论文部分内容阅读
【摘要】 本文主要对802.lx协议做了简单的介绍,并给出了一个基于802.lx协议的具体的认证应用案例--Cisco lP电话。
【关键词】 802.1x认证EAP
一、802.1x协议的简单介绍
802.lx协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN。
在获得交换机或LAN提供的各种业务之前,802_lx对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.lx只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口。认证通过以后,正常的数据可以顺利地通过以太网端口。
基于端口认证的802.1x协议有如下特点:
IEEE802.Ix协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;
借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;
802.lx的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS(RemoteAuthentication Dial In User Service,远程认证拨号用户服务)和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;
可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;
可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接人功能。
二、Cisco lP电话802.1x认证过程
l、图l就是Cisco IP电话的802.lx认证过程流程图。其中RADIUS服务器使用的是Cisco Secure ACS服务器,Cisco lP电话上需要启用802.lx认证服务。
2、Cisr,o lP电话有一个PC Port能连接PC,同时也能够为连接的这台PC提供802.lx认证服务。
图2的解决方案是利用CDP bypass方式,允许CDP包交换。Cisco IP电话可以给包打上tag,因为他们是从CDP包中得到VLAN信息的。CDP包的交换可以使电话不受802.1x的限制。
在最新的方案中,Multi-Domain Authentication (MDA)代替了CDP hypass的方式。这种方式可以同时让电话机和PC通过802.lx认证。由于这种方式需要相关交换机型号的支持,我实验的环境中没有这类交换机,因此也没有进行Multi-Domain Authentication (MDA)方式的认证实验。
三、Cisco lP电话的各种认证方式
Cisco IP电话主要运用的是EAP-FAST、EAP-TLS。以前还支持EAP-MD5,现在由于安全性问题,最新已经不支持EAP-MD5了。不同认证方式的改变是通过在Cisco SecureACS服务器上设置改变相应的认证协议,同时也需要在Cisco Secure ACS服务器上为需要认证的设备设置一个用户账号。
1、EAP-rrLS
Cisco IP电话使用EAP-TLS认证过程如下图4。
1 )lP电话提供的证书是有效的(有效期和CA Root trust)
2) CRL(certificate revocalionlist)验证。
3)和数据库里和RADIUS提供给交换机的Common Name (CN)进行对比。
4)电话机可以接入网络。
EAP-TLS认汪方法使用的是X.509 v3 PK1证书和TLS的认证机制
2、EAP-MD5
EAP-MD5是另一个IETF开放标准,但提供最少的安全。MD5 Hash函数容易受到字典攻击,它被使用在不支持动态WEP的EAP中。图5就是EAP-MD5的认证交互过程。
由于EAP-MD5的安全问题,目前Cisco lP电话已不支持这种认证方式。
3、EAP-FAST
EAP-FAST(基于安全隧道的灵活认证,FlexibleAuthentication via Secure Tunneling)是一个由思科提出的协议方案,用于替代LEAP。设计该协议是为了解决LEAP实现“轻量级”时的缺点。在EAP-FAST中使用服务器证书是可选的EAP-FAST使用一个PAC(保护访问凭证,Protected AricessCredential)来建立TLS隧道,并通过该隧道对客户端证书进行验证。
四、总结
本文主要介绍了802.lx协议以及相关的内容,通过对Cisco lP电话802.lx功能的介绍,使我们了解到802.1x在Cisco IP电话上的应用。
【关键词】 802.1x认证EAP
一、802.1x协议的简单介绍
802.lx协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN。
在获得交换机或LAN提供的各种业务之前,802_lx对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.lx只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口。认证通过以后,正常的数据可以顺利地通过以太网端口。
基于端口认证的802.1x协议有如下特点:
IEEE802.Ix协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;
借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;
802.lx的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS(RemoteAuthentication Dial In User Service,远程认证拨号用户服务)和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;
可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;
可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接人功能。
二、Cisco lP电话802.1x认证过程
l、图l就是Cisco IP电话的802.lx认证过程流程图。其中RADIUS服务器使用的是Cisco Secure ACS服务器,Cisco lP电话上需要启用802.lx认证服务。
2、Cisr,o lP电话有一个PC Port能连接PC,同时也能够为连接的这台PC提供802.lx认证服务。
图2的解决方案是利用CDP bypass方式,允许CDP包交换。Cisco IP电话可以给包打上tag,因为他们是从CDP包中得到VLAN信息的。CDP包的交换可以使电话不受802.1x的限制。
在最新的方案中,Multi-Domain Authentication (MDA)代替了CDP hypass的方式。这种方式可以同时让电话机和PC通过802.lx认证。由于这种方式需要相关交换机型号的支持,我实验的环境中没有这类交换机,因此也没有进行Multi-Domain Authentication (MDA)方式的认证实验。
三、Cisco lP电话的各种认证方式
Cisco IP电话主要运用的是EAP-FAST、EAP-TLS。以前还支持EAP-MD5,现在由于安全性问题,最新已经不支持EAP-MD5了。不同认证方式的改变是通过在Cisco SecureACS服务器上设置改变相应的认证协议,同时也需要在Cisco Secure ACS服务器上为需要认证的设备设置一个用户账号。
1、EAP-rrLS
Cisco IP电话使用EAP-TLS认证过程如下图4。
1 )lP电话提供的证书是有效的(有效期和CA Root trust)
2) CRL(certificate revocalionlist)验证。
3)和数据库里和RADIUS提供给交换机的Common Name (CN)进行对比。
4)电话机可以接入网络。
EAP-TLS认汪方法使用的是X.509 v3 PK1证书和TLS的认证机制
2、EAP-MD5
EAP-MD5是另一个IETF开放标准,但提供最少的安全。MD5 Hash函数容易受到字典攻击,它被使用在不支持动态WEP的EAP中。图5就是EAP-MD5的认证交互过程。
由于EAP-MD5的安全问题,目前Cisco lP电话已不支持这种认证方式。
3、EAP-FAST
EAP-FAST(基于安全隧道的灵活认证,FlexibleAuthentication via Secure Tunneling)是一个由思科提出的协议方案,用于替代LEAP。设计该协议是为了解决LEAP实现“轻量级”时的缺点。在EAP-FAST中使用服务器证书是可选的EAP-FAST使用一个PAC(保护访问凭证,Protected AricessCredential)来建立TLS隧道,并通过该隧道对客户端证书进行验证。
四、总结
本文主要介绍了802.lx协议以及相关的内容,通过对Cisco lP电话802.lx功能的介绍,使我们了解到802.1x在Cisco IP电话上的应用。