dot1x和RADIUS认证
什么是802.1X(dot1x)认证?
1. 基本概念
802.1X是一种基于端口的网络访问控制协议,它像一个"看门人"一样守在网络的入口处:
┌─────────────────────────────────────────┐ │ 802.1X认证示意图 │ ├─────────────────────────────────────────┤ │ 客户端设备 ───┐ │ │ │ │ │ 认证者 ├─ 1. 请求接入 │ │ (交换机) │ │ │ ├─ 2. 身份验证请求 │ │ 认证服务器 ├─ 3. 转发到RADIUS │ │ (RADIUS) │ │ │ ├─ 4. 验证通过/拒绝 │ │ 网络资源 └─ 5. 开放/关闭端口 │ └─────────────────────────────────────────┘2. 802.1X的三个角色
3. 802.1X的工作流程
1. 初始化:客户端连接到交换机端口 2. 开始:客户端发送EAPOL-Start帧 3. 请求身份:交换机发送EAP-Request/Identity 4. 响应身份:客户端发送用户名 5. 认证请求:交换机转发给RADIUS服务器 6. 挑战:RADIUS发送认证挑战(如密码验证) 7. 响应:客户端响应挑战 8. 认证结果:RADIUS返回成功/失败 9. 端口控制:交换机开放/关闭端口4. 802.1X的认证方式
认证方式 | 说明 | 安全级别 |
EAP-MD5 | 基于用户名密码 | 低(容易被破解) |
EAP-TLS | 基于数字证书 | 高(企业常用) |
EAP-PEAP | 隧道保护认证 | 中高(Wi-Fi常用) |
EAP-TTLS | 隧道保护认证 | 中高 |
RADIUS服务器
什么是RADIUS服务器?
1. RADIUS基本概念
RADIUS(Remote Authentication Dial-In User Service)是一个集中式的AAA协议:
- A:Authentic和ation(认证)→ 你是谁?
- A:Authorization(授权)→ 你能做什么?
- A:Accounting(计费)→ 你做了什么?
2. RADIUS服务器功能
┌─────────────────────────────────────┐ │ RADIUS服务器功能 │ ├─────────────────────────────────────┤ │ 1. 身份验证 ✅ │ │ - 验证用户名密码 │ │ - 验证数字证书 │ │ - 验证Token │ ├─────────────────────────────────────┤ │ 2. 授权控制 ✅ │ │ - 分配VLAN │ │ - 设置ACL │ │ - 限制访问时间 │ ├─────────────────────────────────────┤ │ 3. 计费记录 ✅ │ │ - 记录登录时间 │ │ - 记录流量使用 │ │ - 记录在线时长 │ └─────────────────────────────────────┘3. RADIUS工作流程
# 简化的RADIUS交互 交换机 -> RADIUS: "用户test要登录,密码是123" RADIUS -> 数据库: "查询用户test的信息" 数据库 -> RADIUS: "test的密码应该是456" RADIUS -> 交换机: "认证失败,密码错误" # 或 RADIUS -> 交换机: "认证成功,分配VLAN 10,允许访问"802.1X与RADIUS的关系
1. 协同工作关系
802.1X是"检查站",RADIUS是"指挥部" 比喻: ┌─────────────────────────────────────────┐ │ 网络接入安全检查 │ ├─────────────────────────────────────────┤ │ 802.1X(检查站): │ │ - "请出示证件"(要求认证) │ │ - "请在这里等待"(控制端口) │ │ - "可以通行"或"禁止通行"(端口控制) │ │ │ │ RADIUS(指挥部): │ │ - "验证证件真伪"(认证) │ │ - "告诉他可以去哪里"(授权VLAN) │ │ - "记录他的出入时间"(计费) │ └─────────────────────────────────────────┘2. 实际工作流程
3. 配置对应关系
# 交换机配置(体现关系) dot1x enable # 启用802.1X aaa authentication dot1x default group radius # 指定使用RADIUS认证 radius-server authentication host 192.168.100.200 # RADIUS服务器地址 radius-server key mysecret # 与RADIUS的共享密钥在企业网络中的应用
场景一:
场景:企业办公网络
需求:只有员工才能接入网络,访客需要单独认证
部署:
1. 所有交换机端口启用802.1X
2. 员工使用AD域账号认证(RADIUS与AD集成)
3. 认证成功后分配到相应部门的VLAN
4. 访客使用Portal认证或单独VLAN