备案控制台
开发者社区 安全 文章 正文

交换网络安全防范系列五之802.1x-基于端口的网络访问控制技术

2017-11-15 1174
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:


IEEE802.1xIEEE20016月通过的基于端口访问控制的接入管理协议标准。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
IEEE802.1x是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
5.1 IEEE802.1x体系介绍
虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。
IEEE802.1x的体系结构中包括三个部分:
Supplicant System,用户接入设备;
Authenticator System,接入控制单元;
Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即AuthenticatorIEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
SupplicantAuthenticator间运行IEEE802.1x定义的EAPOL协议;Authenticator  Authentication Sever 间同样运行 EAP协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
5.2 IEEE802.1x认证过程简介
IEEE802.1x的认证过程
1. 当用户有上网需求时打开 802.1X 客户端程序,输入用户名和口令,发起连接请求。此时客户端程序将发出请求认证的报文给交换机,启动一次认证过程。
2. 交换机在收到请求认证的数据帧后,将发出一个 EAP-Request/Identitybaowe 请求帧要求客户端程序发送用户输入的用户名
3. 客户端程序响应交换机的请求,将包含用户名信息的一个 EAP-Response/Identity 送给交换机,交换机将客户端送来的数据帧经过封包处理后生成 RADIUS Access-Request 报文送给认证服务器进行处理。
4. 认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字 Challenge 对它进行加密处理( MD5 ),通过接入设备将 RADIUS Access-Challenge 报文发送给客户端,其中包含有 EAP-Request/MD5-Challenge
5. 客户端收到 EAP-Request/MD5-Challenge 报文后,用该加密字对口令部分进行加密处理( MD5 )给交换机发送在 EAP-Response/MD5-Challenge 回应,交换机将 Challenge Challenged Password 和用户名一起送到 RADIUS  服务器进行认证。
6. 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功 / 失败报文到接入设备。如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,保持交换机端口的关闭状态,只允许认证信息数据通过。
 
5.3IEEE802.1x配置
IOS 全局配置命令:
aaa new-model   /*启用aaa
aaa authentication dot1x default group radius  /*配置dot1x认证列表
dot1x system-auth-control    /全局启用802.1x
radius-server host 192.168.0.167 auth-port 1812 key q1w2e3r4 /*认证服务器信息
接口配置命令:
dot1x port-control auto  /*接口启用802.1x



