802.1X
IEEE802 LAN/WAN委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題,提出了802.1X協(xié)議�。后來�,802.1X協(xié)議作為局域網(wǎng)端口的一個普通接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用,主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。
802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議(port based network access control protocol)�。“基于端口的網(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證,就可以訪問局域網(wǎng)中的資源;如果不能通過認(rèn)證�,則無法訪問局域網(wǎng)中的資源���。
802.1X的體系結(jié)構(gòu)
802.1X系統(tǒng)為典型的Client/Server結(jié)構(gòu)����,如圖 1所示����,包括三個實(shí)體:客戶端(Client)、設(shè)備端(Device)和認(rèn)證服務(wù)器(Server)�����。
圖 1 802.1X認(rèn)證系統(tǒng)的體系結(jié)構(gòu)
l 客戶端是位于局域網(wǎng)段一端的一個實(shí)體���,由該鏈路另一端的設(shè)備端對其進(jìn)行認(rèn)證��?���?蛻舳艘话銥橐粋€用戶終端設(shè)備,用戶可以通過啟動客戶端軟件發(fā)起802.1X認(rèn)證��??蛻舳吮仨氈С諩APOL(Extensible Authentication Protocol over LAN�����,局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議)���。
l 設(shè)備端是位于局域網(wǎng)段一端的另一個實(shí)體����,對所連接的客戶端進(jìn)行認(rèn)證��。設(shè)備端通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備�����,它為客戶端提供接入局域網(wǎng)的端口��,該端口可以是物理端口,也可以是邏輯端口�。
l 認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器用于實(shí)現(xiàn)對用戶進(jìn)行認(rèn)證���、授權(quán)和計(jì)費(fèi)�����,通常為RADIUS(Remote Authentication Dial-In User Service��,遠(yuǎn)程認(rèn)證撥號用戶服務(wù))服務(wù)器���。
802.1X認(rèn)證系統(tǒng)使用EAP(Extensible Authentication Protocol,可擴(kuò)展認(rèn)證協(xié)議)����,來實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換���。
l 在客戶端與設(shè)備端之間�����,EAP協(xié)議報文使用EAPOL封裝格式��,直接承載于LAN環(huán)境中����。
l 在設(shè)備端與RADIUS服務(wù)器之間,可以使用兩種方式來交換信息����。一種是EAP協(xié)議報文由設(shè)備端進(jìn)行中繼,使用EAPOR(EAP over RADIUS)封裝格式承載于RADIUS協(xié)議中���;另一種是EAP協(xié)議報文由設(shè)備端進(jìn)行終結(jié),采用包含PAP(Password Authentication Protocol����,密碼驗(yàn)證協(xié)議)或CHAP(Challenge Handshake Authentication Protocal,質(zhì)詢握手驗(yàn)證協(xié)議)屬性的報文與RADIUS服務(wù)器進(jìn)行認(rèn)證交互�。
1. 受控/非受控端口
設(shè)備端為客戶端提供接入局域網(wǎng)的端口,這個端口被劃分為兩個邏輯端口:受控端口和非受控端口��。任何到達(dá)該端口的幀�,在受控端口與非受控端口上均可見。
l 非受控端口始終處于雙向連通狀態(tài)���,主要用來傳遞EAPOL協(xié)議幀�,保證客戶端始終能夠發(fā)出或接收認(rèn)證報文。
l 受控端口在授權(quán)狀態(tài)下處于雙向連通狀態(tài)���,用于傳遞業(yè)務(wù)報文�����;在非授權(quán)狀態(tài)下禁止從客戶端接收任何報文�����。
