端也建议安装证书

3,能够实现域的一次性登陆.

类似于HTTPS加密

过程大致如下:

1) SSL客户端通过TCP和服务器建立连接之后(443端口),并且在一般的tcp连接协商(握手)过程中请求证书。

即客户端发出一个消息给服务器,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个数据包,这里面确定了这次通信所需要的算法,然后服务器向客户端返回证书。(证书里面包含了服务器信息:域名。申请证书的公司,公共秘钥)。                 

2)Client在收到服务器返回的证书后,判断签发这个证书的公共签发机构,并使用这个机构的公共秘钥确认签名是否有效,客户端还会确保证书中列出的域名就是它正在连接的域名。

3)  如果确认证书有效,那么生成对称秘钥并使用服务器的公共秘钥进行加密。然后发送给服务器,服务器使用它的私钥对它进行解密,这样两台计算机可以开始进行对称加密进行通信。

https通信的优点:

1)客户端产生的密钥只有客户端和服务器端能得到;

2)加密的数据只有客户端和服务器端才能得到明文;

3)客户端到服务端的通信是安全的。

Dot1x实验:

802.1x EAP-MD5认证配置步骤:

1,网络基本配置

2,AAA基本配置

3,3560 802.1x认证基本配置

4,xp测试

5,查看dot1x状态

AAA基本配置

R1(config)#aaa new-model

R1(config)#aaa authentication login noacs line none

R1(config)#line console 0

R1(config-line)#login authentication noacs

radius-server host 10.1.1.2 key cisco

test aaa group radius aaa aaa new-code

802.1x配置步骤:

1,创建dot1x认证策略(sw和server间用radius封装,不支持tacase)

aaa authentication dot1x default group radius

 

2,全局激活802.1x

dot1x system-auth-control

 

3,接口启用dot1x

interface FastEthernet0/1

sw mo access

switchport access vlan 2

dot1x port-control auto

 

软件说明:

radius:winradius

xp802.1x客户端:神州数码的dot1.x客户端

实验拓扑:

 

某厂商802.1x认证协议使用小结

两种都是二层认证:
证书认证(EAP-TLS)
用户名、密码认证(PEAP-MSCHAPv2)

EAP-TLS 认证要求服务器提供(CA 证书和服务器证书) 证书认证
EAP-PEAP 要求提供服务器证书 用户名密码认证

无线新产品证书类型(我们无线设备里面的证书主要有三个用途)

1.CA 证书 用于验证由该 CA 签发的用户证书;

2.服务器证书 提供给客户端验证的, 告诉客户端你连接的这台就是你想要连接的而不是一台钓鱼机器(客户端验证服务器证书是可选的)

3.设备证书 主要用于做 https 处理

某厂商-wac 设备登陆使用。

 配置选项说明

在部署基于证书认证,且使用内置 CA 颁发用户证书的无线网络时,需要启用 "证书注册服务",使得 "自动配置工具" 能为用户自动申请并安装个人证书,才能完成无线网络的自动配置。

勾选了记住用户所使用凭据时,当用户第一次认证后,下次认证就不需要再次输入用户名和密码,无线网络会自动使用认证成功的用户名和密码登录。

验证服务器证书,当勾选时,需要配置下发内置 CA 中心到 PC 的受信任的根证书管理机构中,

服务器名称"xxx"也是可选的。

若服务器验证不通过,根据安全需要来选择,为了防止钓鱼 AP,该选项需要勾选为"拒绝接入无线网络"

 

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!