Home » 802.1X Network Access Control: RADIUS, EAP และ NAC
802.1X Network Access Control: RADIUS, EAP และ NAC
802.1X Network Access Control: RADIUS, EAP และ NAC
802.1X เป็น IEEE standard สำหรับ port-based network access control ที่บังคับให้ devices ต้อง authenticate ก่อนได้รับ access เข้า network ใช้ RADIUS server เป็น authentication backend และ EAP (Extensible Authentication Protocol) เป็น framework สำหรับ authentication methods ต่างๆ NAC (Network Access Control) ขยายแนวคิดนี้ด้วย posture assessment
ถ้าไม่มี 802.1X ใครก็ตามที่เสียบสาย LAN หรือ connect Wi-Fi ก็เข้า network ได้ทันที — รวมถึง unauthorized devices, rogue laptops และ malware-infected machines 802.1X ป้องกันปัญหานี้: ต้อง authenticate + authorize ก่อน → ได้รับ VLAN/policy ตาม identity
802.1X Components
| Component |
Role |
ตัวอย่าง |
| Supplicant |
Client ที่ต้องการ access (software บน endpoint) |
Windows built-in, macOS, SecureW2, Cisco AnyConnect |
| Authenticator |
Network device ที่ control access (switch/AP) |
Cisco switch, Aruba AP, Juniper switch |
| Authentication Server |
RADIUS server ที่ validate credentials |
Cisco ISE, FreeRADIUS, Microsoft NPS, Aruba ClearPass |
802.1X Flow
| Step |
Action |
| 1 |
Supplicant connects to port (port is in unauthorized state) |
| 2 |
Authenticator sends EAP-Request/Identity to supplicant |
| 3 |
Supplicant responds with EAP-Response/Identity (username) |
| 4 |
Authenticator forwards to RADIUS server (RADIUS Access-Request) |
| 5 |
RADIUS server challenges supplicant (EAP method-specific) |
| 6 |
Supplicant provides credentials (password, certificate, etc.) |
| 7 |
RADIUS validates → Access-Accept (with VLAN, ACL attributes) |
| 8 |
Authenticator opens port → supplicant gets network access |
EAP Methods
| Method |
Authentication |
Security |
Use Case |
| EAP-TLS |
Client + server certificates (mutual TLS) |
Highest (certificate-based) |
Enterprise (most secure, requires PKI) |
| PEAP (EAP-MSCHAPv2) |
Server cert + username/password |
High (TLS tunnel + password) |
Most common (AD integration) |
| EAP-TTLS |
Server cert + inner method (PAP, CHAP, MSCHAPv2) |
High (similar to PEAP) |
Linux/Android (broader inner method support) |
| EAP-FAST |
PAC (Protected Access Credential) or cert |
High (Cisco proprietary) |
Cisco environments (no cert required) |
| MAB (MAC Auth Bypass) |
MAC address (no supplicant) |
Low (MAC spoofable) |
IoT, printers, IP phones (no supplicant support) |
RADIUS
| Feature |
รายละเอียด |
| Protocol |
UDP 1812 (authentication), UDP 1813 (accounting) |
| Access-Request |
Authenticator ส่ง credentials ไป RADIUS |
| Access-Accept |
Authentication สำเร็จ (+ attributes: VLAN, ACL, SGT) |
| Access-Reject |
Authentication ล้มเหลว |
| Access-Challenge |
RADIUS ต้องการข้อมูลเพิ่ม (EAP challenge) |
| CoA (Change of Authorization) |
RADIUS push policy change ไป authenticator (dynamic) |
| Accounting |
Track session start/stop, bytes transferred |
RADIUS Attributes for 802.1X
| Attribute |
Purpose |
| Tunnel-Type = VLAN |
Assign VLAN to authenticated user |
| Tunnel-Medium-Type = IEEE-802 |
Medium type for VLAN assignment |
| Tunnel-Private-Group-ID = 100 |
VLAN ID to assign |
| Filter-Id = ACL-NAME |
Apply downloadable ACL |
| cisco-av-pair = cts:security-group-tag |
Assign SGT (TrustSec) |
| Session-Timeout |
Re-authentication timer |
NAC (Network Access Control)
| Feature |
รายละเอียด |
| คืออะไร |
Extended 802.1X: authentication + posture assessment + remediation |
| Posture Assessment |
Check endpoint compliance: AV updated? OS patched? Firewall on? |
| Compliant |
Pass posture → full network access |
| Non-compliant |
Fail posture → quarantine VLAN (limited access for remediation) |
| Remediation |
Auto-update AV, install patches → re-assess → grant access |
| Profiling |
Identify device type (laptop, phone, printer, IoT) automatically |
NAC Solutions
| Solution |
Type |
จุดเด่น |
| Cisco ISE |
Enterprise NAC |
Most comprehensive: 802.1X + profiling + posture + TrustSec |
| Aruba ClearPass |
Enterprise NAC |
Multi-vendor, strong profiling, guest management |
| Fortinet FortiNAC |
Enterprise NAC |
Agentless, IoT profiling, Fortinet integration |
| FreeRADIUS |
Open-source RADIUS |
Free, flexible, widely used (no GUI) |
| PacketFence |
Open-source NAC |
Free NAC with captive portal, VLAN isolation |
| Microsoft NPS |
Windows RADIUS |
Free with Windows Server, AD integration |
Deployment Best Practices
| Practice |
รายละเอียด |
| Monitor mode first |
เริ่มจาก monitor mode (log แต่ไม่ block) → ดู authentication results |
| Low-impact mode |
ขั้นถัดไป: assign VLAN based on auth แต่ไม่ block failures |
| Closed mode |
สุดท้าย: block unauthorized devices (full enforcement) |
| MAB fallback |
ถ้า device ไม่มี supplicant → fallback to MAB (printers, IoT) |
| Guest VLAN |
Failed auth → guest VLAN (limited internet access) |
| Critical VLAN |
RADIUS unreachable → critical VLAN (limited access, not blocked) |
| Certificate-based (EAP-TLS) |
Most secure — ใช้ certificates แทน passwords |
ทิ้งท้าย: 802.1X = Authenticate Before Access
802.1X NAC Supplicant → Authenticator → RADIUS Server (3 components) EAP-TLS = most secure (certs), PEAP = most common (password + cert) RADIUS assigns VLAN, ACL, SGT based on identity NAC extends 802.1X: posture assessment + remediation Deploy phased: monitor → low-impact → closed mode MAB fallback สำหรับ IoT/printers ที่ไม่มี supplicant
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust ZTNA และ Network Segmentation Cisco ACI ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