2. 授權(quán)/非授權(quán)狀態(tài)
設(shè)備端利用認(rèn)證服務(wù)器對需要接入局域網(wǎng)的客戶端執(zhí)行認(rèn)證�,并根據(jù)認(rèn)證結(jié)果(Accept或Reject)對受控端口的授權(quán)/非授權(quán)狀態(tài)進(jìn)行相應(yīng)地控制��。
圖 2顯示了受控端口上不同的授權(quán)狀態(tài)對通過該端口報文的影響�。圖中對比了兩個802.1X認(rèn)證系統(tǒng)的端口狀態(tài)。系統(tǒng)1的受控端口處于非授權(quán)狀態(tài)(相當(dāng)于端口開關(guān)打開)�����,系統(tǒng)2的受控端口處于授權(quán)狀態(tài)(相當(dāng)于端口開關(guān)關(guān)閉)����。
圖 2 受控端口上授權(quán)狀態(tài)的影響
用戶可以通過在端口下配置的接入控制的模式來控制端口的授權(quán)狀態(tài)。端口支持以下三種接入控制模式:
l 強(qiáng)制授權(quán)模式(authorized-force):表示端口始終處于授權(quán)狀態(tài)����,允許用戶不經(jīng)認(rèn)證授權(quán)即可訪問網(wǎng)絡(luò)資源�。
l 強(qiáng)制非授權(quán)模式(unauthorized-force):表示端口始終處于非授權(quán)狀態(tài)��,不允許用戶進(jìn)行認(rèn)證���。設(shè)備端不對通過該端口接入的客戶端提供認(rèn)證服務(wù)�����。
l 自動識別模式(auto):表示端口初始狀態(tài)為非授權(quán)狀態(tài)�����,僅允許EAPOL報文收發(fā),不允許用戶訪問網(wǎng)絡(luò)資源�;如果認(rèn)證通過,則端口切換到授權(quán)狀態(tài)�,允許用戶訪問網(wǎng)絡(luò)資源。這也是最常見的情況���。
3. 受控方向
在非授權(quán)狀態(tài)下�����,受控端口可以被設(shè)置成單向受控和雙向受控���。
l 實(shí)行雙向受控時����,禁止幀的發(fā)送和接收��;
l 實(shí)行單向受控時�,禁止從客戶端接收幀,但允許向客戶端發(fā)送幀����。
EAPOL消息的封裝
1. EAPOL數(shù)據(jù)包的格式
EAPOL是802.1X協(xié)議定義的一種報文封裝格式,主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報文�,以允許EAP協(xié)議報文在LAN上傳送。EAPOL數(shù)據(jù)包的格式如圖 3所示��。
圖 3 EAPOL數(shù)據(jù)包格式
PAE Ethernet Type:表示協(xié)議類型���,為0x888E�����。
Protocol Version:表示EAPOL幀的發(fā)送方所支持的協(xié)議版本號�。
Type:表示EAPOL數(shù)據(jù)幀類型,目前設(shè)備上支持的數(shù)據(jù)類型見表 1���。
表 1 EAPOL數(shù)據(jù)類型
|
類型
|
說明
|
|
EAP-Packet(值為0x00):認(rèn)證信息幀�,用于承載認(rèn)證信息
|
該幀在設(shè)備端重新封裝并承載于RADIUS協(xié)議上�,便于穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器
|
|
EAPOL-Start(值為0x01):認(rèn)證發(fā)起幀
|
這兩種類型的幀僅在客戶端和設(shè)備端之間存在
|
|
EAPOL-Logoff(值為0x02):退出請求幀
|
Length:表示數(shù)據(jù)長度,也就是“Packet Body”字段的長度�����,單位為字節(jié)�。如果為0,則表示沒有后面的數(shù)據(jù)域�����。
Packet Body:表示數(shù)據(jù)內(nèi)容����,根據(jù)不同的Type有不同的格式�����。
2. EAP數(shù)據(jù)包的格式
當(dāng)EAPOL數(shù)據(jù)包格式Type域?yàn)镋AP-Packet時���,Packet Body為EAP數(shù)據(jù)包結(jié)構(gòu)�,如圖 4所示。
圖 4 EAP數(shù)據(jù)包格式
Code:指明EAP包的類型���,共有4種:Request�����、Response�、Success�、Failure。
l Success和Failure類型的包沒有Data域�����,相應(yīng)的Length域的值為4�����。
