NAC(network access control)网络接入控制,通过认证的方式实现使得合法的通过认证的用户可以接入到网络中,非法的用户不能接入到网络中。
NAC包括由802.1x认证,Mac认证和portal认证等,可以通过不同的应用场景使用不同的认证。
使用NAC后,端口有两种状态,一种是授权状态一种是非授权状态。对于通过认证的用户所接入的端口就变为授权状态,而未通过认证的用户所在接口就变为非授权状态,非授权状态的接口在逻辑上就是down,即不能接入到当前网络。
802.1x认证
用户需要下载相应的客户端,然后在客户端上输入之前申请并通过的用户账号密码。802.1x认证又包括终结认证和中继认证。
认证模式
1、基于接口:基于物理接口认证(相对不安全,只有该接口有用户接入认证即可通过流量)
假设A用户是合法用户、802.1X配置在G1接口,当A设备通过802.1X认证后,用户B的流量不需要认证也可以通过该网络
2、基于MAC :基于设备MAC地址认证(相对于接口更加安全,每个用户需要单独认证)
认证方式 :
1,EAP终结模式
①用户需要接入当前的网络,需要打开802.1x的客户端,输入之前授权登记过的用户名和密码,此时会向设备端发送EAPOL-start,向设备的请求认证
②设备端收到后,会回收一个EAP-request报文,请求客户端的用户名,
③客户端回复EAP-response报文,携带自己的用户名,
④设备端回复EAP-request报文,携带设备端生成的MD5 challenge,
⑤用户端根据MD5算法进行加密,生成的密码信息,通过EAP-response报文发送给设备端
⑥设备端收到后,将用户名+加密的密码信息+MD5算法,通过radius access-request报文发送给radius服务器,
服务器通过用户名查找到密码,再根据MD5算法生成一个加密的信息,再对比设备端发来的加密信息,一致则认证成功回送 radius access-accpet,
⑦设备端收到radius服务器发送过来的认证成功报文后,就会将这个认证的用户所在的端口改为授权端口,运行用户发送数据,并向客户端回送EAP-success报文,
⑧之后,用户需要接入网络期间都会周期性和设备端交互握手报文,设备端可以监测客户端的在线情况。
缺省情况下,设备端两次没有收到客户端的回应,就会让客户端下线,并发送EAP-failure报文,将连接客户端的端口变为非授权端口,
或者客户端也可以主动发送EAPOL-logoff报文主动下线。
2,EAP中继模式
EAP中继模式,和终结模式的区别就是在于,终结模式就是生成的MD5 challenge是由设备端生成,服务器只是来对比加密的信息,而中继模式的密钥是服务器生成的,而对比加密信息都是由服务器完成的。
Mac旁路认证,设备3次认证请求,client无应答,那么设备会自动学习client的Mac地址,并且以Mac作为hash参数,发送给server,
被动的,场景超市的POS机
Mac认证----哑终端
用户主动使用自己的Mac地址作为用户名进行认证,也是不需要安装客户端软件
portal认证,web认证,
场景:商城,接入到网络后会跳转到web界面进行认证
首先是连接到portal服务器,然后服务器将认证信息发送给接入设备,然后接入设备给认证服务器
应用场景:
802.1x用在办公网,需要安装客户端,稳定的终端,流动性不强,支持大中型的认证需求。
Mac认证,不需要客户端,流动性不强,支持小型的认证需求。
portal,不需要客户端,支持流动性强,支持大型认证需求。
注意:
PPPoE也是接入认证协议,但不同的是PPPoE是广域网接入认证协议,而如上提到的是局域网的认证协议,可以实现内网的接入控制。