    本文转自hexianguo 51CTO博客,原文链接: http://blog.51cto.com/xghe110/90879 ,如需转载请自行联系原作者


文章标签:
访问控制
终端访问控制系统
密钥管理服务
数据安全/隐私保护
网络安全
Windows
数据库
关键词:
网络网络安全
网络端口
网络802.1x
网络交换
网络访问控制
相关实践学习
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
技术小胖子
目录
相关文章
1941623231718325
|
20小时前
|
安全 网络安全 数据安全/隐私保护
网络安全:如何保护你的网络不受黑客攻击
【5月更文挑战第10天】 网络安全摘要:强化密码安全,使用防病毒软件,启用防火墙,定期更新软件,使用安全网络连接,备份重要数据,提高安全意识。这七大措施助你构建安全网络环境,抵御黑客攻击。记得持续学习,适应不断变化的威胁。
1941623231718325
6 1
技术混子
|
1天前
|
安全 算法 网络安全
网络安全与信息安全:防范网络威胁的关键策略
【5月更文挑战第9天】 在数字化时代,网络安全与信息安全已成为个人和企业不可忽视的议题。随着网络攻击手段的多样化和智能化,传统的防御措施已不再能够完全应对日益复杂的安全挑战。本文将深入探讨网络安全漏洞的概念、加密技术的最新进展以及提升安全意识的重要性,旨在为读者提供一套综合的网络威胁防范策略。通过对现有技术和策略的分析,我们强调了预防优于治疗的原则,并提出了多层次、多角度的安全建议。
技术混子
4 0
shuj
|
2天前
|
SQL 安全 算法
网络防线的构筑者:深入网络安全与信息保护
【5月更文挑战第8天】在数字时代,数据成为了新的金矿,而网络安全则是守护这些宝贵资源的堡垒。本文将探讨网络安全漏洞的形成、加密技术的应用以及提升个人和企业的安全意识的重要性。通过对网络威胁的剖析和防护策略的介绍,旨在为读者提供一系列实用的网络安全知识与实践指导。
shuj
6 1
mrq4nk6ni2neg
|
3天前
|
安全 算法 网络安全
网络防线的构筑者:洞悉网络安全与信息保护
【5月更文挑战第7天】在数字化时代,数据成为了新的石油。随之而来的是对数据安全和隐私保护的挑战。本文深入探讨了网络安全漏洞的概念、成因以及它们对个体和企业造成的潜在危害。同时,文章将解析加密技术的种类和原理,以及它们如何成为维护信息安全不可或缺的工具。此外,强调了提升安全意识的重要性,并提出了实用的策略和建议,以增强个人和组织在面对日益复杂的网络威胁时的防御能力。
mrq4nk6ni2neg
34 4
肥猪肥猪-17824
|
3天前
|
存储 安全 物联网
网络防线之盾:洞悉网络安全与信息安全的关键要素
【5月更文挑战第7天】 在数字化时代,数据成为了新的黄金。然而,随之而来的是对网络安全和信息保障的严峻挑战。本文深入剖析了网络安全漏洞的本质、加密技术的最新进展以及提升安全意识的重要性,旨在为读者提供一个全面的视角,以理解和应对日益复杂的网络安全威胁。通过分析当前网络攻防战中的关键要素,我们将探索如何构建更为坚固的数据保护屏障,并保持信息资产的安全与完整。
肥猪肥猪-17824
11 2
jsjsjjs
|
4天前
|
运维 安全 网络协议
即时通讯安全篇(十四):网络端口的安全防护技术实践
网络端口因其数量庞大、端口开放和关闭的影响评估难度大,业务影响程度高、以及异常识别技术复杂度高等特点给网络端口安全防护带来了一定的挑战,如何对端口风险进行有效治理几乎是每个企业安全团队在攻击面管理工作中持续探索的重点项。
jsjsjjs
16 0
历年考试不作弊
|
4天前
|
SQL 安全 网络安全
网络堡垒的构建者:深入网络安全与信息保护
【5月更文挑战第6天】 在数字化浪潮不断推进的今天,网络安全和信息安全成为了维护个人隐私、企业商业秘密和国家安全的重要议题。本文将探讨网络安全中的漏洞问题、加密技术的进展以及提升安全意识的必要性。通过分析当前网络攻击手段的复杂性,我们揭示了安全漏洞产生的原因及其对系统安全的潜在威胁。同时,文章还将介绍最新的加密技术如何为数据传输提供强有力的保护,并讨论如何通过培训和教育来增强用户的安全意识,以形成更为坚固的网络防线。
历年考试不作弊
13 0
爱吃糖的范同学
|
6天前
|
机器学习/深度学习 人工智能 监控
【AI 场景】如何应用人工智能来增强企业网络的网络安全?
【5月更文挑战第4天】【AI 场景】如何应用人工智能来增强企业网络的网络安全?
爱吃糖的范同学
26 2
shuj
|
6天前
|
存储 安全 物联网
网络防御前线:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第4天】 在数字化时代,网络安全已成为维护信息完整性、确保数据传输安全的关键阵地。本文将深入探讨网络安全领域的重要议题—包括识别和应对安全漏洞、应用加密技术以及提升个体和企业的安全意识。通过对这些关键要素的剖析,我们旨在为读者提供一个关于如何构建坚固网络防御体系的全面视角。
shuj
28 6
历年考试不作弊
|
9天前
|
存储 安全 算法
网络安全与信息安全:防范网络威胁的关键策略
【5月更文挑战第1天】在数字化时代,网络安全与信息安全已成为个人和企业面临的重大挑战。本文将探讨网络安全漏洞的概念、加密技术的重要性以及提升安全意识的必要性。通过对这些关键领域的深入分析,我们旨在提供一系列有效的策略和措施,以帮助读者更好地防范网络威胁,确保数据和信息的安全。
历年考试不作弊
21 3

热门文章

最新文章

  • 1
    网络名称空间在Linux虚拟化技术中的位置
  • 2
    【MATLAB】GA_ELM神经网络时序预测算法
  • 3
    R语言用加性多元线性回归、随机森林、弹性网络模型预测鲍鱼年龄和可视化
  • 4
    Machine Learning机器学习之贝叶斯网络(BayesianNetwork)
  • 5
    【计算机网络】第一章 概述
  • 6
    【动手学深度学习】深入浅出深度学习之线性神经网络
  • 7
    linux查看CPU、内存、网络、磁盘IO命令
  • 8
    探索Kubernetes的大二层网络:原理、优势与挑战🚀
  • 9
    Linux网卡与IP地址:通往网络世界的通行证 🌐
  • 10
    网络面试题
  • 1
    Go语言在身份认证与访问控制中的应用
    329
  • 2
    Linux Apache服务详解——Apache服务访问控制
    337
  • 3
    计算机网络:数据链路层(介质访问控制)
    370
  • 4
    802.1X 身份验证:基于端口的网络访问控制协议
    442
  • 5
    安全防御之授权和访问控制技术
    296
  • 6
    第十五章:C++访问控制权限、继承和多态详解
    204
  • 7
    在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
    523
  • 8
    信道划分&介质访问控制&ALOHA协议&CSMA协议&CSMA/CD协议&轮询访问MAC协议
    202
  • 9
    k8s学习-CKA真题-基于角色的访问控制-RBAC
    184
  • 10
    在DataWorks中进行数据访问控制权限申请
    69

    • 相关课程

    更多
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 云网络白皮书-阿里云网络系列课
  • 企业上云攻略-阿里云网络产品应用系列教程
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
  • 云安全基础课 - 访问控制概述
  • 网络管理者必知-2分钟了解新出台的《网络安全法》

    • 相关电子书

    更多
  • 可编程网络视角的网络创新研究
  • 可编程网络和SDN3.0
  • 开放促进创新:构建开放网络生态

    • 相关实验场景

    更多
  • 物联网设备安全:实时检测7类安全风险(Agentless)
  • 容器的网络入门
  • 容器的自定义网络
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)