l Request和Response類型數(shù)據(jù)包的Data域的格式如圖 5所示��。Type為EAP的認(rèn)證類型�,Type data的內(nèi)容由類型決定。例如�,Type值為1時代表Identity�����,用來查詢對方的身份�����;Type值為4時����,代表MD5-Challenge���,類似于PPP CHAP協(xié)議��,包含質(zhì)詢消息�����。
圖 5 Request和Response類型數(shù)據(jù)包的Data域的格式
Identifier:用于匹配Request消息和Response消息��。
Length:EAP包的長度,包含Code�、Identifier、Length和Data域�,單位為字節(jié)���。
Data:EAP包的內(nèi)容,由Code類型決定�。
RADIUS為支持EAP認(rèn)證增加了兩個屬性:EAP-Message(EAP消息)和Message-Authenticator(消息認(rèn)證碼)。
1. EAP-Message
如圖 6所示�,這個屬性用來封裝EAP數(shù)據(jù)包,類型代碼為79����,String域最長253字節(jié),如果EAP數(shù)據(jù)包長度大于253字節(jié)�����,可以對其進(jìn)行分片����,依次封裝在多個EAP-Message屬性中。
圖 6 EAP-Message屬性封裝
2. Message-Authenticator
如圖 7所示�����,這個屬性用于在使用EAP���、CHAP等認(rèn)證方法的過程中�����,避免接入請求包被竊聽�。在含有EAP-Message屬性的數(shù)據(jù)包中,必須同時也包含Message-Authenticator�����,否則該數(shù)據(jù)包會被認(rèn)為無效而被丟棄����。
圖 7 Message-Authenticator屬性
802.1X的認(rèn)證觸發(fā)方式
802.1X的認(rèn)證過程可以由客戶端主動發(fā)起,也可以由設(shè)備端發(fā)起��。設(shè)備支持的認(rèn)證觸發(fā)方式包括以下兩種:
1. 客戶端主動觸發(fā)方式
客戶端主動向設(shè)備端發(fā)送EAPOL-Start報文來觸發(fā)認(rèn)證�,該報文目的地址為IEEE 802.1X協(xié)議分配的一個組播MAC地址:01-80-C2-00-00-03。
另外�����,由于網(wǎng)絡(luò)中有些設(shè)備不支持上述的組播報文�,使得認(rèn)證設(shè)備無法收到客戶端的認(rèn)證請求,因此設(shè)備端還支持廣播觸發(fā)方式��,即,可以接收客戶端發(fā)送的目的地址為廣播MAC地址的EAPOL-Start報文�。這種觸發(fā)方式需要H3C
iNode的802.1X客戶端的配合�����。
2. 設(shè)備端主動觸發(fā)方式
設(shè)備會每隔N秒(例如30秒)主動向客戶端發(fā)送EAP-Request/Identity報文來觸發(fā)認(rèn)證�����,這種觸發(fā)方式用于支持不能主動發(fā)送EAPOL-Start報文的客戶端����,例如Windows XP自帶的802.1X客戶端。
802.1X系統(tǒng)支持EAP中繼方式和EAP終結(jié)方式與遠(yuǎn)端RADIUS服務(wù)器交互完成認(rèn)證��。以下關(guān)于兩種認(rèn)證方式的過程描述��,都以客戶端主動發(fā)起認(rèn)證為例��。
1. EAP中繼方式
這種方式是IEEE 802.1X標(biāo)準(zhǔn)規(guī)定的�����,將EAP(可擴(kuò)展認(rèn)證協(xié)議)承載在其它高層協(xié)議中����,如EAP over RADIUS�,以便擴(kuò)展認(rèn)證協(xié)議報文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器�。一般來說,EAP中繼方式需要RADIUS服務(wù)器支持EAP屬性:EAP-Message和Message-Authenticator����,分別用來封裝EAP報文及對攜帶EAP-Message的RADIUS報文進(jìn)行保護(hù)。
下面以EAP-MD5方式為例介紹基本業(yè)務(wù)流程����,如圖 8所示。
圖 8 IEEE 802.1X認(rèn)證系統(tǒng)的EAP中繼方式業(yè)務(wù)流程
認(rèn)證過程如下:
(1) 當(dāng)用戶有訪問網(wǎng)絡(luò)需求時打開802.1X客戶端程序��,輸入已經(jīng)申請���、登記過的用戶名和密碼�,發(fā)起連接請求(EAPOL-Start報文)�����。此時��,客戶端程序?qū)l(fā)出請求認(rèn)證的報文給設(shè)備端�����,開始啟動一次認(rèn)證過程。
