发布时间 : 2024/7/8 20:57:44 星期一 文章交换机+windows ias+windows ad服务实现802.1x身份验证更新完毕开始阅读a5e6e601de80d4d8d15a4fbc

交换机+windows ias+windows ad服务实现802.1x身份验证(原创)

2005-11-13 21:48 我爱臭豆腐 回复 1楼 tianyayang 的帖子

把size部分删除了就好了.你自己改把.:)

2005-11-14 12:31 ioiioi

lz写得太笼统了，如果有更多的技术细节，那么这篇文章一定会荣登榜首的。比如dhcp如何在802.1x验证后工作？

2005-11-14 13:33 tianyayang 呵呵，好的，马上整理，该成中文的好吧

2005-11-14 22:12 tianyayang 802.1X的认证体系分为三部分结构：

1、Supplicant System，客户端(PC/网络设备)

Supplicant System——— Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain，Microsoft Windows XP

2、Authenticator System，认证系统

Authenticator System——— Switch （边缘交换机或无线接入设备）是—根据客户的认证状态控制物理接入的设备，switch在客户和认证服务器间充当代理角色（proxy）。 switch与client间通过EAPOL协议进行通讯，switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上，以便穿越复杂的网络到达 Authentication Server （EAP Relay）；switch要求客户端提供identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同； switch根据认证结果控制端口是否可用；

3、Authentication Sever System，认证服务器

Authentication server ———（认证服务器）对客户进行实际认证，认证服务器核实客户的identity，通知swtich是否允许客户端访问LAN和交换机提供的服务Authentication Sever 接受 Authenticator 传递过来的认证需求，认证完成后将认证结果下发给 Authenticator，完成对端口的管理。由于 EAP 协议较为灵活，除了 IEEE 802.1x 定义的端口状态外，Authentication Server 实际上也可以用于认证和下发更多用户相关的信息，如VLAN、QOS、加密认证密钥、DHCP响应等。

基本的认证过程：

1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文； 2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；

3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。

2005-11-14 22:14 tianyayang

EAPOL协议的介绍

1、IEEE 802.1x定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。 为了在点到点链路上建立通信，在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后，在进入网络层协议之前，PPP提供一个可选的认证阶段。而EAPOL就是PPP的一个可扩展的认证协议。 2、下面是一个典型的PPP协议的帧格式：

Flag Address Control Protocol Information

当PPP帧中的protocol域表明协议类型为C227(PPP EAP)时，在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包，此时表明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务，下一步的EAP认证都将通过它来进行。 3、一个典型的EAP认证的过程分为：request、response、success或者failure阶段，每一个阶段的报文传送都由Information域所携带的EAP报文来承担。 EAP报文的格式为：

|Code|Identifier|Length|Data|

1）Code域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下： Code＝1————→Request

Code＝2 ————→Response Code＝3 ————→Success Code＝4 ————→Failure

2）Indentifier域为一个字节，辅助进行request和response的匹配————每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了这样的一个对应关系————相同的Indentifier相匹配。

3）Length域为两个字节，表明了EAP数据包的长度，包括Code,Identifier,Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。 4）Data域为0个或者多个字节，Data域的格式由Code的值来决定。 当code域为1或者2的时候，报文格式为 |Identifier|Length|Type|Type Date|

Code Type域的说明如下：

Type域总共分为6个值域，其中头3种Type被认为特殊情形的Type，其余的Type定义了认证的交换流量。Nak类型仅对Response数据包有效，不允许把它放在Request中发送。

Type＝1————→Identifier Type＝2————→Notification

Type＝3————→Nak（Response Only） Type＝4————→MD5-Challenge

Type＝5————→One-Time Password (OTP) Type＝4————→Generic Token Card

[[i] 本帖最后由 tianyayang 于 2005-11-14 22:15 编辑 [/i]]

2005-11-15 10:38 wind521 不错的说，可能偶们也要作这个

2005-11-15 13:17 我爱臭豆腐

[quote]原帖由 [i]wind521[/i] 于 2005-11-15 10:38 发表 不错的说，可能偶们也要作这个 [/quote]

你们使用的东西和他们有区别.除非你们想不使用acs .另外如果是完全使用ms的这个方案我感觉一般.建议你还是使用acs加ms的用户认证.

