IEEE 802.1X 是什麼?
現代企業網路的第一道防線,不是防火牆,而是連接埠層級的身分驗證。IEEE 802.1X 定義基於連接埠的網路存取控制(Port-Based NAC),設備在完成身分驗證前,交換器連接埠維持「未授權」狀態,流量無法進入內網。
三方驗證架構:Supplicant、Authenticator、RADIUS
整個驗證流程由三個角色協作完成。Supplicant 是端點設備(如筆電),負責提供憑證;Authenticator 是交換器或 AP,作為流量閘道,本身不驗證身分,僅轉發 EAP 訊息;Authentication Server(RADIUS) 才是真正執行身分比對的核心。驗證成功後,Authenticator 收到 RADIUS Access-Accept,將連接埠切換為授權狀態,設備才能正常上網。EAP(Extensible Authentication Protocol)在整個過程中承載各類驗證方法,常見有 EAP-TLS(憑證)、PEAP(密碼)兩種。
Supplicant Authenticator (Switch) RADIUS Server
|--- EAPOL-Start -------->| |
|<-- EAP-Request/ID ------| |
|--- EAP-Response/ID ---->|--- Access-Request ------>|
| |<-- Access-Challenge -----|
|<-- EAP-Request ---------| |
|--- EAP-Response ------->|--- Access-Request ------>|
| |<-- Access-Accept --------|
|<-- EAP-Success ---------| [Port → Authorized] |
💡 重點整理
- 連接埠預設關閉:驗證成功前,Authenticator 僅允許 EAPOL 封包通過。
- RADIUS 是核心:身分比對、授權政策、VLAN 指派皆由 RADIUS 決定。
- EAP-TLS 最安全:雙向憑證驗證,可防止中間人攻擊。
- 動態 VLAN 指派:RADIUS 可透過 Attribute 64/65/81 動態分配 VLAN,實現細粒度存取控制。
IEEE 802.1X 將「信任」從網路層上移至身分層,搭配 EAP-TLS 與動態 VLAN,可有效實現零信任網路存取的第一哩路,是企業有線與無線網路安全的基石。
📚 參考文獻
- IEEE Std 802.1X-2020 — Port-Based Network Access Control 官方標準文件
- RFC 3748 — Extensible Authentication Protocol (EAP),IETF 官方規範
- FreeRADIUS 官方文件 — 開源 RADIUS 伺服器實作指南
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言