Se usa para el control de acceso a la red basado de puertos (PNAC) para autenticar redes LAN y WLAN. Componentes:
- EAP (Protocolo de Autenticacion Extensible): Definido por varios RFC1 e IEEE2, proporcionando un transporte encapsulado para autenticar,
- (EAPoL)EAP sobre LAN: protocolo de encapsulacion de capa 2, definido por 802.1X para el transporte de mensajes EAP LAN y WLAN IEEE 802, permitido por defecto y se usa en la verificacion con un servidor RADIUS
- RADIUS: Protocolo AAA utilizado por EAP
Roles:
- Supplicant: El software de equipo final que comunica y proporciona las credenciales de identidad a travez de EAPoL con el autenticador
- Autenticador: Un dispositivos de acceso a la red (NAD), como un switch o WLC(Wireless LAN Controller), controla el acceso por la autenticacion del usuario final.
- Servidor de Autenticacion: Servidor RADIUS para autenticar el cliente
Pasos Autenticar 802.1X:
- El autenticador envia tramas de identificacion/solicitud EAP periodicas, a travez de los puertos conectaddos
- El autenticador permite mensajes EAP entre el solicitante y el servidor de autenticacion
- Si la autenticacion es exitosa, el servidor devuelve un mesaje de aceptacion de acceso a travez de RADIUS
MAB Mac Authentication Bypass permite acceder a dispositivos usando la direccion MAC, Alternativo a 802.1X, cuando se activa RADIUS le pide al switch a escuchar los EAPoL
- El switch envia solicitud de identidad EAPoL al equipo final cada 30 segundos
- El switch inicia MAB, permite un paquete para aprender la MAC de origen del equipo final
- El servidor Radius ve si el dispositivo debe tener acceso a la red
WebAuth La autenticacion Web se usa para dispositivos finales, Alternativa a 802.1X, WebAuth es para usuarios y verifica con contraseñas, hay 2 tipos de autenticacion
- Web Local
- Web Centralizada con Cisco ISE
Extras
La entrada de Wikipedia EN - IEEE 802.1X recopila informacion