第12章 用户接入管理协议.ppt

《第12章 用户接入管理协议.ppt》由会员分享，可在线阅读，更多相关《第12章 用户接入管理协议.ppt（39页珍藏版）》请在三一文库上搜索。

1、第12章 用户接入管理协议,12.1 引言 12.2 接入链路协议 12.3 接入认证/控制协议 12.4 接入管理协议 12.5 小结和推荐资料,12.1 引言,接入网的核心功能之一是对用户进行接入管理 参与用户接入管理的协议主要分为三个层次 接入链路协议 接入认证/控制协议 以及接入管理协议,用户接入管理的协议模型,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管理 协议,12.2 接入链路协议,接

2、入链路协议作用： 提供链路通信服务 提供或便于实现基于用户的接入控制功能 典型的接入链路协议有： 以太网协议：IEEE 802.3 无线局域网协议（IEEE 802.11系列） PPP（Point-to-Point Protocol，点到点协议） PPPoE (以太网上的点到点协议） Point to Point Protocol over Ethernet 本章主要介绍PPP和PPPoE协议。,PPP协议,概念 Point-to-Point Protocol 点到点的协议 目前使用的版本: RFC 1661 协议作用范围 点到点的链路上(数据链路) 功能 实现点到点链路的两个节点之间: 数据

3、链路的建立与拆除 链路质量检测身份认证 网络层协议协商与配置(如IP协议的IP的地址等) 两个子协议：LCP 与 NCP,PPP协议LCP,链路控制协议LCP Link Control Protocol 链路建立 链路参数协商与配置 是否认证或认证协议协商 链路拆除等,PPP协议NCP,网络层控制协议NCP Network Control Protocol 不同的网络层协议可复用在同一PPP链路上 PPP为不同的网络层设计了相应的NCP 如对应IP协议的NCP为IPCP 对应IPX协议的NCP为IPXCP 不同的NCP处理不同网络层特殊要求（如IP地址分配等） 同一个PPP连接下可开启多个NC

4、P,PPP的协议的封装格式,类似HDLC的UI帧（无编号帧）,地址,控制,协议,数据,FCS,字节,11 2 变长 2,地址,控制,数据,FCS,HDLC UI帧,PPP 帧,固定值 OxFF,固定值 Ox03,封装数据的协议类型,PPP的协议操作过程,五个阶段及各阶段转换图,PPP协议的五个阶段,死亡阶段 物理层未准备好、PPP的初始阶段 链路建立阶段，由LCP完成 建立请求、协商、认证协议、链路质量监测协议 认证阶段,由LCP完成 可选项，对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商 网络层协议阶段，由NCP完成 对网络层协议进行配置，如网络层地址（IP地址）分配 链路终止

5、阶段,由LCP完成 可以在任何时候终止链路，链路的正常终止由LCP分组完成，一个NCP的关闭不一定引起链路的关闭,PPPoE协议,概念 PPP Over Ethernet 以太网的点到点的协议 目前使用的版本: RFC 2516 PPPoE的引入 PPP只适应点到点链路的接入控制 点到多点链路PPP仍然适应吗？否! PPPoE可以实现对点到多点链路的接入控制 PPPoE的功能 对以太网上每个用户与NAS之间建立一条PPP会话通道 每一条PPP会话通道有唯一的连接标识 实现对太网上每个用户进行单独的管理,PPPoE接入模型,图中：接入桥接设备可为：交换机、ADSL Modem 接入集中器可为：P

6、PPoE服务器、DSLAM,主机,主机,主机,接入集中器 Access Concentrator,主机,主机,ISP,局域网 （以太网）,PPP会话,桥接接入设备 Bridging Access Device,发现阶段 会话阶段,PPPoE协议分层模型,PPPoE分组（帧）格式,PPPoE协议封装在以太帧中（以太帧的载荷）,字节,目的MAC地址,源MAC地址,类型,有效载荷 （PPPoE分组）,FCS,6 6 2 变长 4,PPPoE封装 在以太帧中,版本,代码,类型,有效载荷,会话标识,比特,0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0

