先上对⽐图
ip电话系统DHCP准⼊控制
终端连接到⽹络时,DHCP服务器给终端分配⼀个临时的IP和路由,使得终端只能访问有限的资源,终端通过安全检查之后,重新获取⼀个IP,此时可以正常访问⽹络,DHCP类型不是真正意义上的准⼊控
水松纸激光打孔机制,Microsoft的NAP最初采⽤此解决⽅案,NAP后来⼜⽀持802.1x, IPsec等。
DHCP的准⼊控制的优点是兼容⽼旧交换机。缺点是不如802.1x协议的控制⼒度强。 ⽹关型准⼊控制
⽹关型准⼊控制不是严格意义上的准⼊控制。在接⼊终端和⽹络资源(如:服务器/互联⽹出⼝)之间,设置⼀个⽹关,终端只有通过⽹关的验证和检查后,才能访问⽹关后⾯的资源;实际上⽹关准⼊控制只是防⽕墙功能的⼀个扩展,可以认为是⽹络准⼊控制中的⼀种特殊形式,绝⼤多少传统的防⽕墙⼚商都提供该类解决⽅案。
⽹关型准⼊控制没有对终端接⼊⽹络进⾏控制,⽽只是对终端出外⽹进⾏了控制。同时,⽹关型准⼊控制会造成出⼝宕掉的瓶颈效应。
离线语音识别方案ARP型准⼊控制
通过ARP⼲扰实现准⼊控制,制造IP地址冲突,技术实现简单;利⽤了ARP协议本⾝的⼀些缺陷,终端可以通过⾃⾏设置本机的路由、ARP 映射等绕开ARP准⼊控制;⽆需调整⽹络结构,需要在每个⽹段设置ARP⼲扰器;过多的ARP⼴播包会给⽹络带来诸多性能、故障问题,国内部分⼩⼚商⽀持,适合⼩型⽹络。
ARP准⼊控制是通过ARP欺骗实现的。ARP欺骗实际上是⼀种变相病毒。容易造成⽹络堵塞。由于越来越多的终端安装的ARP防⽕
墙,ARP准⼊控制在遇到这种情况下,则不能起作⽤。导卫
portal型准⼊控制是兼容性相对⽐较好的⼀种控制⼿段,最利⽤交换机端⼝重定向(既:http重定向)的⼿段进⾏⾝份认证。这种⽅式不需要考虑客户⽹络的情况进⾏部署的,只要下⾯的终端能与设备进⾏通讯就没有问题。 802.1x准⼊控制
802.1X协议是⼀种基于端⼝的⽹络接⼊控制协议。基于端⼝的⽹络接⼊控制,是指在局域⽹接⼊设备的端⼝这⼀级对所接⼊的⽤户设备进⾏认证和控制。连接在端⼝上的⽤户设备如果能通过认证,就可以访问局域⽹中的资源;如果不能通过认证,则⽆法访问局域⽹中的资源,⽀持多⽹络⼚商,可在⽹络交换机和⽆线AP上实现。
802.1X认证系统使⽤EAP来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间,EAP协议报⽂使⽤EAPOL 封装格式,直接承载于LAN环境中;在设备端与RADIUS服务器之间,可以使⽤两种⽅式来交换信息:⼀种是EAP协议报⽂由设备端进⾏中继,使⽤EAPOR封装格式承载于RADIUS协议中;另⼀种是EAP协议报⽂由设备端进⾏终结,采⽤包含PAP或CHAP属性的报⽂与RADIUS 服务器进⾏认证交互。 802.1x的准⼊控制的优点是在交换机⽀持802.1x协议的时候,802.1x能够真正做到了对⽹络边界的保护。缺点是不兼容⽼旧交换机,必须重新更换新的交换机;同时,交换机下接不启⽤802.1x功能的交换机时,⽆法对终端进⾏准⼊控制。 802.1x准⼊控制详细介绍
磨具抛光
认证结构
Suppliant System客户端(PC /⽹络设备) :
客户端是⼀个需要接⼊LAN,及享受Switch提供服务的设备,客户端需要⽀持EAPOL协议,客户端必须运⾏802.1x客户端软件。Authentiactor System认证系统:
switch (边缘交换机或⽆线接⼊设备)是根据客户的认证状态控制物理接⼊的设备,switch在客户和认证服务器之间充当代理⾓⾊(proxy) 。switch 与client间通过EAPOL协议进⾏通讯,swith与认证服务器间通过EAPOR (EAP over Radius)
Authentiaction Server System认证服务器:
认证服务器对客户进⾏实际认证,认证服务器核实客户的⾝份,通知switch是否允许客户端访问LAN和交换机提供的服务。
认证端⼝
⾮受控端⼝: 可以看成EAP端⼝, 不进⾏认证控制 ,始终处于双向连接状态,主要⽤于传递在通过认证前必须的EAPOL协议帧,保证客户端始终能够发出或者接收认证报⽂。
受控端⼝: 在通过 认证之前,只 允许认证报⽂EAPOL报⽂和⼴播报⽂(DHCP、ARP) 通过 端⼝,不允许任何其他业务数据流通过。认证通过后处于双向连通状态,可进⾏正常的业务报⽂传递。
逻辑受控端⼝: 多个客户端公⽤⼀个物理端⼝,当某个客户端没有通过认证之前,只允许认证报⽂通过该物理端⼝,不允许业务数据,但其他已通过认证的客户端业务不受影响。
触发机制
DHCP报⽂触发: 设备在收到⽤户的DHCP请求报⽂后主动触发对⽤户的802.1x认证,仅适⽤于客户端采⽤DHCP⽅式⾃动分配IP的情形。
源MAC未知报⽂触发: 当设备收到源MAC地址未知的报⽂时主动触发对⽤户的802.1x认证。若设备在设置好的时长内没有收到客户端的响应,则重新发该报⽂。
认证过程–直接上图
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议