(2) 設(shè)備端收到請求認(rèn)證的數(shù)據(jù)幀后���,將發(fā)出一個請求幀(EAP-Request/Identity報文)要求用戶的客戶端程序發(fā)送輸入的用戶名。
(3) 客戶端程序響應(yīng)設(shè)備端發(fā)出的請求�,將用戶名信息通過數(shù)據(jù)幀(EAP-Response/Identity報文)發(fā)送給設(shè)備端。設(shè)備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后(RADIUS Access-Request報文)送給認(rèn)證服務(wù)器進(jìn)行處理�。
(4) RADIUS服務(wù)器收到設(shè)備端轉(zhuǎn)發(fā)的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表對比���,找到該用戶名對應(yīng)的密碼信息���,用隨機(jī)生成的一個加密字對它進(jìn)行加密處理,同時也將此加密字通過RADIUS Access-Challenge報文發(fā)送給設(shè)備端�����,由設(shè)備端轉(zhuǎn)發(fā)給客戶端程序�����。
(5) 客戶端程序收到由設(shè)備端傳來的加密字(EAP-Request/MD5 Challenge報文)后���,用該加密字對密碼部分進(jìn)行加密處理(此種加密算法通常是不可逆的)����,生成EAP-Response/MD5 Challenge報文,并通過設(shè)備端傳給認(rèn)證服務(wù)器�。
(6) RADIUS服務(wù)器將收到的已加密的密碼信息(RADIUS Access-Request報文)和本地經(jīng)過加密運(yùn)算后的密碼信息進(jìn)行對比,如果相同�,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息(RADIUS Access-Accept報文和EAP-Success報文)�。
(7) 設(shè)備收到認(rèn)證通過消息后將端口改為授權(quán)狀態(tài),允許用戶通過端口訪問網(wǎng)絡(luò)��。在此期間����,設(shè)備端會通過向客戶端定期發(fā)送握手報文的方法,對用戶的在線情況進(jìn)行監(jiān)測�����。缺省情況下��,兩次握手請求報文都得不到客戶端應(yīng)答�����,設(shè)備端就會讓用戶下線,防止用戶因?yàn)楫惓T蛳戮€而設(shè)備無法感知�����。
(8) 客戶端也可以發(fā)送EAPOL-Logoff報文給設(shè)備端����,主動要求下線。設(shè)備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)��,并向客戶端發(fā)送EAP-Failure報文�����。
2. EAP終結(jié)方式
這種方式將EAP報文在設(shè)備端終結(jié)并映射到RADIUS報文中��,利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證�����、授權(quán)和計(jì)費(fèi)���。設(shè)備端與RADIUS服務(wù)器之間可以采用PAP或者CHAP認(rèn)證方法。以下以CHAP認(rèn)證方法為例介紹基本業(yè)務(wù)流程����,如圖 9所示����。
圖 9 IEEE 802.1X認(rèn)證系統(tǒng)的EAP終結(jié)方式業(yè)務(wù)流程
EAP終結(jié)方式與EAP中繼方式的認(rèn)證流程相比���,不同之處在于用來對用戶密碼信息進(jìn)行加密處理的隨機(jī)加密字由設(shè)備端生成���,之后設(shè)備端會把用戶名、隨機(jī)加密字和客戶端加密后的密碼信息一起送給RADIUS服務(wù)器��,進(jìn)行相關(guān)的認(rèn)證處理����。
設(shè)備不僅支持協(xié)議所規(guī)定的基于端口的接入認(rèn)證方式,還對其進(jìn)行了擴(kuò)展����、優(yōu)化,支持基于MAC的接入控制方式���。
l 當(dāng)采用基于端口的接入控制方式時�����,只要該端口下的第一個用戶認(rèn)證成功后��,其它接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源��,但是當(dāng)?shù)谝粋€用戶下線后�����,其它用戶也會被拒絕使用網(wǎng)絡(luò)��。
l 采用基于MAC的接入控制方式時���,該端口下的所有接入用戶均需要單獨(dú)認(rèn)證�,當(dāng)某個用戶下線時�����,也只有該用戶無法使用網(wǎng)絡(luò)���。
