802.1X、MAC認證方式

接入認證:802.1X、Portal認證、MAC位址認證結合端口安全

802.1X是為了解決無線區域網路安全問題提出來的，後來被以太網廣泛應用 、2004年完成标準化

802.1X協定是一種基于端口的網絡接入控制協定

802.1X通常與radius配合使用對接入使用者的認證授權

802.1X技術可以擴充到基于MAC位址對使用者接入進行控制，對同一個實體口上的多個使用者分别進行認證控制

vlan最常用的劃分方式是基于端口劃分，該方式對于從同一端口進入的untagged封包添加相同的vlan标簽，同一vlan内進行轉發處理，一般場合用于固定的辦公環境

802.1X兩個端口角色:

1、非受控端口始終處于雙向連通狀态，主要用來傳遞EAPOL協定幀，保證用戶端始終能夠發出或接收認證封包，隻有在通過認證後才會切換到授權狀态

2、受控端口始終處于雙向連通狀态，用于傳遞業務封包，在非授權狀态下禁止從用戶端接收任何封包

EAP認證機制用于無線網，也可以用于有線區域網路

EAP封包四種消息 1 request  2 response  3 success  4 failure

<a href="https://s3.51cto.com/wyfs02/M00/8F/41/wKiom1jYykfAdk6JAAGRDXV8-K0221.jpg" target="_blank"></a>

用戶端必須支援EAPOL(區域網路上的可擴充認證協定)，802.1X認證系統使用EAP，來實作用戶端、裝置端和認證伺服器之間的認證資訊的交換，EAP協定封包使用EAPOL封裝格式，一種是EAPOR封裝格式承載于radius協定中，另一種是EAP協定封包由裝置進行終結

<a href="https://s3.51cto.com/wyfs02/M02/8E/2C/wKioL1i3y8-DdZriAAIPeiRreNA284.jpg" target="_blank"></a>

以上不足就是相對安全移動性差，MAC vlan就是彌補端口vlan不足點，基于源MAC位址決定給封包添加某個vlan的标簽，一般和802.1X聯合使用

802.1X配置

dot1x 開啟802.1X特性

dot1x interface g0/1 開啟端口的802.1X特性

dot1x authentication-method chap 設定802.1X認證方式

dot1x port-method 設定端口接入控制方式

dot1x guest-vlan 2 interface g0/24 指定來賓vlan和接口

vlan 10

local-user zhangsan

authorization-attribute vlan 10

MAC認證是一種基于端口和MAC位址對使用者通路權限進行控制的認證方式，不需要安裝任何用戶端軟體

MAC位址認證方式:

1、遠端radius認證

2、本地認證

mac-authentication 啟用全局的MAC位址認證

mac-authentication interface G0/0 啟動G0/0接口MAC位址認證

mac-authentication user-name-format fix aaa password simple 123456 配置MAC位址認證使用者名密碼

mac-authentication domain H3C 配置MAC認證使用者使用的認證域

MAC vlan優點:

1、能夠實作精确的接入控制，它能精确定義某個終端和VLAN的綁定關系，進而實作将指定終端的封包在指定vlan中轉發

2、能夠實作靈活的接入控制，同一終端通過不同端口接入裝置時，裝置會給終端配置設定相同的vlan

運作機制:當端口收到一個untagged封包後，以封包的源MAC位址為比對關鍵字，通過查找MACvlan表項來獲知該終端綁定的vlan，進而實作将指定的封包在指定的vlan中轉發

MAC vlan表項有兩種:靜态配置、動态配置

靜态配置:手工添加表項、工作量大

動态配置:基于MAC的接入認證，使用者會發起認證請求、認證伺服器會對認證使用者名和密碼進行驗證，如果通過，則會下發vlan資訊

應用限制:

1、MAC VLAN隻能在Hybrid端口使用

2、同一個mac位址隻能綁定一個vlan

3、采用動态方式配置MAC VLAN時需要結合AAA認證伺服器

4、建議不要在聚合成員端口配置MAC VLAN功能

mac-vlan mac-address 0000-dddd-cccc vlan 100

MAC位址表管理

包含裝置的端口号以及所屬的vlanid

在PC機上安裝INode智能管理用戶端

節約vlan資源、簡化網絡配置，安全可靠

端口安全：是一種基于MAC位址對網絡接入進行控制的安全機制，對802.1X認證和MAC位址認證的擴充

端口安全功能：讓裝置學習到合法的源MAC位址，已達到相應的網絡管理效果

配置端口安全需要關閉802.1X認證和MAC認證

port-security enable 開啟端口安全

port-security trap intrusion 打開入侵檢測trap開關

port-security max-mac-count 8 定義端口安全最大MAC的數量

port-security mode autolearn 定義端口安全模式

port-security intrusion-mode blockmac 觸發入侵檢測的動作

本文轉自 周小玉 51CTO部落格，原文連結：http://blog.51cto.com/maguangjie/1795964，如需轉載請自行聯系原作者