cjh 802.1X 2022-09-08 此文章访问量 4202

802.1x认证方式(EAP中继认证eap、EAP终结认证chap、pap)

802.1x认证方式(EAP中继认证eap、EAP终结认证chap、pap)
802.1x认证系统使用可扩展认证协议EAP（Extensible Authentication Protocol）来实现客户端、设备端和认证服务器之间认证信息的交换，各实体之间EAP协议报文的交互形式如下。
    在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，并直接承载于LAN环境中。
    在设备端与认证服务器（以RADIUS服务器为例）之间，EAP协议报文可以使用两种方式进行交互，具体如表1所示。
    表1 802.1X认证方式

认证方式	定义	优势	劣势
EAP中继认证	也叫EAP透传认证，由网络接入设备直接把802.1X用户的认证信息以及EAP报文直接封装到RADIUS报文的属性字段中，发送给RADIUS服务器，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。	可以支持的认证方式包括： MD5-Challenge：例如基于Linux操作系统的Xsupplicant客户端和FreeRadius服务器之间可以采用MD5-Challenge认证。服务器需要配置MD5策略属性。EAP-MD5认证方式简单。 EAP-TLS：例如基于Symantec Endpoint的客户端和基于Symantec Enforcer 6100的RADIUS服务器之间可以采用不带证书的EAP-TLS认证方式。EAP-TLS认证方式安全性较好。 EAP-PEAP：例如Windows XP操作系统自带的客户端和Windows Server 2003自带的RADIUS服务器之间可以采用EAP-PEAP认证方式。EAP-PEAP认证方式安全性较好。说明： CE系列交换机不支持除此之外的中继认证方式。	要求RADIUS服务器支持相应的认证方法。
EAP终结认证	由网络接入设备终结用户的EAP报文，解析出用户名和密码，并对密码进行加密，再将EAP报文转换成标准的RADIUS报文后发给RADIUS服务器来完成认证。	RADIUS服务器并不需要支持EAP认证，减轻了服务器压力。	设备端处理较为复杂。

802.1X认证系统使用可扩展认证协议EAP（Extensible Authentication Protocol）来实现客户端、设备端和认证服务器之间认证信息的交换，各实体之间EAP协议报文的交互形式如下：
（1）在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，并直接承载于LAN环境中。
（2）在设备端与RADIUS服务器之间，EAP协议报文可以使用以下两种方式进行交互。
EAP中继：EAP协议报文由设备端进行中继，设备将EAP报文使用EAPOR（EAP over RADIUS）封装格式承载于RADIUS协议中，发送给RADIUS服务器进行认证。该认证方式的优点是：设备处理简单，可支持多种类型的EAP认证方法，例如MD5-Challenge、EAP-TLS、PEAP等，但要求服务器端支持相应的认证方法。
EAP终结：EAP协议报文由设备端进行终结，设备将客户端认证信息封装在标准RADIUS报文中，与服务器之间采用密码验证协议PAP（Password Authentication Protocol）或质询握手验证协议CHAP（Challenge Handshake Authentication Protocol）方式进行认证。该认证方式的优点是：现有的RADIUS服务器基本均可支持PAP和CHAP认证，无需升级服务器，但设备处理较为复杂，且不能支持除MD5-Challenge之外的其它EAP认证方法。

设备支持如下EAP协议：EAP-CHAP（EAP-MD5）、EAP-PAP、EAP-TLS、EAP-TTLS和EAP-PEAP。

关于EAP中继认证需要注意：
    在V100R003C10版本中，仅支持MD5-Challenge认证；
    在V100R005C00版本中，支持MD5-Challenge认证、不带证书的EAP-TLS认证；
    在V100R005C10版本中，加载V100R005SPH003版本及之后版本的补丁后，除了支持MD5-Challenge认证、不带证书的EAP-TLS认证外，增加支持EAP-PEAP认证和带证书的EAP-TLS认证；
    在V100R006C00版本及之后版本中，支持MD5-Challenge认证、EAP-PEAP认证、EAP-TLS认证。

命令dot1x authentication-method { chap | pap | eap }，配置802.1x认证方式。
缺省情况下，802.1x认证方式为CHAP。
    PAP是一种两次握手认证协议，它采用明文方式加载到RADIUS报文中传送口令。该方式安全性较低，不建议使用。
    CHAP是一种三次握手认证协议，它只在RADIUS报文中传输用户名，而并不传输口令。相比之下，CHAP认证保密性较好，更为安全可靠。如果是基于安全性的考虑，建议采用该方式。
    EAP认证功能，设备不对接收到的包含用户认证信息的EAP报文作任何处理，直接封装到RADIUS报文中发送给RADIUS服务器完成认证，这个技术也称之为EAPOR（EAP over Radius）。如果采用EAP-MD5认证方法，只需启动EAP认证即可。
其中PAP和CHAP认证属于终结认证，EAP方式属于中继认证方式。

可在系统视图或接口视图下配置，在系统视图下配置对设备的所有接口生效，在接口视图下配置仅对指定接口生效。若同时在系统视图和接口视图下配置，则以接口视图下的配置为准。
操作步骤
    系统视图下配置：
        执行命令system-view，进入系统视图。
        执行命令dot1x authentication-method { chap | pap | eap }，配置802.1x认证方式。
        缺省情况下，802.1x认证方式为CHAP。

        其中PAP和CHAP认证属于终结认证，EAP方式属于中继认证方式。

    接口视图下配置：
        执行命令system-view，进入系统视图。
        执行命令interface interface-type interface-number，进入接口视图。
        执行命令dot1x authentication-method { chap | pap | eap }，配置802.1x认证方式。

        缺省情况下，802.1x认证方式为CHAP。

陈：通过实验测试：(命令不能去掉域名，但是radius server可以用微软radius server,它支持误别带域名的用户名)

如果认证方式为eap, 则用户发送过来的用户名到radius上时是去不掉的，就算配置了以下命令（交换机全局也没有配置domain 域名）：

旧版本命令：
radius server group 1
radius server user-name domain-excluded
新版本命令：
radius-server template a1
undo radius-server user-name domain-included

[sw1]dot1x authentication-method eap

从日志上来看，还是收到了带域名的用户名。

图片.png