• 802.1X与Cisco基于身份的网络服务(IBNS)


    Cisco基于身份的网络服务(Identity-Based Networking Services,IBNS)是一种以IEEE802.1X标准为基础的安全架构,具有认证、用户策略、访问控制等多种功能,能提供一套完善的安全解决方案。它对设备的MAC地址、IP地址和身份凭证进行验证,确保只有合法用户才能接入网络。
    802.1X由IEEE802.1X工作组制定,它是一种基于端口的访问控制与认证协议,工作在数据链路层。

    Cisco IBNS部署模式


    802.1X的构成
        • 请求方(Supplicant):要求访问网络资源的客户设备,如终端打印机或者IP电话。
        • 认证方(Authenticator):允许或许拒绝请求方访问网络资源的设备,位于请求方与认证服务器之间,如交换机或接入点。
        • 认证服务器(Authentication Server):对请求方提供的身份凭证进行验证并将认证结果通知认证方的实体,如Radius服务器。(Cisco 的ACS就是常见的认证服务器)。
        
    802.1X相关认识:
        (1) 在请求方没有通过认证之前,认证方端口只允许EAPOL、CDP和STP流量通过
        (2) 802.1X使用的是可扩展认证协议(Extensible Authentication Protocol,EAP)
        (3) EAP是一种工作在PPP上的通用认证架构,更新后在链路层加入对IEEE802的支持,EAP的IEEE802封装和PPP无关,802.1X无法进行数据链路层或者网络层的协商,采用隧道协议,802.1X才可以使用PAP和CHAP等非EAP认证机制的协商,其本身不具备
        (4) EAP不在数据链路层阶段制定所用的认证机制,在认证阶段进行
        (5) 请求方和认证方之间可以通过基于局域网的可扩展认证协议(EAP over LAN,EAPOL)相互通信,EAPOL可以支持Ethernet、令牌环、FDDI、WLAN等多种介质,局域网MAC可以直接处理经过EAPOL封装的EAP数据包
        (6) EAPOL帧的目标MAC地址始终包含PAE组地址(01:80:C2:00:00:03)
        (7) 仅当数据包类型字段为EAP-Packet、EAPOL-Key或者EAPOL-Encapsulated-ASF-Alert时,数据包体才存在
        
    EAP和EAPOL的帧数据包和报文:

    1、EAP帧的数据包格式:


    2、EAP代码:Request(1)、Response(2)、Success(3)、Failure(4)


    3、EAPOL帧的数据包格式:


    4、EAPOL数据包类型:EAP-Packet、EAPOL-Start、EAPOL-Logoff、EAPOL-Key、EAPOL-Encapsulated-ASF-Alert






        


    好好学习,天天向上!
  • 相关阅读:
    信息反馈--冲刺12
    大道至简阅读笔记02
    信息反馈—冲刺11
    第十二周总结
    大道至简阅读笔记01
    小白学习站点
    校园服务第一阶段意见评论
    第十一周总结
    信息反馈--冲刺10
    信息反馈--冲刺09
  • 原文地址:https://www.cnblogs.com/MomentsLee/p/10162722.html
Copyright © 2020-2023  润新知