802.1X与Cisco基于身份的网络服务(IBNS)
Cisco基于身份的网络服务(Identity-Based Networking Services,IBNS)是一种以IEEE802.1X标准为基础的安全架构,具有认证、用户策略、访问控制等多种功能,能提供一套完善的安全解决方案。它对设备的MAC地址、IP地址和身份凭证进行验证,确保只有合法用户才能接入网络。
802.1X由IEEE802.1X工作组制定,它是一种基于端口的访问控制与认证协议,工作在数据链路层。
Cisco IBNS部署模式
802.1X的构成
• 请求方(Supplicant):要求访问网络资源的客户设备,如终端打印机或者IP电话。
• 认证方(Authenticator):允许或许拒绝请求方访问网络资源的设备,位于请求方与认证服务器之间,如交换机或接入点。
• 认证服务器(Authentication Server):对请求方提供的身份凭证进行验证并将认证结果通知认证方的实体,如Radius服务器。(Cisco 的ACS就是常见的认证服务器)。
802.1X相关认识:
(1) 在请求方没有通过认证之前,认证方端口只允许EAPOL、CDP和STP流量通过
(2) 802.1X使用的是可扩展认证协议(Extensible Authentication Protocol,EAP)
(3) EAP是一种工作在PPP上的通用认证架构,更新后在链路层加入对IEEE802的支持,EAP的IEEE802封装和PPP无关,802.1X无法进行数据链路层或者网络层的协商,采用隧道协议,802.1X才可以使用PAP和CHAP等非EAP认证机制的协商,其本身不具备
(4) EAP不在数据链路层阶段制定所用的认证机制,在认证阶段进行
(5) 请求方和认证方之间可以通过基于局域网的可扩展认证协议(EAP over LAN,EAPOL)相互通信,EAPOL可以支持Ethernet、令牌环、FDDI、WLAN等多种介质,局域网MAC可以直接处理经过EAPOL封装的EAP数据包
(6) EAPOL帧的目标MAC地址始终包含PAE组地址(01:80:C2:00:00:03)
(7) 仅当数据包类型字段为EAP-Packet、EAPOL-Key或者EAPOL-Encapsulated-ASF-Alert时,数据包体才存在
EAP和EAPOL的帧数据包和报文:
1、EAP帧的数据包格式:
2、EAP代码:Request(1)、Response(2)、Success(3)、Failure(4)
3、EAPOL帧的数据包格式:
4、EAPOL数据包类型:EAP-Packet、EAPOL-Start、EAPOL-Logoff、EAPOL-Key、EAPOL-Encapsulated-ASF-Alert
802.1X与Cisco基于身份的网络服务(IBNS)的更多相关文章
- 基于PySpark的网络服务异常检测系统 (四) Mysql与SparkSQL对接同步数据 kmeans算法计算预测异常
基于Django Restframework和Spark的异常检测系统,数据库为MySQL.Redis, 消息队列为Celery,分析服务为Spark SQL和Spark Mllib,使用kmeans ...
- 基于PySpark的网络服务异常检测系统 阶段总结(二)
在上篇博文中介绍了网络服务异常检测的大概,本篇将详细介绍SVDD和Isolation Forest这两种算法 1. SVDD算法 SVDD的英文全称是Support Vector Data Descr ...
- 2013-7-27 802.1X学习
最近搭了企业级加密的server 2003服务器,教程完全google,无任何自主创新.折腾了一周,总算搞定了,同时也验证了server 2003下的TLS和PEAP0加密算法是正常的. 至于搭建se ...
- 使用802.1X+FreeRadius+LDAP实现网络准入方案
前言:在很多运维项目交流中,我们发现有一些运维团队还是在尝试使用网管或桌面管理来进行网络准入管理,但这两个技术有一定的缺点,所以本文分享一下802.1X+开源软件整合的网络准入管理的实践. 网络准入业 ...
- 802.1x协议&eap类型
EAP: 0,扩展认证协议 1,一个灵活的传输协议,用来承载任意的认证信息(不包括认证方式) 2,直接运行在数据链路层,如ppp或以太网 3,支持多种类型认证 注:EAP 客户端---服务器之间一个协 ...
- [daily][netctl] netctl有线网络连接使用802.1x进行验证上网
由于企业安全管理要求,需要验证上网.验证方式是账号密码+802.1x 目前先调研了一下方案,还没有实施,大概调研结果如下: 先参考:https://jlk.fjfi.cvut.cz/arch/manp ...
- 802.1X和NAP整合实验手册
实验描述 公司内部有多个部门,创建了域的架构,并搭建了DHCP服务器和Radius服务器,要求每个部门都独享一个网段,实现每位用户插上网线后,跳出窗体进行身份验证,如果用户通过验证,根据用户所在的部门 ...
- IEEE 802.1X标准
1.介绍 802.1X是一个IEEE标准,通过对用户进行基于端口的安全认证和对密钥的动态管理,从而实现保护用户用户的位置隐私和身份隐私以及有效保护通信过程中信息安全的目的. 在802.1X协议中,只有 ...
- 802.1X技术介绍
1.802.1X IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议.后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太 ...
随机推荐
- 6.mybatis----日志工厂
日志工厂 如果一个数据库操作出现了异常,我们需要排错,所以说日志就是最好的助手 曾经:sout,debug 现在:日志工厂 在Mybatis中具体使用哪一个日志,在设置中设定 咋设定? 在mybati ...
- docker 环境部署
docker 查看所有容器 docker ps -a docker 查看所有running 容器: docker ps docker 停止全部容器: docker stop $(docker ps ...
- Python反编译调用有道翻译(附完整代码)
网易有道翻译是一款非常优秀的产品,他们的神经网络翻译真的挺无敌.无奈有道客户端实在是太难用了,而且在某些具体场景 (比如对网站进行批量翻译) 无法使用,而有道的云服务又特别的贵,一般人是无法 ...
- CentOS7服务器状态下安装xampp
遇到的问题 1.远程不能访问phpmyadmin,只能在本地访问,但是本地为命令行模式. 需要修改一下服务器端的配置,我们找到 /opt/lampp/etc/extra/httpd-xampp.con ...
- 路飞-pip源
pip安装源 介绍 """ 1.采用国内源,加速下载模块的速度 2.常用pip源: -- 豆瓣:https://pypi.douban.com/simple -- 阿里: ...
- Linux实现树莓派3B的国密SM9算法交叉编译——(二)miracl库的测试与静态库的生成
先参考这篇文章 Linux实现树莓派3B的国密SM9算法交叉编译——(一)环境部署.简单测试与eclipse工程项目测试 部署好环境,并简单测试交叉编译环境是否安装成功,最后实现在Eclipse上进行 ...
- Codeforces Round #621 (Div. 1 + Div. 2) D
题意: 给n,m,k,有n个点,m条线,距离都是一: 有k个特殊点,选择其中两个,进行相连,距离变为1,使得原本的最短路,经过相连改变小或者不变,最终结果是所有结果里面的最大距离. 思路: 选择i,j ...
- Go键盘输入和打印输出
package main import ( "fmt" "bufio" "os" ) func main() { /* 输入和输出: fmt ...
- SpringAOP学习之5种通知
一.Spring的AOP分为以下5种类型通知 ①前置通知(Before):在连接点执行前执行该通知 ②正常返回通知(AfterReturning):在连接点正常执行完后执行该通知,若目标方法执行异常则 ...
- Bugku-CTF加密篇之告诉你个秘密(ISCCCTF)
告诉你个秘密(ISCCCTF) 636A56355279427363446C4A49454A7154534230526D6843 56445A31614342354E326C4B4946467A5 ...