802.1X与Cisco基于身份的网络服务(IBNS)
Cisco基于身份的网络服务(Identity-Based Networking Services,IBNS)是一种以IEEE802.1X标准为基础的安全架构,具有认证、用户策略、访问控制等多种功能,能提供一套完善的安全解决方案。它对设备的MAC地址、IP地址和身份凭证进行验证,确保只有合法用户才能接入网络。
802.1X由IEEE802.1X工作组制定,它是一种基于端口的访问控制与认证协议,工作在数据链路层。
Cisco IBNS部署模式
802.1X的构成
• 请求方(Supplicant):要求访问网络资源的客户设备,如终端打印机或者IP电话。
• 认证方(Authenticator):允许或许拒绝请求方访问网络资源的设备,位于请求方与认证服务器之间,如交换机或接入点。
• 认证服务器(Authentication Server):对请求方提供的身份凭证进行验证并将认证结果通知认证方的实体,如Radius服务器。(Cisco 的ACS就是常见的认证服务器)。
802.1X相关认识:
(1) 在请求方没有通过认证之前,认证方端口只允许EAPOL、CDP和STP流量通过
(2) 802.1X使用的是可扩展认证协议(Extensible Authentication Protocol,EAP)
(3) EAP是一种工作在PPP上的通用认证架构,更新后在链路层加入对IEEE802的支持,EAP的IEEE802封装和PPP无关,802.1X无法进行数据链路层或者网络层的协商,采用隧道协议,802.1X才可以使用PAP和CHAP等非EAP认证机制的协商,其本身不具备
(4) EAP不在数据链路层阶段制定所用的认证机制,在认证阶段进行
(5) 请求方和认证方之间可以通过基于局域网的可扩展认证协议(EAP over LAN,EAPOL)相互通信,EAPOL可以支持Ethernet、令牌环、FDDI、WLAN等多种介质,局域网MAC可以直接处理经过EAPOL封装的EAP数据包
(6) EAPOL帧的目标MAC地址始终包含PAE组地址(01:80:C2:00:00:03)
(7) 仅当数据包类型字段为EAP-Packet、EAPOL-Key或者EAPOL-Encapsulated-ASF-Alert时,数据包体才存在
EAP和EAPOL的帧数据包和报文:
1、EAP帧的数据包格式:
2、EAP代码:Request(1)、Response(2)、Success(3)、Failure(4)
3、EAPOL帧的数据包格式:
4、EAPOL数据包类型:EAP-Packet、EAPOL-Start、EAPOL-Logoff、EAPOL-Key、EAPOL-Encapsulated-ASF-Alert
802.1X与Cisco基于身份的网络服务(IBNS)的更多相关文章
- 基于PySpark的网络服务异常检测系统 (四) Mysql与SparkSQL对接同步数据 kmeans算法计算预测异常
基于Django Restframework和Spark的异常检测系统,数据库为MySQL.Redis, 消息队列为Celery,分析服务为Spark SQL和Spark Mllib,使用kmeans ...
- 基于PySpark的网络服务异常检测系统 阶段总结(二)
在上篇博文中介绍了网络服务异常检测的大概,本篇将详细介绍SVDD和Isolation Forest这两种算法 1. SVDD算法 SVDD的英文全称是Support Vector Data Descr ...
- 2013-7-27 802.1X学习
最近搭了企业级加密的server 2003服务器,教程完全google,无任何自主创新.折腾了一周,总算搞定了,同时也验证了server 2003下的TLS和PEAP0加密算法是正常的. 至于搭建se ...
- 使用802.1X+FreeRadius+LDAP实现网络准入方案
前言:在很多运维项目交流中,我们发现有一些运维团队还是在尝试使用网管或桌面管理来进行网络准入管理,但这两个技术有一定的缺点,所以本文分享一下802.1X+开源软件整合的网络准入管理的实践. 网络准入业 ...
- 802.1x协议&eap类型
EAP: 0,扩展认证协议 1,一个灵活的传输协议,用来承载任意的认证信息(不包括认证方式) 2,直接运行在数据链路层,如ppp或以太网 3,支持多种类型认证 注:EAP 客户端---服务器之间一个协 ...
- [daily][netctl] netctl有线网络连接使用802.1x进行验证上网
由于企业安全管理要求,需要验证上网.验证方式是账号密码+802.1x 目前先调研了一下方案,还没有实施,大概调研结果如下: 先参考:https://jlk.fjfi.cvut.cz/arch/manp ...
- 802.1X和NAP整合实验手册
实验描述 公司内部有多个部门,创建了域的架构,并搭建了DHCP服务器和Radius服务器,要求每个部门都独享一个网段,实现每位用户插上网线后,跳出窗体进行身份验证,如果用户通过验证,根据用户所在的部门 ...
- IEEE 802.1X标准
1.介绍 802.1X是一个IEEE标准,通过对用户进行基于端口的安全认证和对密钥的动态管理,从而实现保护用户用户的位置隐私和身份隐私以及有效保护通信过程中信息安全的目的. 在802.1X协议中,只有 ...
- 802.1X技术介绍
1.802.1X IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议.后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太 ...
随机推荐
- 题解【POJ3252】Round Numbers
Description The cows, as you know, have no fingers or thumbs and thus are unable to play Scissors, P ...
- HTML学习(10)图像
HTML图像标签<img>,没有闭合标签 <img src="" alt="" width="" height=" ...
- python调用c/c++ (入参出参为指针)
python可以使用ctypes库调用c++编译的so库函数 0x01 c/c++编译为so库文件 编译C文件 gcc -o libpycallfoo.so -shared -fPIC rsa.c ...
- 使用Id访问table对象,使用Id访问Input对象
先看例子(好吧 无意中发现 可以通过Id访问DOM元素,如div) <!DOCTYPE html> <html> <head> <meta cha ...
- Demo:基于 Flink SQL 构建流式应用
Flink 1.10.0 于近期刚发布,释放了许多令人激动的新特性.尤其是 Flink SQL 模块,发展速度非常快,因此本文特意从实践的角度出发,带领大家一起探索使用 Flink SQL 如何快速构 ...
- C9300升级-USB
1.show ver查看设备的版本 2.一些版本信息的参考 3.准备USB查看其具备的镜像命令:dir usbflash0: 4.复制镜像到设备命令:copy usbflash0:cat9k_iosx ...
- 1.4、WebRTC源码
文章导读:本篇文章给读者展示WebRTC的源码目录结构,为读者构建全方位的知识体系,如果你有兴趣下载webrtc的源码来编译运行,本节内容可以作为你了解源码的简要说明书,webrtc源码非常庞大的,讲 ...
- kvm增加磁盘容量
一.qcow2格式 查看镜像文件实际占用空间 ls -alh t.qcow2 加容量(只能加不能减) qemu-img resize t.qcow2 +1G 查看qcow2信息 qemu-img in ...
- Educational Codeforces Round 70 (Rated for Div. 2) 题解
比赛链接:https://codeforc.es/contest/1202 A. You Are Given Two Binary Strings... 题意:给出两个二进制数\(f(x)\)和\(f ...
- python-用正则表达式筛选文本信息
[摘要] 本文主要介绍如何对多个文本进行读取,并采用正则表达式对其中的信息进行筛选,将筛选出来的信息存写到一个新文本. 打开文件:open(‘文件名’,‘打开方式’)>>>file ...