7、1 2 3 4 5 6 7,长度,PPPoE分组格式,固定值0 x1,不同阶段的分组类型,PPPoE 载荷长度,标识一个特定的PPPoE会话,发现阶段：为空 会话阶段：PPP帧,PPPoE协议操作（运行）的两个阶段,两个阶段：PPPoE发现与PPP会话 发现阶段 主机广播一个PPPoE有效发现启动分组，寻找合适的PPPoE服务器 可能有多个服务器收到该消息，满足要求的服务器发送有效发现提供分组应答，否则不发应答 主机选择一个合适的接入服务器，发有效发现请求分组 接入服务器为主机分配唯一的会话标识。发现过程结束,主机,PPPoE 接入服务器, 广播PADI, 单播PADO, 单播PADR, 单播

8、PADS,PPPoE协议操作（运行）的两个阶段,PPP会话阶段 发现结束后，主机和PPPoE接入服务器建立点到点隧道，进入会话阶段 PPP帧封装在PPPoE帧中 而PPPoE帧封装在Ethernet帧中，通过以太网或其它接入网承载或运送,12.3 接入认证/控制协议,口令认证协议 PAP 质询认证协议 CHAP 可扩展的认证协议 EAP 基于端口的接入认证与控制协议 802.1X,口令认证协议PAP,PAP（由RFC 1334描述） Password Authentication Protocol 口令认证协议 PAP认证过程 被认证方向认证方发认证请求信息（明文）请求信息含“用户名、口令”

9、认证方向被认证方发认证应答信息（明文） Auth-Ack or Auth-Nak,认证请求 （Auth-Request）,认证成功/失败 （Auth-Ack / Auth-Nak）,A （被认证方）,B （认证方）,PAP认证的问题 明文传输认证信息容易被窃取，存在安全隐患,质询认证协议 CHAP,CHAP Challenge Authentication Protocol 质询认证协议 Challenge Handshake Authentication Protocol 由RFC 1994描述 CHAP认证的特点 认证信息采用密文传送 采用共享密钥 与PAP相比 安全性更高 认证所花时间更

10、长,质询认证协议 CHAP,CHAP认证的交互过程,2) 响应（Response） （密文）,1) 质询（Challenge）(明文）,A （被认证方）,B （认证方）,3) 认证成功/失败 （Auth-Ack / Auth-Nak）,可扩展认证协议 EAP,EAP的含义 Extensible Authentication Protocol 可扩展的认证协议 由RFC 2284描述 并非一个具体的认证协议 是一个认证协议的封装协议 定义了一种封装的框架、格式 具体的认证协议和认证信息封装在EAP分组中，如 PAP over EAP、CHAP over EAP etc. 迄今EAP支持的认证协议

11、达42种,用户接入控制协议 802.1X,概念 IEEE802.1X 基于端口的接入控制协议 目前使用标准版本: IEEE Std 802.1X-2001 一个专用于802网络用户接入认证与控制的协议 接入要求 LAN用户以点到点方式接入到LAN的端口上 端口可以是物理端口（如以太网交换机端口） 端口也可以是逻辑端口（如WLAN中的AP端口） 功能 为LAN用户提供接入认证及授权的服务功能,802.1X协议模型的三种实体,客户系统（Supplicant System） 运行802.1X客户软件的用户终端系统 认证系统（Authenticator System） 为802.1X客户系统（即LAN

12、用户）提供授权的接入服务，通常为支持802.1X协议的网络接入设备 认证服务器系统（Authentication Server System） 为认证系统提供认证服务,802.1X的协议运行模型,PAE: Port Access Entity: 端口接入实体,客户系统,认证系统,认证服务器系统,客户 PAE,提供授权 的服务,认证PAE,受控端口,认 证 服务器,LAN,不受控 端口,运行802.1X客户 软件的用户终端,支持802.1X的网络 接入设备 为801.1x客户提供 授权的接入服务,为认证系统 提供认证服务,802.1X的不受控/受控端口,为了实现对客户系统的接入控制， 802.1

13、X在一个LAN连接点上设置了 两个逻辑点：受控端口和不受控端口 不受控端口 传输认证信息 始终连通 受控端口 传输用户业务数据 受控方式：双向受控或仅输入受控 端口默认状态为未授权状态，即断开状态 双向受控：端口此时禁止收、发业务数据 仅输入受控：端口此时只能发送数据 通过认证后，处于授权状态，即接通状态,受控端口,不受控 端口,802.1X协议运行,协议运行实体 客户PAE、认证PAE、认证服务器 认证协议封装类型 客户PAE与认证PAE之间：EAPOL(EAP Over LAN） 认证PAE与认证服务器之间：EAP 认证的发起者 客户PAE或认证PAE,802.1X的认证与接入过程,1)客

