《课程编码8021x协议原理及配置课件》由会员分享,可在线阅读,更多相关《课程编码8021x协议原理及配置课件(49页珍藏版)》请在金锄头文库上搜索。
1、课程编码 802.1X协议原理及配置,ISSUE 1.0,2,引入,初步认识和了解802.1X协议的背景,了解802.1X协议具体有什么特点?是做什么用的?有什么样的体系机构?采用什么样的认证流程?对于设备有什么特殊的要求?适合在何种范围下面使用?最后我们还要学习EAPoL协议的具体内容。,3,学习目标,了解802.1X的来源和作用 理解802.1X认证体系的结构和认证过程 理解EAPoL协议内容 掌握802.1X协议的相关配置,学习完本课程,您应该能够:,4,课程内容,802.1X认证体系的结构 802.1X的认证过程 EAPoL协议 802.1X的相关配置,5,802.1X协议概述,802
2、.1x协议起源于802.11协议,最初应用于无线接入认证 在802.1x出现之前,LAN认证没有直接控制到端口的方法,基于PPPOE的BAS宽带接入认证方式,设备价格高昂。因此有必要采取新的端口认证机制来实现用户级的接入控制。 802.1x就是IEEE为解决基于端口的接入控制而定义的一个标准。 目前业界主流厂家都已经实现对802.1X的支持,6,802.1X协议的作用,802.1X首先是一个认证协议,是一种对LAN用户进行认证的方法和策略。 802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个逻辑端口,对于无线局域网来说可能是一条信道) 802.1X的认证的最终
3、目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPoL(Extensible Authentication Protocol over LAN)通过。,7,802.1X认证的体系结构,名词解释 PAE :端口认证实体。认证机制负责处理算法和协议的实体 EAP :可扩展认证协议。 Extensible Authentication Protocol EAPoL : EAP over LAN,8,802.1X认证的体系结构,802.1X的认证体系分为三部分 客户端 Sup
4、plicant System 认证系统 Authenticator System 认证服务器 Authentication Server System,9,客户端,客户端 指需要接入以太网,获取交换机提供服务的设备,如PC机。 客户端需要支持EAPoL协议。客户端必须运行802.1X客户端软件:如华为三康的802.1X客户端、Microsoft Windows XP自带客户端,10,客户端,华为三康提供的客户端,winXP自带的客户端,11,认证系统,认证系统 通常是边缘交换机。即根据客户端的认证状态控制接入的设备 认证系统在客户端和认证服务器间充当代理角色(proxy)。 认证系统与客户端间
5、通过EAPoL协议进行通讯,认证系统与认证服务器间通过EAP over Radius(或承载在其他高层协议上)。通常将此过程称为EAP Relay。 Huawei-3Com设备实现的是EAPoL协议在设备内终结并转换成标准的RADIUS协议报文 认证系统要求客户端提供identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器。 认证系统根据认证结果控制端口是否可用。,12,认证服务器,认证服务器 认证服务器对客户端进行实际认证。认证服务器核实客户的identity,通知认证系统是否允许客户端访问网络和获取交换机提供的服务。 由于 EAP 协议较为灵活,除了 IEE
6、E 802.1x 定义的端口状态外,华为三康的CAMS认证服务器实际上也可以用于认证和下发更多用户相关的信息,如下发VLAN、QOS参数下发、加密认证密钥、DHCP响应等。,13,课程内容,802.1X认证体系的结构 802.1X的认证过程 EAPoL协议 802.1X的相关配置,14,802.1X的认证过程:基本交互过程,15,802.1X的认证过程:名词解释,非受控端口 (Uncontrolled Port) 始终处于双向连通状态,只允许802.1X认证协议报文通过。 受控端口 (Controlled Port) 客户端未通过认证出于非连通状态,不允许任何报文通过。只有在客户端认证通过后才
7、处于连通状态,允许用户通过其访问任何网络资源。,16,802.1X的认证过程:端口状态,认证前后端口的状态 端口的状态决定了客户端是否能接入网络 非授权状态(unauthorized) 在启用802.1x认证时端口的初始状态。在该状态下,除802.1X 认证报文外不允许任何报文通过。 授权状态(authorized) 客户通过认证后端口的状态,允许客户端通过端口进行所有报文的通讯。,authorized,unauthorized,17,802.1X的认证过程,基本的认证过程 认证通过前,通道的状态为unauthorized,此时只能通过EAPoL认证报文,不能通过业务报文 认证通过后,通道的状
8、态切换为authorized,此时可以可以任何报文。认证系统从远端认证服务器可以得到用户的信息,如VLAN、CAR参数、优先级、用户的访问控制列表等等。认证系统控制用户的流量就接受上述参数的监管。,18,802.1X的认证过程,认证通过之后的保持 认证系统可以定时要求客户端重新认证,时间可设。重新认证的过程对客户端的用户是透明的 (用户不需要重新输入密码) 提高记费的准确性 下线方式 物理端口Down 重新认证不通过或者超时 客户端发起EAP_Logoff帧 网管控制导致下线,19,802.1X的认证过程,端口接入控制的模式 ForceAuthorized 常开模式 ForceUnauthor
