802.1x需求背景
公司内外存在各种各样的终端设备(员工终端、访客终端、哑终端、IOT终端等),AC一般放在出口位置,只能对访问外网的用户做认证和管控,内网这些终端设备无法管控,没有经过可信认证就可随意接入内网,我们全网行为管理新增802.1x功能即是在这种背景下产生,结合终端管控和外设管控等功能,一起补齐AC在内网安全这块的短板。
802.1x应用场景
已经做了出口边界的管理,但是缺少内部接入入口的管理,需要确保不可信、不合规的终端不能接入网络
认证通过根据用户属性自动划分VLAN,细化用户访问权限
内网存在哑终端,绑定信息可自动放行
802.1x认证与portal(密码)认证对比
802.1x协议介绍
802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。802.1X认证中用到了RADIUS协议认证方式,典型的C/S结构
认证模式:基于接口、基于MAC
认证方式:EAP终结、EAP透传(中继)
注意:AC是用EAP透传的方式
端口控制方式:自动识别、强制授权、强制非授权
802.1x认证流程
以有线PC终端802.1x认证为例,说明整个802.1x认证流程:
第一步:客户端发起开始认证请求
第二步:交换机收到请求之后,要求客户端提交用户信息
第三步:客户端会提交用户信息给到交换机(当为哑终端无法提交用户信息时提交终端MAC信息,需要交换机配置MAB属性)
第四步:交换机收到用户信息之后,将数据封装成RADIUS报文发送到AC
第五步:AC完成校验,如果检验成功通过认证,发送认证成功报文给到交换机,交换机然后放通端口,如果检验失败,发送认证失败报文给交换机,交换机不放通端口
802.1x上线流程
完成认证之后就放通了端口,但是未在AC设备上线,上线过程如下(需要收到计费开始请求之后才开始走上线流程):
1.认证成功后,将终端MAC地址缓存在设备内存中5分钟
2.需要获取IP/MAC对应关系完成上线
2.1计费报文带IP
2.2通过流量方式(二层环境终端上网数据过AC)或者镜像方式获取DHCP,ARP广播报文
2.3跨三层取MAC的方式
动态VLAN功能说明
支持动态VLAN功能,交换机可配置多个VLAN,用户通过802.1x认证之后可划分到不同的VLAN,注意交换机必须存在AC设置的VLAN,否则会认证失败
原理:AC回复的Radius报文中Type81带VLAN信息给到交换机,交换机划分端口,实现访问资源的隔离(信锐交换机的动态vlan功能只支持基于端口控制的802.1x认证,其他交换机要看具体交换机的属性)
MAB哑终端免认证说明
支持对哑终端进行放行,比如一些打印机,扫描仪等设备,可在入网失败用户中放行,注意交换机需要开启MAB属性。
MAB哑终端免认证说明
也可以提前做好相关绑定信息,AC新增用户绑定,绑定哑终端的MAC地址信息,注意用户名为终端MAC,绑定对象也为MAC。
绑定完成当哑终端接入交换机之后即可通过认证
配置思路
配置步骤:
交换机开启802.1x功能,将RADIUS服务器地址指向AC。
AC启用802.1x认证功能对接交换机,和交换机配置的端口和密钥保持一致。
开启动态vlan功能,将不同用户划分到不同vlan(该配置可选,同时需要交换机支持动态VLAN)。
如果存在哑终端设备,可以提前做好用户绑定或者在入网失败用户中绑定。(该配置可选,同时需要交换机支持MAB认证)
配置获取MAC地址和IP地址对应关系,AC配置跨三层取MAC或者镜像方式通过ARP或者DHCP报文取MAC
