计算机网络——3A安全认证

01 安全认证的产生原因

我们知道有许多安全措施，其中包括DHCP反欺骗安全措施，ARP反欺骗安全措施。

DHCP反欺骗安全措施，限定了一台主机请求的IP地址数量，相当于规定了一个人最多吃两碗饭，如果你想要第三碗，我是不会给你的。


ARP反欺骗安全措施,记载了IP地址、MAC地址、端口的对应信息， 如果你想欺骗我，我这都有记录，你是骗不了我的


虽然有这些安全措施，但是如果局域网没有认证，外来访客、合作伙伴都可以将电脑插入交换机，或者连上公司无线AP，以上介绍的种种安全措施又有何用呢？

是的，你房间里布置了各种安保措施，看似很安全。但是你大门却敞开着，妖魔鬼怪都可以进来逛一逛，这还安全嘛？

所以，认证，这是网络安全的前提，是布置安保措施必须做的。

02 入网安全三要素

入网安全三大要素分别是：
认证（Authentication）
授权（Authorization）
审计（Accounting）
简称AAA

具体来说：

1、首先，用户接入网络需要验证身份

2、认证合法用户，然后给相对应的权限。

比如公司员工有最高权限，可以访问公司几乎所有网络
合作伙伴次之，可以访问特定的网络资源
而访客只需要有访问外部互联网的权限就可以了

3、最后，要将用户的上网行为记录在日志文件里，可以追踪用户的所作所为，震慑用户不要为非作歹

03 员工的位置信息经常变动情况下，管理员的VLAN配置

这分明是不现实的，工作量太大了。而如何克服这个矛盾呢？

有的，这就是企业网目前正在使用的一项技术——ISE

这项技术的原理是：通过认证身份信息，给主机配置身份信息对应的VLAN信息

具体来说：

接入交换机一旦检测到用户信号，就会发起对用户的认证，然后把用户信息加密传输到后台的认证服务器，如Radius服务器，服务器获得用户的ID信息，认证通过之后，根据不同身份、不同部门、分配特定的VLAN

这个特定的VLAN就代表不同的权限，然后后台服务器动态地将用户特定的VLAN传输给接入交换机，交换机在动态配置到交换机上，这一切都是动态的，网络管理员就不要死命的为用户配置VLAN信息了

04 3A认证协议工作流程

原理说起来简单，但是其实背后有着许多协议的交互，我们先从认证开始说起：

点对点链路使用PPP协议封装，在用PAC/CHAP/EAP来认证客户端。比如电话拨号PPP、宽带ADSL PPPoE 、光纤 EPON/GPNO PPPoE，最终都会使用这三个协议来认证用户

以太网是多路访问网络，使用802.1x协议来认证客户端，这是一个链路层的协议，直接将802.1x放在以太网帧后面，无须IP协议头，和ARP协议类似。下面，描述一下整个工作流程：

小明插入网线，打开电脑，电脑初始化TCP/IP协议栈，由一个独立进程构成的,IP进程负责IP协议的初始化，如IP地址、网络掩码等，这是给程序的一些参数初始化。

这时IP进程发现IP参数的获得方式是DHCP，于是发送DHCP Disvovery广播报文。

交换机端口状态此时有点奇怪，接受到了DHCP报文直接丢弃了，这是为什么呢？

因为此时端口还处于未认证状态，交换机认为你是陌生人，只接受你的认证报文， 换句话说，802.1x报文可以自由通信，其他一律禁行




接到了小明的DHCP报文，交换机知道有用户要接入，触发了认证过程：

1、交换机发一个802.1x报文给小明，目的MAC是小明的MAC，报文的内容是：请出示你的通行证（用户ID）

2、小明的802.1x进程接收到，立马回复说：我的ID是xiaomin，你可以检查一下

3、交换机拿过小明的ID信息，加密传输小明的用户ID给Radius，让上头查一查

4、Radius服务器用共享密钥，解密交换机的加密报文，获得小明的用户ID，然后选取和小明账户相关的认证方法。

假设是EAP-MD5 Chalenge认证方法，则还需要对小明进行明文挑战，明文内容为：你真的是我们的人吗？使用IP/UDP/Radius/EAP封装，发给交换机

5、交换机提取出Radius里的EAP协议消息，在封装成Ethernet/802.1x/EAP，发给小明，由于这里EAP封装在二层协议头，所以称它位 EAP over LAN


6、小明电脑获得明文挑战内容：你真的是我们的人吗？ 将其与小明账户密码做字符串连接，然后做MD5散列，生成一个挑战回答，并发送出去

7、交换机提取出EAP消息，然后IP/UDP/Radius/EAP封装，发给Radius服务器

8、服务器获得小明的挑战回答，用本地数据库小明密码与挑战做同样的运算，得到自己的挑战回答，如果两值相等，则认证通过，否则认证失败


9、服务器给交换机发一个认证成功的消息，同时还有小明的VLAN10,以及端口特有配置参数。

10、交换机将获得小明端口号的信息，VLAN 10 等配置到端口上，同时更新端口为认证成功状态，即正常工作状态，发一个认证消息给小明，此时可以接受小明的任何报文

11、小明收到认证成功的消息，会触发DHCP进程继续发送 DHCP Discovery广播报文，此广播报文会被位于VLAN 10的网关接收，网关将此广播报文中级给DHCP服务器 10.10.10.10 ，触发后续DHCP操作

12、小明有了自己的IP地址，可以继续登录公司的网络，然后完成所有进程的初始化，可以正常工作了

05 相关知识问答

1、如果打印机，扫描仪、古董服务器不支持802.1x认证，那么该如何认证它们呢？

因为这些设备通常情况下不会经常移动，所以我们可以直接使用MAC地址认证。

预先把这些机器的MAC地址输入认证服务器的数据库，对这些机器使用MAC做用户ID。

配置交换机安装以下顺序来认证用户、机器：

①802.1x

②MAC

③默认

如果机器不支持①，会超时时选择②，只要交换机可以捕获机器的任何报文，就可以获得其MAC，任何再进行认证，最终分配特定的VLAN

访客则会①、②超时，最终交换机会使用默认VLAN，这个默认VLAN只能访问Internet

2、为何说不同的VLAN代表不同的访问权限？

①在一个安全性较高的公司，网关一般由防火墙充当，防火墙使用物理接口下的子接口，采用802.1q封装，可以是任何VLAN里的一员

②VLAN则代表不同的网段，会通过访问控制列表ACL来进行权限控制

以上文章，作为自己的学习笔记，仅供参考

本文完，感谢你的阅读！！！

最后，如果本文对你有所帮助，希望可以点个赞支持一下。你们的鼓励将会是博主原创的动力。