802.1X認(rèn)證過程中會啟動多個定時器以控制接入用戶、設(shè)備以及RADIUS服務(wù)器之間進(jìn)行合理���、有序的交互���。802.1X的定時器主要有以下幾種:
l 用戶名請求超時定時器(tx-period):該定時器定義了兩個時間間隔���。其一,當(dāng)設(shè)備端向客戶端發(fā)送EAP-Request/Identity請求報文后����,設(shè)備端啟動該定時器,若在tx-period設(shè)置的時間間隔內(nèi)��,設(shè)備端沒有收到客戶端的響應(yīng)�����,則設(shè)備端將重發(fā)認(rèn)證請求報文�;其二,為了兼容不主動發(fā)送EAPOL-Start連接請求報文的客戶端�����,設(shè)備會定期組播EAP-Request/Identity請求報文來檢測客戶端��。tx-period定義了該組播報文的發(fā)送時間間隔��。
l 客戶端認(rèn)證超時定時器(supp-timeout):當(dāng)設(shè)備端向客戶端發(fā)送了EAP-Request/MD5 Challenge請求報文后,設(shè)備端啟動此定時器�����,若在該定時器設(shè)置的時長內(nèi)�����,設(shè)備端沒有收到客戶端的響應(yīng)�,設(shè)備端將重發(fā)該報文。
l 認(rèn)證服務(wù)器超時定時器(server-timeout):當(dāng)設(shè)備端向認(rèn)證服務(wù)器發(fā)送了RADIUS Access-Request請求報文后�,設(shè)備端啟動server-timeout定時器,若在該定時器設(shè)置的時長內(nèi)�����,設(shè)備端沒有收到認(rèn)證服務(wù)器的響應(yīng)����,設(shè)備端將重發(fā)認(rèn)證請求報文�����。
l 握手定時器(handshake-period):此定時器是在用戶認(rèn)證成功后啟動的����,設(shè)備端以此間隔為周期發(fā)送握手請求報文����,以定期檢測用戶的在線情況����。如果配置發(fā)送次數(shù)為N,則當(dāng)設(shè)備端連續(xù)N次沒有收到客戶端的響應(yīng)報文����,就認(rèn)為用戶已經(jīng)下線。
l 靜默定時器(quiet-period):對用戶認(rèn)證失敗以后����,設(shè)備端需要靜默一段時間(該時間由靜默定時器設(shè)置),在靜默期間��,設(shè)備端不處理該用戶的認(rèn)證請求���。
l 周期性重認(rèn)證定時器(reauth-period):如果端口下開啟了周期性重認(rèn)證功能��,設(shè)備端以此定時器設(shè)置的時間間隔為周期對該端口在線用戶發(fā)起重認(rèn)證���。
和802.1X配合使用的特性
1. VLAN下發(fā)
802.1X用戶在服務(wù)器上通過認(rèn)證時���,服務(wù)器會把授權(quán)信息傳送給設(shè)備端。如果服務(wù)器上配置了下發(fā)VLAN功能��,則授權(quán)信息中含有授權(quán)下發(fā)的VLAN信息����,設(shè)備根據(jù)用戶認(rèn)證上線的端口鏈路類型,按以下三種情況將端口加入下發(fā)VLAN中�����。
l 端口的鏈路類型為Access����,當(dāng)前Access端口離開用戶配置的VLAN并加入授權(quán)下發(fā)的VLAN中。
l 端口的鏈路類型為Trunk��,設(shè)備允許授權(quán)下發(fā)的VLAN通過當(dāng)前Trunk端口�,并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID。
l 端口的鏈路類型為Hybrid�,設(shè)備允許授權(quán)下發(fā)的VLAN以不攜帶Tag的方式通過當(dāng)前Hybrid端口,并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID���。需要注意的是�,若當(dāng)前Hybrid端口上配置了基于MAC的VLAN����,則設(shè)備將根據(jù)認(rèn)證服務(wù)器下發(fā)的授權(quán)VLAN動態(tài)地創(chuàng)建基于用戶MAC的VLAN,而端口的缺省VLAN ID并不改變����。
授權(quán)下發(fā)的VLAN并不改變端口的配置,也不影響端口的配置����。但是,授權(quán)下發(fā)的VLAN的優(yōu)先級高于用戶配置的VLAN���,即通過認(rèn)證后起作用的VLAN是授權(quán)下發(fā)的VLAN����,用戶配置的VLAN在用戶下線后生效�����。
2. Guest VLAN
