网络测试技术解析：深入理解802.1X认证原理

以太网作为一种广泛使用的局域网技术，具有即插即用、简单快捷等优点。然而，它也存在安全认证机制不足的缺点。为了提升网络安全性，二层网络安全技术应运而生。
首先，在用户接入网络之前，需要进行认证。认证通过后，交换机端口打开，用户可以访问二层局域网。若认证不通过，交换机端口关闭，用户无法访问局域网。这种机制有效提高了网络的安全性。
IEEE 802.1X协议是二层网络安全技术的核心，它基于端口的网络接入控制，起源于无线标准802.11协议。正式标准由IEEE 802委员会制定，2001年6月标准化。DOT1x与802.1x是同一标准，只是书写方式不同。
802.1X协议有三个角色：Supplicant（客户端）、Authenticator（认证系统）和Authentication Server（认证服务器）。客户端负责发起认证请求，认证系统负责接收请求并处理，认证服务器负责验证用户身份。
802.1X认证过程主要分为四个阶段：会话初始化、会话认证、会话授权和会话计费。在会话初始化阶段，客户端向认证系统发送请求，认证系统回复请求，建立会话。在会话认证阶段，客户端发送认证信息，认证系统验证信息。若验证通过，进入会话授权阶段，客户端获得访问权限。最后，会话计费阶段记录用户访问网络的情况。
EAP（可扩展认证协议）是802.1X的核心，它定义了认证过程和机制。EAP作为一个认证框架，提供了协商“EAP方法”的功能。目前，大约有40种EAP方法，如EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM等。
Tunneled EAP是一种EAP方法，它在客户端和服务器之间先建立安全隧道，然后在隧道内使用MD5、GTC、MSCHAP等协议进行认证。典型代表有PEAP、EAP-FAST、TTLS等。
EAPoL（EAP over LAN）是基于局域网的扩展认证协议，它定义了EAP在以太网上的传输格式。以太网封装的目标MAC地址为01-80-c2-00-00-03。
总之，以太网在带来便捷的同时，也存在着安全隐患。通过二层网络安全技术，尤其是802.1X协议和EAP认证，可以有效提升网络安全性，保护用户隐私和数据安全。

 一、以太网优点缺点

1．以太网优点

(1)即插即用,简单快捷

(2)任何一台电脑只要接入网络便有访问网络资源的权限

2．以太网缺点

(1)缺乏安全认证机制(二层)

(2)电脑接到交换机上就能访问网络

(3)安全性得不到保障

二、二层网络安全技术

1．在用户接入网络之前进行认证

2．认证通过

(1)交换机端口打开

(2)访问二层局域网

3．认证不通过

(1)交换机端口关闭

(2)不能访问二层局域网

三、802．1X诞生

1．IEEE 802．1X

(1)Port-Based networks Access CONTrol

(2)基于端口的网络接入控制

2．起源于无线标准802．11协议

(1)最初是为解决无线局域网的用户接入认证问题

(2)对局域网具有普适性,移植到有线领域

3．正式标准

(1)IEEE 802委员会制定的LAN标准

(2)2001年6月标准化

4．DOT1x vs 802．1x

(1)DOT1x = 802．1x

(2)“．” 英文是DOT

四、802．1X三个角色

1．Supplicant

(1)客户端

(2)Winow、Linux、MAC、第三方客户端

(3)支持EAPoL认证

2．Authenticator

(1)认证系统

(2)交换机

3．Authentication Server

(1)认证服务器

(2)Radius服务器

(3)思科ACS、华为Policy Center、Freeradius

       五、802．1X认证过程

1．认证发生地点

(1)客户端<--->服务器

(2)认证在客户端和服务器之间进行

2．认证系统

(1)作为代理

(2)将EAP认证从以太网转为Radius格式

(3)感知认证过程

(4)不感知认证内容(交换信息)

       六、802．1X认证结果

1．认证成功

(1)认证系统打开端口

(2)端口状态变为Authenticated

(3)交换机转发客户端发送报文

2．认证失败

(1)认证系统关闭端口

(2)端口状态为Unauthenticated

(3)交换机不转发客户端发送报文

       七、EAP简介

1．802．1X的核心是EAP

(1)认证发生在客户端和认证服务器之间

(2)认证系统透传EAP报文

2．EAP

(1)Extensible Authentication Protocol

(2)可扩展认证协议

(3)RFC5247

       八、EAP是框架

1．EAP是一个认证框架

(1)不是具体的认证机制

(2)提供协商 “EAP方法”的功能

2．EAP方法

(1)RFC5247

(2)大约40种

(3)EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM

       九、EAP方法分类:Tunneled EAP

1．Tunneled EAP

(1)在客户端和服务器之间, 先建立安全隧道

(2)在安全隧道里, 使用 MD5、GTC、MSCHAP

2．典型代表

(1)PEAP、EAP-FAST、TTLS

       十、EAPoL

1．EAPOL

(1)EAP over LAN

(2)基于局域网的扩展认证协议

(3)定义EAP在以太网上的传输格式

2．以太网封装

(1)目标MAC地址是01-80-c2-00-00-03

       十一、EAPoL认证全过程

1．EAP会话四阶段

(1)Session initiation

(2)Session authentication

(3)Session authorization

(4)Session accounting