《【培训课件】802.1X协议培训教程.ppt》由会员分享,可在线阅读,更多相关《【培训课件】802.1X协议培训教程.ppt(36页珍藏版)》请在三一文库上搜索。
1、宽带技术支持部,802.1X协议培训教程,http:/ 802.1X这个东东是做什么用的? 802.1X认证体系的结构 802.1X的认证过程 802.1x协议的认证端口 EAPOL协议的介绍,期 望 目 标,http:/ XP,以及cisco,北电,港湾等厂商的设备已经开始支持802.1X协议)。,http:/ Access Control)而定义的一个标准。,http:/ Authentication Protocol over LAN)通过。,http:/ EAP:Extensible Authentication Protocol,http:/ System,客户端(PC/网络设备),
2、Authenticator System,认证系统,Authentication Server System,认证服务器,http:/ System,客户端(PC/网络设备),Supplicant System Client(客户端)是需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain,Microsoft Windows XP,http:/ System,认证系统,Authenticator System Switch (边缘交换机或无线接入设备)是根据客户的认证状态控制物理接入的
3、设备,switch在客户和认证服务器间充当代理角色(proxy)。 switch与client间通过EAPOL协议进行通讯,switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上,以便穿越复杂的网络到达 Authentication Server (EAP Relay);switch要求客户端提供identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同; switch根据认证结果控制端口是否可用; 需要指出的是:我们的802.1x协议在设备内终结并转换成标准的RADIUS协议报文,加密算法采用PPP的CHAP认证算法,所有支持P
4、PP CHAP认证算法的认证计费服务器都可以与我们对接成功。,http:/ Sever System,认证服务器,Authentication server (认证服务器)对客户进行实际认证,认证服务器核实客户的identity,通知swtich是否允许客户端访问LAN和交换机提供的服务Authentication Sever 接受 Authenticator 传递过来的认证需求,认证完成后将认证结果下发给 Authenticator,完成对端口的管理。由于 EAP 协议较为灵活,除了 IEEE 802.1x 定义的端口状态外,Authentication Server 实际上也可以用于认证和
5、下发更多用户相关的信息,如VLAN、QOS、加密认证密钥、DHCP响应等。,http:/ 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。,http:/ 物理端口Down; 重新认证不通过或者超时; 客户端发起EAP_Logoff帧; 网管控制导致下线;,http:/ ForceAuthorized:端口一直维持授权状态,switch的 Authenticator不主动发起认证; ForceUnauthorized:端口一直维持非授权状态,忽略所有客户端发起的认证请求; Auto: 激活802.1
6、X,设置端口为非授权状态,同时通知设备管理模块要求进行端口认证控制,使端口仅允许EAPOL报文收发,当发生UP事件或接收到EAPOL-start报文,开始认证流程,请求客户端Identify,并中继客户和认证服务器间的报文。认证通过后端口切换到授权状态,在退出前可以进行重认证。,http:/ Authentication Protocol over LAN,IEEE 802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。 为了在点到点链路上建立通信,在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已
7、经建立起来后,在进入网络层协议之前,PPP提供一个可选的认证阶段。而EAPOL就是PPP的一个可扩展的认证协议。,http:/ EAP)时,在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包,此时表明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务,下一步的EAP认证都将通过它来进行。,http:/ Code1Request Code2 Response Code3 Success Code4 Failure,Indentifier域为一个字节,辅助进行request和response的匹配每一
8、个request都应该有一个response相对应,这样的一个Indentifier域就建立了这样的一个对应关系相同的Indentifier相匹配。,http:/ Data,当Code为1的时候是request报文,当Code为2的时候是response报文。,Identifier域为一个字节。在等待Response时根据timeout而重发的Request的Identifier域必须相同。任何新的(非重发的)Request必须修改Identifier域。如果对方收到了重复的Request,并且已经发送了对该Request的Response,则对方必须重发该Response。如果对方在给最初的
9、Request发送Response之前收到重复的Request(也就是说,它在等待用户输入),它必须悄悄的丢弃重复的Request。,http:/ Data,Length域为两个字节,表明EAP数据包的长度,包括Code,Identifier,Length,Type以及Type-Data等各域。超出Length域的字节应视为数据链路层填充(padding),在接收时应该被忽略掉。,Type域为一个字节,该域表明了Request或Response的类型。在EAP的Request或Response中必须出现且仅出现一个Type。通常Response中的Type域和Request中的Type域相同。
10、但是,Response可以有个Nak类型,表明Request中的Type不能被对方接受。当对方发送Nak来响应一个Request时,它可以暗示它所希望使用并且支持的认证类型。Type Data域随Request和相对应的Response的Type的不同而不同。,http:/ Data,Type域的说明如下: Type域总共分为6个值域,其中头3种Type被认为特殊情形的Type,其余的Type定义了认证的交换流量。Nak类型仅对Response数据包有效,不允许把它放在Request中发送。 Type1Identifier Type2Notification Type3Nak(Response Only) Type4MD5-Challenge Type5One-Time Password (OTP) Type4Generic Token Card,http:/ 802.1x定义了基于端口的网络接入控制协议,其中端口可以是物理端口,也可以是逻辑端口。 802.1X关心的只是一个端口(物理的或者逻辑的)是否打开,而不关心打开之后上来的是什么样的报文。 802.1x协议只是提供了一种用户接入认证的手段,它也只是对用户的认证进行控制,而接入网络设备必须具备的其他的一些安全和管理特性,由各厂家设备自行来提供的。,http:/