跳到主要內容

IEEE 802.1X 網路存取控制深度解析:Supplicant、Authenticator 與 RADIUS 三方驗證架構實戰指南

IEEE 802.1X 是什麼?

現代企業網路的第一道防線,不是防火牆,而是連接埠層級的身分驗證。IEEE 802.1X 定義基於連接埠的網路存取控制(Port-Based NAC),設備在完成身分驗證前,交換器連接埠維持「未授權」狀態,流量無法進入內網。

三方驗證架構:Supplicant、Authenticator、RADIUS

整個驗證流程由三個角色協作完成。Supplicant 是端點設備(如筆電),負責提供憑證;Authenticator 是交換器或 AP,作為流量閘道,本身不驗證身分,僅轉發 EAP 訊息;Authentication Server(RADIUS) 才是真正執行身分比對的核心。驗證成功後,Authenticator 收到 RADIUS Access-Accept,將連接埠切換為授權狀態,設備才能正常上網。EAP(Extensible Authentication Protocol)在整個過程中承載各類驗證方法,常見有 EAP-TLS(憑證)、PEAP(密碼)兩種。

Supplicant          Authenticator (Switch)       RADIUS Server
    |--- EAPOL-Start -------->|                          |
    |<-- EAP-Request/ID ------|                          |
    |--- EAP-Response/ID ---->|--- Access-Request ------>|
    |                         |<-- Access-Challenge -----|
    |<-- EAP-Request ---------|                          |
    |--- EAP-Response ------->|--- Access-Request ------>|
    |                         |<-- Access-Accept --------|
    |<-- EAP-Success ---------| [Port → Authorized]      |

💡 重點整理

  • 連接埠預設關閉:驗證成功前,Authenticator 僅允許 EAPOL 封包通過。
  • RADIUS 是核心:身分比對、授權政策、VLAN 指派皆由 RADIUS 決定。
  • EAP-TLS 最安全:雙向憑證驗證,可防止中間人攻擊。
  • 動態 VLAN 指派:RADIUS 可透過 Attribute 64/65/81 動態分配 VLAN,實現細粒度存取控制。

IEEE 802.1X 將「信任」從網路層上移至身分層,搭配 EAP-TLS 與動態 VLAN,可有效實現零信任網路存取的第一哩路,是企業有線與無線網路安全的基石。

📚 參考文獻

  1. IEEE Std 802.1X-2020 — Port-Based Network Access Control 官方標準文件
  2. RFC 3748 — Extensible Authentication Protocol (EAP),IETF 官方規範
  3. FreeRADIUS 官方文件 — 開源 RADIUS 伺服器實作指南

⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。

留言