9、ized 常关模式 Auto 协议控制模式 激活802.1X后,端口设置为非授权状态。 端口仅允许EAPoL报文通过。当物理接口UP或接收到EAPoL-start报文,开始认证流程。 认证系统relay客户端和认证服务器间的报文。 认证通过后端口切换到授权状态,在退出前可以进行重认证。,20,端口控制的方式(一),基于物理端口 一个客户端占用一个物理端口,对应一个PAE状态机实体。 每个物理端口包含2个逻辑端口:受控端口和非受控端口 客户端需要与交换机(认证系统)直接相连,21,端口控制的方式(二),基于用户设备的MAC 多个客户端共用一个物理端口,这种类型的受控端口为每一个客户端MAC创建一
10、个PAE状态机实体。 每个MAC有2个逻辑端口:受控端口和非受控端口 客户端和认证系统之间可以存在普通交换机 MAC的个数是有限制的(可配置),当有客户端发送EAPOL-Start请求认证报文时提取客户端源MAC地址,做为受控端口的标识。客户端注销时对应的受控端口资源被释放,22,端口控制的方式(三),基于VLAN ID对利用不同物理端口的用户进行VLAN认证控制,即只允许访问指定VLAN,限制用户访问非授权VLAN;用户可以利用受控端口,访问指定VLAN,同一用户可以在不同的端口访问相同的VLAN,23,课程内容,802.1X认证体系的结构 802.1X的认证过程 EAPoL协议 802.1
11、X的相关配置,24,EAPoL协议,EAPoL Extensible Authentication Protocol over LAN IEEE 802.1x定义了基于端口的网络接入控制协议,用于客户端和认证系统之间。,25,EAPoL帧格式,二层协议,封装在以太网帧 PAE Type 0x888E 802.1X认证 Version 0x01 版本号 Packet Type,EAPoL帧结构,值 域,占用字节,PAE Type,2,Version,Packet Type,Packet LEN,Packet Bady,1,1,2,N,值 域,值,EAP-Packet,0,EAPoL-Start,
12、EAPoL-Logoff,EAPoL-Key,1,2,3,26,EAPoL协议交互过程,27,EAPoL-Start 报文,EAPoL-Start 报文 用于通知认证系统开始EAP认证,28,EAP-Packet的格式:Code域,Code域为一个字节,表示了EAP数据包的类型,Code,Identifier,Length,Data,一个典型的EAP认证的过程分为:request、response、success或者failure阶段,29,EAP-Packet的格式:Length域和Data域:,Code,Identifier,Length,Data,Length域为两个字节,表明了EAP数
13、据包的长度,包括Code、Identifier、Length以及Data等各域。 超出Length域范围的字节应该视为数据链路层填充(Padding),在接收时应该被忽略掉。,Data域为0个或者多个字节,Data域的格式由Code的值来决定。,Length域和Data域:,30,不同的Code值时报文的格式和各个域的定义,当Code域为1或者2,为EAP的request和response报文,报文的格式为:,Code,Identifier,Length,Type,Type Data,Identifier域为一个字节。在等待Response时根据timeout而重发的Request的Ident
14、ifier域必须相同。任何新的(非重发的)Request必须修改Identifier域。如果对方收到了重复的Request,并且已经发送了对该Request的Response,则对方必须重发该Response。如果对方在给最初的Request发送Response之前收到重复的Request(也就是说,它在等待用户输入),它必须丢弃重复的Request。,31,不同的Code值时报文的格式和各个域的定义,Code,Identifier,Length,Type,Type Data,Type域为一个字节,该域表明了Request或Response的类型。在EAP的Request或Response中必
15、须出现且仅出现一个Type。通常Response中的Type域和Request中的Type域相同。但是,Response可以有个Nak类型,表明Request中的Type不能被对方接受。当对方发送Nak来响应一个Request时,它可以暗示它所希望使用并且支持的认证类型。Type Data域随Request和相对应的Response的Type的不同而不同。,32,不同的Code值时报文的格式和各个域的定义,Code,Identifier,Length,Type,Type Data,Type域的6个值域: 其中头3种Type被认为特殊情形的Type,其余的Type定义了认证的交换过程。Nak类型
16、仅对Response数据包有效,不允许把它放在Request中发送。Type1Identifier Type2Notification Type3Nak(Response Only) Type4MD5-Challenge Type5One-Time Password (OTP) Type4Generic Token Card,33,不同的Code值时报文的格式和各个域的定义,当Code域为3或者4,为EAP的Success和Failure报文,报文的格式为:,Code,Identifier,Length,Identifier域为一个字节,辅助匹配Response应答。Identifier域必须与其正在应答的Response域中的Identifier域相匹配。,34,EAP-Success 报文,35,课程内容,802.1X认证体系的结构 802.1X的认证过程 EAPoL协议 802.1X的相关配置,
