朱曉偉

【摘要】 本文主要對(duì)802.lx協(xié)議做了簡(jiǎn)單的介紹，并給出了一個(gè)基于802.lx協(xié)議的具體的認(rèn)證應(yīng)用案例--Cisco lP電話(huà)。

【關(guān)鍵詞】 802.1x認(rèn)證EAP

一、802.1x協(xié)議的簡(jiǎn)單介紹

802.lx協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶(hù)/設(shè)備通過(guò)接入端口訪問(wèn)LAN。

在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802_lx對(duì)連接到交換機(jī)端口上的用戶(hù)/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.lx只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口。認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。

基于端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：

IEEE802.Ix協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；

借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；

802.lx的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS（RemoteAuthentication Dial In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)）和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶(hù)的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換，通過(guò)認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包；

可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；

可以映射不同的用戶(hù)認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無(wú)線LAN具有安全的認(rèn)證接人功能。

二、Cisco lP電話(huà)802.1x認(rèn)證過(guò)程

l、圖l就是Cisco IP電話(huà)的802.lx認(rèn)證過(guò)程流程圖。其中RADIUS服務(wù)器使用的是Cisco Secure ACS服務(wù)器，Cisco lP電話(huà)上需要啟用802.lx認(rèn)證服務(wù)。

2、Cisr，o lP電話(huà)有一個(gè)PC Port能連接PC，同時(shí)也能夠?yàn)檫B接的這臺(tái)PC提供802.lx認(rèn)證服務(wù)。

圖2的解決方案是利用CDP bypass方式，允許CDP包交換。Cisco IP電話(huà)可以給包打上tag，因?yàn)樗麄兪菑腃DP包中得到VLAN信息的。CDP包的交換可以使電話(huà)不受802.1x的限制。

在最新的方案中，Multi-Domain Authentication （MDA）代替了CDP hypass的方式。這種方式可以同時(shí)讓電話(huà)機(jī)和PC通過(guò)802.lx認(rèn)證。由于這種方式需要相關(guān)交換機(jī)型號(hào)的支持，我實(shí)驗(yàn)的環(huán)境中沒(méi)有這類(lèi)交換機(jī)，因此也沒(méi)有進(jìn)行Multi-Domain Authentication （MDA）方式的認(rèn)證實(shí)驗(yàn)。

三、Cisco lP電話(huà)的各種認(rèn)證方式

Cisco IP電話(huà)主要運(yùn)用的是EAP-FAST、EAP-TLS。以前還支持EAP-MD5，現(xiàn)在由于安全性問(wèn)題，最新已經(jīng)不支持EAP-MD5了。不同認(rèn)證方式的改變是通過(guò)在Cisco SecureACS服務(wù)器上設(shè)置改變相應(yīng)的認(rèn)證協(xié)議，同時(shí)也需要在Cisco Secure ACS服務(wù)器上為需要認(rèn)證的設(shè)備設(shè)置一個(gè)用戶(hù)賬號(hào)。

1、EAP-rrLS

Cisco IP電話(huà)使用EAP-TLS認(rèn)證過(guò)程如下圖4。

1 ）lP電話(huà)提供的證書(shū)是有效的（有效期和CA Root trust）

2） CRL（certificate revocalionlist）驗(yàn)證。

3）和數(shù)據(jù)庫(kù)里和RADIUS提供給交換機(jī)的Common Name （CN）進(jìn)行對(duì)比。

4）電話(huà)機(jī)可以接入網(wǎng)絡(luò)。

EAP-TLS認(rèn)汪方法使用的是X.509 v3 PK1證書(shū)和TLS的認(rèn)證機(jī)制

2、EAP-MD5

EAP-MD5是另一個(gè)IETF開(kāi)放標(biāo)準(zhǔn)，但提供最少的安全。MD5 Hash函數(shù)容易受到字典攻擊，它被使用在不支持動(dòng)態(tài)WEP的EAP中。圖5就是EAP-MD5的認(rèn)證交互過(guò)程。

由于EAP-MD5的安全問(wèn)題，目前Cisco lP電話(huà)已不支持這種認(rèn)證方式。

3、EAP-FAST

EAP-FAST（基于安全隧道的靈活認(rèn)證，F(xiàn)lexibleAuthentication via Secure Tunneling）是一個(gè)由思科提出的協(xié)議方案，用于替代LEAP。設(shè)計(jì)該協(xié)議是為了解決LEAP實(shí)現(xiàn)“輕量級(jí)”時(shí)的缺點(diǎn)。在EAP-FAST中使用服務(wù)器證書(shū)是可選的EAP-FAST使用一個(gè)PAC（保護(hù)訪問(wèn)憑證，Protected AricessCredential）來(lái)建立TLS隧道，并通過(guò)該隧道對(duì)客戶(hù)端證書(shū)進(jìn)行驗(yàn)證。

四、總結(jié)

本文主要介紹了802.lx協(xié)議以及相關(guān)的內(nèi)容，通過(guò)對(duì)Cisco lP電話(huà)802.lx功能的介紹，使我們了解到802.1x在Cisco IP電話(huà)上的應(yīng)用。