Guest VLAN功能允許用戶在未認(rèn)證的情況下��,可以訪問某一特定VLAN中的資源�����,比如獲取客戶端軟件,升級客戶端或執(zhí)行其他一些用戶升級程序�����。這個VLAN稱之為Guest VLAN��。
根據(jù)端口的接入控制方式不同���,可以將Guest VLAN劃分基于端口的Guest VLAN和基于MAC的Guest VLAN��。
(1) PGV(Port-based Guest VLAN)
在接入控制方式為portbased的端口上配置的Guest VLAN稱為PGV��。若在一定的時間內(nèi)(默認(rèn)90秒)����,配置了PGV的端口上無客戶端進(jìn)行認(rèn)證����,則該端口將被加入Guest VLAN,所有在該端口接入的用戶將被授權(quán)訪問Guest VLAN里的資源���。端口加入Guest VLAN的情況與加入授權(quán)下發(fā)VLAN相同����,與端口鏈路類型有關(guān)����。
當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且失敗時:如果端口配置了Auth-Fail VLAN,則該端口會被加入Auth-Fail VLAN�;如果端口未配置Auth-Fail VLAN,則該端口仍然處于Guest VLAN內(nèi)��。關(guān)于Auth-Fail VLAN的具體介紹請參見“3. Auth-Fail VLAN”�����。
當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且成功時��,端口會離開Guest VLAN��,之后端口加入VLAN情況與認(rèn)證服務(wù)器是否下發(fā)VLAN有關(guān)�����,具體如下:
l 若認(rèn)證服務(wù)器下發(fā)VLAN���,則端口加入下發(fā)的VLAN中�����。用戶下線后����,端口離開下發(fā)的VLAN回到初始VLAN中,該初始VLAN為端口加入Guest VLAN之前所在的VLAN�。
l 若認(rèn)證服務(wù)器未下發(fā)VLAN,則端口回到初始VLAN中���。用戶下線后����,端口仍在該初始VLAN中��。
(2) MGV(MAC-based Guest VLAN)
在接入控制方式為macbased的端口上配置的Guest VLAN稱為MGV����。配置了MGV的端口上未認(rèn)證的用戶被授權(quán)訪問Guest VLAN里的資源。
當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且失敗時:如果端口配置了Auth-Fail VLAN���,則認(rèn)證失敗的用戶將被加入Auth-Fail VLAN����;如果端口未配置Auth-Fail VLAN,則該用戶將仍然處于Guest VLAN內(nèi)�。
當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且成功時,設(shè)備會根據(jù)認(rèn)證服務(wù)器是否下發(fā)VLAN決定將該用戶加入到下發(fā)的VLAN中���,或回到加入Guest VLAN之前端口所在的初始VLAN���。
Auth-Fail VLAN功能允許用戶在認(rèn)證失敗的情況下可以訪問某一特定VLAN中的資源��,這個VLAN稱之為Auth-Fail VLAN���。需要注意的是��,這里的認(rèn)證失敗是認(rèn)證服務(wù)器因某種原因明確拒絕用戶認(rèn)證通過�,比如用戶密碼錯誤���,而不是認(rèn)證超時或網(wǎng)絡(luò)連接等原因造成的認(rèn)證失敗��。
與Guest VLAN類似�,根據(jù)端口的接入控制方式不同�����,可以將Auth-Fail VLAN劃分為基于端口的Auth-Fail VLAN和基于MAC的Auth-Fail VLAN。
(1) PAFV(Port-based Auth-Fail VLAN)
在接入控制方式為portbased的端口上配置的Auth-Fail VLAN稱為PAFV���。在配置了PAFV的端口上��,若有用戶認(rèn)證失敗��,則該端口會被加入到Auth-Fail VLAN���,所有在該端口接入的用戶將被授權(quán)訪問Auth-Fail VLAN里的資源。端口加入Auth-Fail VLAN的情況與加入授權(quán)下發(fā)VLAN相同���,與端口鏈路類型有關(guān)��。
當(dāng)端口上處于Auth-Fail VLAN中的用戶再次發(fā)起認(rèn)證時:如果認(rèn)證失敗����,則該端口將會仍然處于Auth-Fail VLAN內(nèi)�;如果認(rèn)證成功,則該端口會離開Auth-Fail VLAN���,之后端口加入VLAN情況與認(rèn)證服務(wù)器是否下發(fā)VLAN有關(guān)����,具體如下:
