引言:眾所周知,交換機上的MAC地址表很容易受到攻擊。使用接入安全技術(shù),可以對該端口進行限制(例如限制其MAC地址數(shù)量,對其進行賬戶認證等),來有效解決該問題。具體的解決方法包括端口安全和802.1X認證技術(shù)。
眾所周知,交換機上的MAC地址表很容易受到攻擊。使用接入安全技術(shù),可以對該端口進行限制(例如限制其MAC地址數(shù)量,對其進行賬戶認證等),來有效解決該問題。具體的解決方法包括端口安全和802.1x認證技術(shù)。
在無線網(wǎng)絡(luò)領(lǐng)域,802.1x認證模式特得到了日益廣泛的應用。例如對于無線網(wǎng)絡(luò)常用的 WEP,WPA,WPA2等基于預共享密鑰的認證技術(shù)來說,其實際上是可以被破解。
為提高安全性,可以使用802.1認證框架。這樣,當用戶連接無線網(wǎng)絡(luò)時,必須經(jīng)過802.1X的安全認證過程,只有輸入正確的賬戶名和密碼才可以連接到無線網(wǎng)絡(luò)中。當然,在802.1X中還可以實現(xiàn)基于證書的認證,這樣可以大大提高安全性。
當客戶端剛連接到交換機后,交換機會立即發(fā)出一個EAP要求,要求客戶端進行認證,之后客戶端會發(fā)送賬戶名和密碼信息,在該過程中使用EAPOL協(xié)議進行封裝。當交換機處理時,會從封裝的信息中提取賬戶名和密碼信息,使用Radius協(xié)議進行封裝,并基于IP傳送給認證服務器,認證服務器在自己的數(shù)據(jù)庫中進行查詢,如果認證通過,則返回給交換機一個允許通過的消息,讓客戶機可以正常接入。
以簡單的例子來說明如何實現(xiàn)基于802.1x的安全認證。在一臺思科三層交換機上的e0/2接口上連接了一臺ACS服務器,該服務器的IP為10.1.1.100,在交換機的e0/0接口上連接一臺客戶機,其地址為20.1.1.2,在該交換機的e0/1接口上連接了一臺路由器,其IP為20.1.1.1。……