朱曉偉

【摘要】 本文主要對802.lx協(xié)議做了簡單的介紹，并給出了一個基于802.lx協(xié)議的具體的認(rèn)證應(yīng)用案例--Cisco lP電話。

【關(guān)鍵詞】 802.1x認(rèn)證EAP

一、802.1x協(xié)議的簡單介紹

802.lx協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN。

在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802_lx對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.lx只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口。認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

基于端口認(rèn)證的802.1x協(xié)議有如下特點：

IEEE802.Ix協(xié)議為二層協(xié)議，不需要到達(dá)三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；

借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；

802.lx的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS（RemoteAuthentication Dial In User Service，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）和交換機(jī)利用不可控的邏輯端口共同完成對用戶的認(rèn)證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；

可以使用現(xiàn)有的后臺認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；

可以映射不同的用戶認(rèn)證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認(rèn)證接人功能。

二、Cisco lP電話802.1x認(rèn)證過程

l、圖l就是Cisco IP電話的802.lx認(rèn)證過程流程圖。其中RADIUS服務(wù)器使用的是Cisco Secure ACS服務(wù)器，Cisco lP電話上需要啟用802.lx認(rèn)證服務(wù)。

2、Cisr，o lP電話有一個PC Port能連接PC，同時也能夠為連接的這臺PC提供802.lx認(rèn)證服務(wù)。

圖2的解決方案是利用CDP bypass方式，允許CDP包交換。Cisco IP電話可以給包打上tag，因為他們是從CDP包中得到VLAN信息的。CDP包的交換可以使電話不受802.1x的限制。

在最新的方案中，Multi-Domain Authentication （MDA）代替了CDP hypass的方式。這種方式可以同時讓電話機(jī)和PC通過802.lx認(rèn)證。由于這種方式需要相關(guān)交換機(jī)型號的支持，我實驗的環(huán)境中沒有這類交換機(jī)，因此也沒有進(jìn)行Multi-Domain Authentication （MDA）方式的認(rèn)證實驗。

三、Cisco lP電話的各種認(rèn)證方式

Cisco IP電話主要運用的是EAP-FAST、EAP-TLS。以前還支持EAP-MD5，現(xiàn)在由于安全性問題，最新已經(jīng)不支持EAP-MD5了。不同認(rèn)證方式的改變是通過在Cisco SecureACS服務(wù)器上設(shè)置改變相應(yīng)的認(rèn)證協(xié)議，同時也需要在Cisco Secure ACS服務(wù)器上為需要認(rèn)證的設(shè)備設(shè)置一個用戶賬號。

1、EAP-rrLS

Cisco IP電話使用EAP-TLS認(rèn)證過程如下圖4。

1 ）lP電話提供的證書是有效的（有效期和CA Root trust）

2） CRL（certificate revocalionlist）驗證。

3）和數(shù)據(jù)庫里和RADIUS提供給交換機(jī)的Common Name （CN）進(jìn)行對比。

4）電話機(jī)可以接入網(wǎng)絡(luò)。

EAP-TLS認(rèn)汪方法使用的是X.509 v3 PK1證書和TLS的認(rèn)證機(jī)制

2、EAP-MD5

EAP-MD5是另一個IETF開放標(biāo)準(zhǔn)，但提供最少的安全。MD5 Hash函數(shù)容易受到字典攻擊，它被使用在不支持動態(tài)WEP的EAP中。圖5就是EAP-MD5的認(rèn)證交互過程。

由于EAP-MD5的安全問題，目前Cisco lP電話已不支持這種認(rèn)證方式。

3、EAP-FAST

EAP-FAST（基于安全隧道的靈活認(rèn)證，F(xiàn)lexibleAuthentication via Secure Tunneling）是一個由思科提出的協(xié)議方案，用于替代LEAP。設(shè)計該協(xié)議是為了解決LEAP實現(xiàn)“輕量級”時的缺點。在EAP-FAST中使用服務(wù)器證書是可選的EAP-FAST使用一個PAC（保護(hù)訪問憑證，Protected AricessCredential）來建立TLS隧道，并通過該隧道對客戶端證書進(jìn)行驗證。

四、總結(jié)

本文主要介紹了802.lx協(xié)議以及相關(guān)的內(nèi)容，通過對Cisco lP電話802.lx功能的介紹，使我們了解到802.1x在Cisco IP電話上的應(yīng)用。