l 若認(rèn)證服務(wù)器下發(fā)VLAN,則端口加入下發(fā)的VLAN中�����。用戶下線后����,端口會離開下發(fā)的VLAN回到初始VLAN中,該初始VLAN為端口加入任何授權(quán)VLAN之前所在的VLAN��。
l 若認(rèn)證服務(wù)器未下發(fā)VLAN�����,則端口回到初始VLAN中���。用戶下線后,端口仍在該初始VLAN中�����。
(2) MAFV(MAC-based Auth-Fail VLAN)
在接入控制方式為macbased的端口上配置的Auth-Fail VLAN稱為MAFV�����。在配置了MAFV的端口上,認(rèn)證失敗的用戶將被授權(quán)訪問Auth-Fail VLAN里的資源�����。
當(dāng)Auth-Fail VLAN中的用戶再次發(fā)起認(rèn)證時�,如果認(rèn)證成功,則設(shè)備會根據(jù)認(rèn)證服務(wù)器是否下發(fā)VLAN決定將該用戶加入到下發(fā)的VLAN中����,或回到加入Auth-Fail VLAN之前端口所在的初始VLAN。
4. ACL下發(fā)
ACL(Access Control List���,訪問控制列表)提供了控制用戶訪問網(wǎng)絡(luò)資源和限制用戶訪問權(quán)限的功能���。當(dāng)用戶上線時,如果RADIUS服務(wù)器上配置了授權(quán)ACL���,則設(shè)備會根據(jù)服務(wù)器下發(fā)的授權(quán)ACL對用戶所在端口的數(shù)據(jù)流進(jìn)行控制���;在服務(wù)器上配置授權(quán)ACL之前,需要在設(shè)備上配置相應(yīng)的規(guī)則�。管理員可以通過改變服務(wù)器的授權(quán)ACL設(shè)置或設(shè)備上對應(yīng)的ACL規(guī)則來改變用戶的訪問權(quán)限����。
5. 指定端口的強(qiáng)制認(rèn)證域
指定端口的強(qiáng)制認(rèn)證域(mandatory domain)為802.1X接入提供了一種安全控制策略��。所有從該端口接入的802.1X用戶將被強(qiáng)制使用該認(rèn)證域來進(jìn)行認(rèn)證��、授權(quán)和計(jì)費(fèi)����,可以防止用戶通過惡意假冒其它域賬號來接入網(wǎng)絡(luò)。
另外�,對于采用證書的EAP中繼方式的802.1X認(rèn)證來說,接入用戶的客戶端證書決定了用戶的域名�����。因此���,即使所有端口上客戶端的用戶證書隸屬于同一證書頒發(fā)機(jī)構(gòu),即輸入的用戶域名相同���,管理員也可以通過配置強(qiáng)制認(rèn)證域?qū)Σ煌丝谥付ú煌恼J(rèn)證域�,從而增加了管理員部署802.1X接入策略的靈活性�。
802.1X支持EAD快速部署配置
EAD(Endpoint Admission Defense�����,端點(diǎn)準(zhǔn)入防御)作為一個網(wǎng)絡(luò)端點(diǎn)接入控制方案���,它通過安全客戶端、安全策略服務(wù)器����、接入設(shè)備以及第三方服務(wù)器的聯(lián)動,加強(qiáng)了對用戶的集中管理��,提升了網(wǎng)絡(luò)的整體防御能力����。但是在實(shí)際的應(yīng)用過程中EAD客戶端的部署工作量很大,例如���,需要網(wǎng)絡(luò)管理員手動為每一個EAD客戶端下載��、升級客戶端軟件���,這在EAD客戶端數(shù)目較多的情況下給管理員帶來了操作上的不便。
802.1X認(rèn)證支持的EAD快速部署就可以解決以上問題���,可為所有接入網(wǎng)絡(luò)的終端用戶提供自動下載并安裝EAD客戶端的方便途徑����。
802.1X支持的EAD快速部署是通過以下兩個功能的配合工作實(shí)現(xiàn)的:
(1) 用戶受限訪問
802.1X認(rèn)證成功之前(包括認(rèn)證失敗)�,終端用戶只能訪問一個特定的IP地址段。該IP地址段中可以配置一個或多個特定服務(wù)器����,用于提供EAD客戶端的下載升級或者動態(tài)地址分配等服務(wù)。
(2) 用戶HTTP訪問URL重定向
終端用戶在802.1X認(rèn)證成功之前(包括認(rèn)證失?���。绻褂脼g覽器訪問網(wǎng)絡(luò)�,設(shè)備會將用戶訪問的URL重定向到已配置的URL(例如,重定向到EAD客戶端下載界面)�����,這樣只要用戶打開瀏覽器��,就必須進(jìn)入管理員預(yù)設(shè)的界面�。提供重定向URL的服務(wù)器必須位于用戶受限訪問的特定網(wǎng)段內(nèi)��。
