网络测试详解：802.1X认证原理深入剖析

以太网，作为我们日常生活中常见的网络技术，其优点和缺点一直是我们关注的焦点。以下将从以太网的优点和缺点两个方面进行分析，并介绍相关的安全技术。
首先，以太网的优点显而易见。其一，即插即用，简单快捷。只需将电脑连接到网络，就能访问网络资源，无需繁琐的设置过程。其二，任何一台电脑只要接入网络，便有访问网络资源的权限，大大提高了工作效率。
然而，以太网也存在一些缺点。首先，缺乏安全认证机制。这意味着电脑接到交换机上就能访问网络，安全性得不到保障。其次，二层网络安全问题。二层网络指的是OSI模型中的第二层，主要负责数据链路层的通信。在二层网络中，如果缺乏安全措施，容易遭受攻击。
为了解决这些问题，二层网络安全技术应运而生。其主要方法是在用户接入网络之前进行认证。认证通过后，交换机端口打开，用户可以访问二层局域网；若认证不通过，交换机端口关闭，用户无法访问网络。
随着技术的发展，IEEE 802.1X协议应运而生。它起源于无线标准802.11协议，最初是为解决无线局域网的用户接入认证问题。802.1X具有普适性，可以移植到有线领域。它分为三个角色：客户端（Supplicant）、认证系统（Authenticator）和认证服务器（Authentication Server）。
802.1X认证过程主要发生在客户端和服务器之间。认证系统作为代理，将EAP认证从以太网转为Radius格式，感知认证过程，但不感知认证内容。认证成功后，认证系统打开端口，用户可以访问网络；认证失败，则关闭端口，用户无法访问网络。
EAP（Extensible Authentication Protocol，可扩展认证协议）是802.1X的核心。它是一个认证框架，提供协商“EAP方法”的功能。目前，大约有40种EAP方法，如EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM等。
在EAP方法中，Tunneled EAP是一种常见类型。它是在客户端和服务器之间先建立安全隧道，然后在隧道中使用MD5、GTC、MSCHAP等技术进行认证。典型代表有PEAP、EAP-FAST、TTLS等。
EAPoL（EAP over LAN，基于局域网的扩展认证协议）定义了EAP在以太网上的传输格式。其目标MAC地址是01-80-c2-00-00-03。EAPoL认证全过程分为四个阶段：会话初始化、会话认证、会话授权和会话计费。
总之，以太网作为一种常见的网络技术，具有优点和缺点。随着技术的不断发展，802.1X、EAP等安全技术的应用，使得以太网的安全性得到了很大提升。在未来，以太网技术将继续发展，为我们提供更加便捷、安全的服务。

 一、以太网优点缺点

1．以太网优点

(1)即插即用,简单快捷

(2)任何一台电脑只要接入网络便有访问网络资源的权限

2．以太网缺点

(1)缺乏安全认证机制(二层)

(2)电脑接到交换机上就能访问网络

(3)安全性得不到保障

二、二层网络安全技术

1．在用户接入网络之前进行认证

2．认证通过

(1)交换机端口打开

(2)访问二层局域网

3．认证不通过

(1)交换机端口关闭

(2)不能访问二层局域网

三、802．1X诞生

1．IEEE 802．1X

(1)Port-Based networks Access Control

(2)基于端口的网络接入控制

2．起源于无线标准802．11协议

(1)最初是为解决无线局域网的用户接入认证问题

(2)对局域网具有普适性,移植到有线领域

3．正式标准

(1)IEEE 802委员会制定的LAN标准

(2)2001年6月标准化

4．DOT1x vs 802．1x

(1)DOT1x = 802．1x

(2)“．” 英文是DOT

四、802．1X三个角色

1．Supplicant

(1)客户端

(2)Winow、Linux、MAC、第三方客户端

(3)支持EAPoL认证

2．Authenticator

(1)认证系统

(2)交换机

3．Authentication Server

(1)认证服务器

(2)Radius服务器

(3)思科ACS、华为Policy Center、Freeradius

       五、802．1X认证过程

1．认证发生地点

(1)客户端<--->服务器

(2)认证在客户端和服务器之间进行

2．认证系统

(1)作为代理

(2)将EAP认证从以太网转为Radius格式

(3)感知认证过程

(4)不感知认证内容(交换信息)

       六、802．1X认证结果

1．认证成功

(1)认证系统打开端口

(2)端口状态变为Authenticated

(3)交换机转发客户端发送报文

2．认证失败

(1)认证系统关闭端口

(2)端口状态为Unauthenticated

(3)交换机不转发客户端发送报文

       七、EAP简介

1．802．1X的核心是EAP

(1)认证发生在客户端和认证服务器之间

(2)认证系统透传EAP报文

2．EAP

(1)Extensible Authentication Protocol

(2)可扩展认证协议

(3)RFC5247

       八、EAP是框架

1．EAP是一个认证框架

(1)不是具体的认证机制

(2)提供协商 “EAP方法”的功能

2．EAP方法

(1)RFC5247

(2)大约40种

(3)EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM

       九、EAP方法分类:Tunneled EAP

1．Tunneled EAP

(1)在客户端和服务器之间, 先建立安全隧道

(2)在安全隧道里, 使用 MD5、GTC、MSCHAP

2．典型代表

(1)PEAP、EAP-FAST、TTLS

       十、EAPoL

1．EAPOL

(1)EAP over LAN

(2)基于局域网的扩展认证协议

(3)定义EAP在以太网上的传输格式

2．以太网封装

(1)目标MAC地址是01-80-c2-00-00-03

       十一、EAPoL认证全过程

1．EAP会话四阶段

(1)Session initiation

(2)Session authentication

(3)Session authorization

(4)Session accounting