该场景客户(客户信息隐藏)需求是在没有认证之前不能访问内网(包括二层网络也不能接入),即不能经过二层交换机。优点就是做到很严格的入网控制,没有认证,二层网络都接入不了。
全网的核心基础奠基功能,没有之一,所以第一弹就从他开始吧
原理
在交换机上启用802.1x协议,PC安装客户端(认证助手或者windows自带802.1x客户端)和交换机对接,通过802.1x协议完成认证;
怎么说那,这可为难了,来个情景模拟
张三=windows电脑+认证助手,传播介质空气等——交换机,
李四=radius服务器(ac),沟通交流——报文交互
张三来李四家拜访,敲了敲门,说了声有人在某
李四回了声:你谁啊你
张三:我是张三哦,捶捶都听不出来
李四:你说是就是,我需要验证
张三气急败坏:天王盖地虎
李四用他两的共同语言解密:这小子真是张三,随即开了门,被张三一顿爆锤。。
看完后一面懵逼怎么感觉其实也是也是portal过程,但是有没有发现这个场景有问题很粗糙,是的小伙伴们不知一处哦,所以愉快的在评论区来找茬吧
windows能直接和radius服务器交互吗?
答案是否,所以对应哪个地方有问题里,评论区告诉俺吧
究竟谁是交换机,传输介质皆为交换
搞点官方
1. 在交换机上启用802.1x协议,PC安装客户端和交换机对接,通过802.1x协议完成认证;
2. 如果没有认证通过,交换机会关闭该端口只允许认证信息数据通过而不允许业务数据通过;
3.认证通过后AC设备通过radius协议通知交换机放通端口。这时终端只完成802.1X认证流程,并没有在AC上线,802.1x认证和在AC上线是分开的,需要拿到ip上线
所以发现了没,上线需要用户名,ip,mac三个好大哥
ac拿ip的三种方式
一种是交换机发带IP地址的RADIUS计费报文给AC(需要交换机支持)
另外一种是二层流量触发,终端和AC在同一个二层环境下通过arp报文(广播),dhcp报文(广播)拿到数据包中的IP和mac信息;
最后一种是跨三层取MAC地址,这种方式可以得到IP和MAC的对应关系,交换机镜像arp或者dhcp接到AC的镜像口,或者配置snmp协议;
当然了,交换机支持的话直接做radius计费最为舒爽,原理扯犊子一会,开始正片
802.1x——ac配置
交换机需要根据我们的认证计费端口,服务器密钥,ac地址做配置,全网上配置很简单
交换机配置的话提供一个某公司Dot1xTool,提供配置参考,可社区找找哦
本实施使用本地密码登录,新建cs账号,windows安装认证助手认证
第一弹扯的比较多,关于全网行为管理的使用,作者还有更多精彩内容,请参考:
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-11-17 14:49
技术员2级 