14、户PAE将认证信息由EAPOL封装，并通过认证系统的不受控端口传输到认证PAE 2)认证PAE将认证信息由EAP封装传输到认证服务器 3)认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功或失败） 4)认证PAE将认证结果反馈给客户PAE 认证成功：受控端口设为授权状态，向用户提供接入服务 认证失败：受控端口继续断开，拒绝向用户提供接入服务,通过以太网交换机接入的交换式以太网 每台主机以点到点方式接入到交换机每个端口 接入点为交换机的物理端口 通过AP接入的无线局域网 每台无线主机以点到点方式 接入AP的同一无线端口 控制端口为逻辑端口 不同的逻辑端口可由 MAC地址区分,注：PC

15、中安装客户PAE 交换机或AP中安装认证PAE,802.1X协议的应用,概念 RADIUS的含义 协议的发展 协议的功能 协议模型 协议运行 报文格式和类型（自学） RADIUS代理 协议应用,12.4 接入管理协议,RADIUS 的含义 Remote Authentication Dial In User Service 远程认证拨号用户服务 协议标准：RFC2865，RFC2866 扩展版本：RFC2867，RFC2868 等 协议发展与应用范围 最初仅针对拨号用户，实现AAA的管理功能 现已发展成一种通用的、广泛使用的实现AAA功能的协议 适用于各种方式接入的用户的集中管理 协议的功能

16、对接入用户提供认证、授权和记帐功能 支持对漫游用户的接入管理,用户接入管理协议 RADIUS,协议模型,LAN,用户,NAS,RADIUS server,接入 client,接入 server,RADIUS client,用户接入 认证协议,RADIUS协议,用户管理数据库,用户接入管理协议 RADIUS,模型结构为集中/分布式 协议作用范围：NAS与RADIUS服务器之间 注意：RADIUS并未对用户与NAS之间的认证协议进行规定,用户接入管理协议 RADIUS,RADIUS 协议运行 NAS与RADIUS服务器之间的操作 但必须有用户与NAS之间认证协议的配合 协议运行分为两个过程： 认证

17、操作（包括授权） 记帐操作 协议实体交互过程中采用重传机制,用户接入管理协议 RADIUS,认证操作 操作实体 NAS与RADIUS认证服务器 认证操作的方式 请求/响应方式 质询/响应方式,用户接入管理协议 RADIUS,请求/响应方式(一问一答）,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,接入许可/拒绝报文,NAS从用户处获得用户认证信息 NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器（含用户名、口令等） RADIUS认证服务器验证用户的合法性，并通过接入许可/拒绝报文回应NAS,接入许可/拒绝报文,接入质询报文,用户接入管

18、理协议 RADIUS,质询/响应方式,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,质询值，提示消息,响应值,接入请求报文,NAS第1次发出的接入请求报文中含用户名和口令信息 NAS第2次发出的接入请求报文中将口令换成用户的质询响应值,用户接入管理协议 RADIUS,记帐请求报文,接入许可开始记帐,RADIUS记帐服务器,记帐响应报文,NAS,a) 开始记帐,记帐请求报文,服务终止结束记帐,RADIUS记帐服务器,记帐响应报文,NAS,b) 结束记帐,记帐操作 操作实体：NAS与RADIUS记帐服务器 操作时机：授权许可提供服务开始时和服务终止时,用户接入管理

19、协议 RADIUS,RADIUS 代理 一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器 一个中继服务器可以为多个远程服务器中继 在收到一个来自RADIUS客户的认证请求和记账请求后，向一个远程RADIUS服务器提交该请求；收到来自远程服务器的回复后，将该回复传送给自己的客户 典型应用：为漫游用户提供接入AAA管理,用户接入管理协议 RADIUS,RADIUS 代理 假设用户A的认证信息存放在一个远程服务器中,中继服务器,远程服务器,1)接入请求报文,NAS,2)接入请求报文,12.5 小结和推荐资料,本章要点小结 用户接入管理的功能（核心是AAA) 用户接入管理的结构与特点 分散、集中、集中/分布 用户接入管理的模型 用户、NAS、AAA服务器 接入链路协议 PPP（协议功能、LCP和NCP的功能） PPPoE(协议功能、如何实现点对多点链路的单个用户的管理） 接入认证协议 PAP CHAP 802.1X（实体、模型、协议运行原理） 接入管理协议 RADIAUS（模型、协议功能、作用范围、操作过程）,