EAP:
0,扩展认证协议
1,一个灵活的传输协议,用来承载任意的认证信息(不包括认证方式)
2,直接运行在数据链路层,如ppp或以太网
3,支持多种类型认证
注:EAP 客户端---服务器之间一个协议
802.1x协议:客户端---NAD,承载电脑到交换机之间一段的一个二层的封装协议.
radius:NAD—服务器,承载交换机到radius服务器之间的一个三层的radius的封装协议.如下图.
交换机的作用:转来转去做封装;交换机收到电脑的包,把外层的802.1x的包去掉,封装成3层的radius报文.发给服务器.
前两者都把EAP封装.
请求者:路由器 交换机 pc
认证者:AP Sw Router
什么是802.1x协议?
pc和交换机之间的传输认证信息的二层封装协议.跑在以太网上就叫EAPoL
基于mac地址认证的.端口状态监控.
802.1x的特点?
802.1x 和AAA管理设备不一样
AAA管理设备是由NAS来认证,去radius服务器读取数据
而802.1x认证是由radius认证.
原因:ap和sw一般不适合做认证,ios小.
802.1x怎么工作?
严重声明:EAP的认证是客户一直到服务器之间的.
EAP的种类?
1,EAP-MD5
2,EAP-TLS
3,EAP-FAST
4,PEAP
EAP-MD5
场景:大量的有线交换机环境中使用.--pc接上来,sw就会给pc打招呼"你是否支持802.1x呀,你要提供xxx"
原理:通过MD5来保证密码安全性
特点:不是一个安全的协议
EAP-TLS
特点:
1,提供per packet私密性和完整性的保护.
2,提供了密钥交换机制
3,提供基于802.1x基于端口访问的证书认证.
4,每个客户端和服务器都要有证书,部署麻烦.
EAP-FAST(灵活的认证通过隧道)
特点:
1,使用TLS隧道保障用户私密性和完整性
2,不需要PKI为用户提供证书.(通过共享密钥实现安全.)
3,S针对每个C的密钥都是唯一的.这个密钥叫做PAC.
PEAP(保护的PEAP)
1,radius需要安装个人证书(服务器端证书)和证书服务器根证书,客户也建议安装
2,客户端也建议安装证书
3,能够实现域的一次性登陆.
类似于HTTPS加密
过程大致如下:
1) SSL客户端通过TCP和服务器建立连接之后(443端口),并且在一般的tcp连接协商(握手)过程中请求证书。
即客户端发出一个消息给服务器,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个数据包,这里面确定了这次通信所需要的算法,然后服务器向客户端返回证书。(证书里面包含了服务器信息:域名。申请证书的公司,公共秘钥)。
2)Client在收到服务器返回的证书后,判断签发这个证书的公共签发机构,并使用这个机构的公共秘钥确认签名是否有效,客户端还会确保证书中列出的域名就是它正在连接的域名。
3) 如果确认证书有效,那么生成对称秘钥并使用服务器的公共秘钥进行加密。然后发送给服务器,服务器使用它的私钥对它进行解密,这样两台计算机可以开始进行对称加密进行通信。
https通信的优点:
1)客户端产生的密钥只有客户端和服务器端能得到;
2)加密的数据只有客户端和服务器端才能得到明文;
3)客户端到服务端的通信是安全的。
Dot1x实验:
802.1x EAP-MD5认证配置步骤:
1,网络基本配置
2,AAA基本配置
3,3560 802.1x认证基本配置
4,xp测试
5,查看dot1x状态
AAA基本配置
R1(config)#aaa new-model
R1(config)#aaa authentication login noacs line none
R1(config)#line console 0
R1(config-line)#login authentication noacs
radius-server host 10.1.1.2 key cisco
test aaa group radius aaa aaa new-code
802.1x配置步骤:
1,创建dot1x认证策略(sw和server间用radius封装,不支持tacase)
aaa authentication dot1x default group radius
2,全局激活802.1x
dot1x system-auth-control
3,接口启用dot1x
interface FastEthernet0/1
sw mo access
switchport access vlan 2
dot1x port-control auto
软件说明:
radius:winradius
xp802.1x客户端:神州数码的dot1.x客户端
实验拓扑:
sundray 802.1x
两种都是二层认证:
证书认证(EAP-TLS)
用户名、密码认证(PEAP-MSCHAPv2)
EAP-TLS 认证要求服务器提供 (CA 证书和服务器证书) 证书认证
EAP-PEAP 要求提供服务器证书 用户名密码认证
无线新产品证书相关
我们设备里面的证书主要有三个用途:
1. CA 证书, 用于验证由该 CA 签发的用户证书;
2. 服务器证书 提供给客户端验证的, 告诉客户端你连接的这台就是你想要连接的而不是一台钓鱼机器(客户端验证服务器证书是可选的)
3. 设备证书 主要用于做 https 处理
sundray-wac 设备登陆使用。
在部署基于证书认证,且使用内置 CA 颁发用户证书的无线网络时,需要启用 "证书注册服务",使得 "自动配置工具" 能为用户自动申请并安装个人证书,才能完成无线网络的自动配置。
勾选了记住用户所使用凭据时,当用户第一次认证后,下次认证就不需要再次输入用户名和密码,无线网络会自动使用认证成功的用户名和密码登录。
验证服务器证书,当勾选时,需要配置下发内置 CA 中心到 PC 的受信任的根证书管理机构中,
服务器名称"tzm"也是可选的。
若服务器验证不通过, 根据安全需要来选择,为了防止钓鱼 AP,该选项需要勾选为"拒绝接入无线网络"