Cisco基于身份的网络服务(Identity-Based Networking Services,IBNS)是一种以IEEE802.1X标准为基础的安全架构,具有认证、用户策略、访问控制等多种功能,能提供一套完善的安全解决方案。它对设备的MAC地址、IP地址和身份凭证进行验证,确保只有合法用户才能接入网络。
802.1X由IEEE802.1X工作组制定,它是一种基于端口的访问控制与认证协议,工作在数据链路层。
Cisco IBNS部署模式
802.1X的构成
• 请求方(Supplicant):要求访问网络资源的客户设备,如终端打印机或者IP电话。
• 认证方(Authenticator):允许或许拒绝请求方访问网络资源的设备,位于请求方与认证服务器之间,如交换机或接入点。
• 认证服务器(Authentication Server):对请求方提供的身份凭证进行验证并将认证结果通知认证方的实体,如Radius服务器。(Cisco 的ACS就是常见的认证服务器)。
802.1X相关认识:
(1) 在请求方没有通过认证之前,认证方端口只允许EAPOL、CDP和STP流量通过
(2) 802.1X使用的是可扩展认证协议(Extensible Authentication Protocol,EAP)
(3) EAP是一种工作在PPP上的通用认证架构,更新后在链路层加入对IEEE802的支持,EAP的IEEE802封装和PPP无关,802.1X无法进行数据链路层或者网络层的协商,采用隧道协议,802.1X才可以使用PAP和CHAP等非EAP认证机制的协商,其本身不具备
(4) EAP不在数据链路层阶段制定所用的认证机制,在认证阶段进行
(5) 请求方和认证方之间可以通过基于局域网的可扩展认证协议(EAP over LAN,EAPOL)相互通信,EAPOL可以支持Ethernet、令牌环、FDDI、WLAN等多种介质,局域网MAC可以直接处理经过EAPOL封装的EAP数据包
(6) EAPOL帧的目标MAC地址始终包含PAE组地址(01:80:C2:00:00:03)
(7) 仅当数据包类型字段为EAP-Packet、EAPOL-Key或者EAPOL-Encapsulated-ASF-Alert时,数据包体才存在
EAP和EAPOL的帧数据包和报文:
1、EAP帧的数据包格式:
2、EAP代码:Request(1)、Response(2)、Success(3)、Failure(4)
3、EAPOL帧的数据包格式:
4、EAPOL数据包类型:EAP-Packet、EAPOL-Start、EAPOL-Logoff、EAPOL-Key、EAPOL-Encapsulated-ASF-Alert