2005-11-15 13:41 ioiioi

我不知道wind521需要做什么咚咚，但是我想谈谈radius跟acs的一些优缺点。

acs更多时候只是针对cisco的网络设备，而且费用不菲，虽然tacacs+的确比radius更优秀，但是专用性太强了，现在freeradius可以跟很多数据库协作，包括mysql, mssql, oracle等，这些都为用户资料提供良好的储存方案。

freeradius + samba也可以实现ms ad的验证。我爱臭豆腐不妨试试，我的功力还仅仅用radius验证网络设备的登陆，嘿嘿。

2005-11-15 13:57 tianyayang 我问一句

我认为802.1x的精髓应该是vlan和ip的策略化动态分配，以达到安全控管的作用。 acs我没玩过，我想问问他能够支持到这些策略吗，

2005-11-30 11:43 loveKDE 上面不是说了有中文版的么？

2005-11-30 15:37 秋水微澜 还是蒙没有明白呀

2005-12-1 15:11 diskeeper 这个东东看起来不错，晚上回去仔细看看

2005-12-1 19:00 ioiioi tianyayang

我目前正在测试802.1x + peap+freeradius+samba+win2k AD域验证的解决方案，我有个问题想问问你。

我看了很多文档，他们在用peap时都会牵扯到证书，而我又不想去管理那么多用户证书。

你的方案好像不用去管理的，请问你的这种peap是如何实现的？可以只用win2k AD的用户信息进行验证吗？

[[i] 本帖最后由 ioiioi 于 2005-12-1 19:29 编辑 [/i]]

2005-12-13 18:02 sleepycat

我按照你的方法做了一遍，但认证通不过呀，我的环境是win2003 ad + iAS,交换机是cisco的2950,在输入用户和密码后提示认证失败

2005-12-25 15:56 vvfz

我也测试了一套，Cisco AP1231 + IAS ，先建立CA,配置cisco ap 为 Radius客户端。 配置远程访问策略。建立无线组，配置组策略，做计算机证书和用户证书，用户第一次需要连接在有线网络中web申请号证书，以后拿笔记本到处都可以登陆了，wpa, peap tkip加密.使用AD信息验证。

进一步还可以做mac的radius和vlan区分访客和员工。

这套东西下个月会实施，到时候把具体的配置贴图上来。

[[i] 本帖最后由 vvfz 于 2005-12-25 15:57 编辑 [/i]]

2005-12-29 00:19 chinatony 谢谢,我正在找主这样的资料,谢谢

2006-1-8 21:27 vulgate 1、我们现在就在用这个东东

2、集成商做的，他们windows以前做的不多，但是压力就是动力，找了找，他们就实现了，推荐上海交大网管的文章，搜索一下吧

3、证书的问题，我们也实现过，但是后来又不要了，开始做的是基于计算机的，我们要基于用户的，现在不用证书做认证

4、关于802.1x的交换机上的配置，可以参考45系列的pdf，说的很详细，至少某些问题我猜错了，比如如果一个port接了一个hub，然后这个hub连接了N台计算机，如果一台计算机pass了，是否所有的机器都可以连接入网呢？书上说，有2中模式，单和多，多就是，一台让port pass了，别的机器也可以分享，单就是不可以，默认单

5、我们碰到的问题：认证速度蛮，至少1分钟多，在网卡有感叹号之后，闪烁一下，ok了。在和ms沟通

[email]vulgatecn@msn.com[/email] 欢迎讨论

2006-1-14 18:11 ioiioi

那如果windows本机的admin帐号呢？是不是旧不可以连网了？

2006-2-1 10:27 soway

[quote]原帖由 [i]ioiioi[/i] 于 2006-1-14 18:11 发表

那如果windows本机的admin帐号呢？是不是旧不可以连网了？ [/quote]

应该是这样的，因为本地的帐号登陆，没有去验证。交换机就没有打开你需要的端口。

2006-2-4 21:06 学华 致命的缺点