实战 802.1X及aaa 认证

### 实战802.1X及AAA认证详解 #### 一、802.1X端口认证原理概述 IEEE 802.1X标准最初是为了支持无线局域网（WLAN）的安全接入而设计的一种认证机制，但随着时间的发展，它也被广泛应用于有线局域网（LAN），用于实现基于交换机端口的用户认证过程。802.1X是一种客户端到服务器的访问控制和认证协议，其主要目的是确保只有经过认证的用户才能接入到网络中。 ##### 关键概念： 1. **客户机**：发起网络访问请求的终端设备，通常是一台安装了兼容802.1X软件的工作站，例如运行Windows XP的操作系统。 2. **认证服务器**：执行实际的认证操作，并将结果反馈给交换机。认证服务器通常只支持RADIUS和EAP（Extensible Authentication Protocol）两种协议。 3. **交换机**：作为客户机和认证服务器之间的中介，根据用户是否通过认证来决定用户的网络访问权限。在认证过程中，交换机负责处理EAP帧的封装和解封装。 #### 二、802.1X认证流程 当交换机启用802.1X端口认证后，端口会首先处于“未授权”状态。此时，只有特定类型的流量（如EAPOL、CDP和STP等）被允许通过。一旦客户机通过认证，端口状态会变为“授权”，允许所有常规流量传输。 ##### 认证流程步骤： 1. **客户机发起认证请求**：客户机发送EAPOL帧到交换机。 2. **交换机转发请求至认证服务器**：交换机将EAPOL帧中的EAP帧重新封装为RADIUS格式，并转发给认证服务器。 3. **认证服务器处理认证**：认证服务器验证客户机的身份，并返回认证结果给交换机。 4. **交换机处理认证结果**：根据认证服务器的反馈，交换机更新端口的状态（授权或未授权）。 5. **授权后的网络访问**：认证成功的客户机可以正常访问网络资源。 #### 三、交换机端口状态管理 在802.1X认证过程中，交换机端口的状态至关重要。主要有以下三种端口状态： 1. **强制授权（Force-Authorized）**：端口默认处于授权状态，即使未进行认证也能访问网络资源。 2. **强制未授权（Force-Unauthorized）**：端口始终处于未授权状态，不允许任何流量通过。 3. **自动（Auto）**：端口初始状态为未授权，等待客户机发起认证请求并通过认证后转变为授权状态。 此外，还可以设置端口为“单一主机”或“多主机”模式。单一主机模式下，只有经过认证的单个客户机可以访问网络；多主机模式下，只要有一个客户机通过认证，其他连接在同一端口的客户机都可以访问网络资源。 #### 四、基于用户名的VLAN分配 RADIUS服务器维护了一个用户名到VLAN映射的信息库，可以根据认证的用户名自动分配相应的VLAN。具体而言： 1. 如果RADIUS服务器上没有提供VLAN信息，或者802.1X认证未启用，则端口将使用手动指定的VLAN。 2. 如果启用了802.1X认证，但RADIUS服务器上的VLAN信息无效，端口将返回到未授权状态，并继续使用手动指定的VLAN。 3. 如果认证成功，并且RADIUS服务器上的VLAN信息有效，端口将被分配到特定的VLAN。 4. 对于多主机模式，当第一个主机认证成功后，所有主机将被分配到相同的VLAN。 #### 五、特殊VLAN管理 - **客户VLAN**：专为不支持802.1X认证的客户机（如运行Windows 98的操作系统）设计，这类客户机只能访问有限的网络资源。 - **受限VLAN**：对于支持802.1X认证但认证失败的客户机，可以将其分配到受限VLAN，以避免因多次认证失败而导致端口被阻塞。 802.1X是一种强大的网络接入控制机制，能够有效地保障网络安全。通过详细的配置和合理的策略设定，可以灵活地满足不同场景下的需求。